51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1316|回复: 0
打印 上一主题 下一主题

[转贴] 测试重中之重:这些问题你在测试过程中考虑过么?

[复制链接]
  • TA的每日心情
    无聊
    9 小时前
  • 签到天数: 1052 天

    连续签到: 2 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-4-13 10:10:45 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
     前言
      在开发及测试过程中,系统的安全性是不得不考虑的问题,一旦系统出现安全问题,轻则用户信息或系统数据被盗,重则导致公司资金流失,因此写此文档以此来记录那些年,我们曾经犯过的错,用于警醒后人。文章将包含通用的安全漏洞及特殊案例。

      短信
      短信发送可能存在的安全漏洞有:
      1、短信轰炸。
      攻击手段:通过脚本不断调用短信发送接口给指定手机号发送短信。
      危害:1)用户投诉;2)产生大量短信费用。
      防御:1)增加图形验证码;2)增加同一个手机号1天的发送次数;3)封IP。
      2、短信验证码。
      攻击手段:从短信发送接口返回的报文中获取短信验证码。
      危害:用户手机号被使用,用户信息泄露;
      防御:不在响应报文中返回短信验证码。
      总结:响应报文中凡是涉及的敏感信息都应三思,坚持“能不返回尽量不返回的原则”。
      3、短信验证。
      攻击手段:用户发现在验证手机验证码时未将手机号和验证码一起进行验证,从而通过他人手机号和自己手机号的验证码通过系统验证。
      危害:用户账号、信息泄露。
      防御:增加验证逻辑。

      权限漏洞
      凡是涉及到权限访问的,务必需要增加权限校验逻辑。
      1、订单。订单查询,订单取消,订单创建务必增加用户验证,即:用户只能创建、取消、查询自己的订单。一旦用户能够通过篡改数据查看到其它用户的订单信息,就会导致用户订单信息泄露,比如:券码、取票码、用户姓名,电话,地址等敏感信息泄露。
      2、文件下载。不同用户的下载权限不一样,如果对下载的链接未做加密或权限控制,则普通用户可通过修改下载链接的某些参数来下载所有文件。
      典型案例:购买机票赠送无门槛红包活动。某公司推出购买机票成功后,即送对应金额的无门槛红包,其处理逻辑为:用户下单,支付并出票成功后,即往当前登录的用户账号里赠送红包,然后活动上线没多久,就被关闭了,其原因为:用户A在购买机票后可以将红包转到用户B的账号下。具体操作为:A用户在下单完成跳到支付页面时退出账号,登录B账号,然后支付完成出票,此时红包被赠送到B账号内。
      总结:在开发或测试时,凡是涉及到用户权限的操作,一定要确保权限的安全。

      入库安全
      在进行入库操作时,遵循原则为:凡是能够从数据库或后台获取的数据,绝不从前端获取。因为:所有前端过来的数据都可能是不安全的。同时,在进行入库时,还需要防止JS注入,因为一旦JS注入成功后,会导致后台某些功能不可用。

      并发控制
      在涉及共享资源时,并发是必须要考虑的问题,并发的场景一般分为单个业务的并发和多个业务的并发,单个业务的并发比如下单冻结库存,这时我们可以用fiddler进行并发测试,多个业务的并发比如:多个线程并发时包含下单,取消订单等涉及共享资源的操作,这时我们可以使用jmeter编写对应脚本进行并发测试。另外,共享资源除了并发外,还可能存在另一个问题,我们知道一般库存的应用场景是:下单锁库存,取消订单释放库存,支付成功扣库存,退款还库存这么几个操作,那是否可能存在这样一种场景,用户下单成功后跳转支付页面,等待订单超时释放库存,然后进行支付完成,如果系统在进行支付回调的时候没有对订单状态进行判断的话,就会导致超库存现象,因为订单取消后库存就释放了,用户可以再下一单,进行支付购买。所以,我们在开发或测试过程中,每走一步都应该清楚的知道,前提条件是什么。

      敏感信息
      敏感信息是指:用户或公司的私密信息,这些信息必须在某些条件下才能被获取到,这些信息一旦被泄露对个人及公司都会造成影响。常见的敏感信息比如:取票码,票号,券码,手机号,身份证等。因此,在开发和测试的过程中,一旦遇到类似敏感信息,务必考虑清楚,这些数据在什么条件下才能被获取?所有获取这个敏感信息的通道都做了验证。工作中有遇到过不支付能获取取票码的,会员信息被窃取的等。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-27 18:37 , Processed in 0.059670 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表