缺陷案例(一)

日常工作中会有些容易被忽视的缺陷,如在权限、健壮性、安全性等如以下几个场景:

*权限——浏览器直接访问url

*健壮性——多个用户同时对一条记录进行操作

            ——接口在并发时候的健壮性

*安全性——交易交口是否有sign签名参数

            ——多次登录失败后是否有防御机制

            ——登录账号为手机号的系统接口接口是否会暴露用户库


权限-浏览器直接访问URL

有时候开发只考虑到正常登录后的权限,而忽略直接访问URL的情况,包括未登录直接访问url地址和已登录无权限访问URL地址。

操作:

step1:登录页面后摘录所有的URL地址,包括通过超链接跳转的子页面;

step2:在未登录系统的浏览器上,直接粘贴摘录的链接到url地址;

step3:在已登录无页面权限账号的浏览器上,直接粘贴摘录到url地址;

预期:

result1:跳转到登陆页面

result2:给予无权限提示


健壮性-多个用户同时对一条记录进行操作

工作中,经常会发现开发对多个用户同时对一条记录进行操作的情况,没有做约束,尤其是有状态变更的场景,如用户A对记录进行编辑,用户B此时对该记录进行删除,用户A再进行操作,这种情况下很可能被删除的记录又被“复活”。

操作:

step1:用户A对记录进行编辑,并保留在编辑页面;

step2:用户B对该记录进行删除;

step3:再使用用户A继续编辑,并保存动作;

预期:

result1:用户B操作时,给予友好提示,并且不可删除

result2:用户A操作保存时,提示已经删除


健壮性-接口在并发时的健壮性

工作中,曾经遇到一个缺陷。有一个退款接口,并发请求时,余额会被扣成负数。这并不是性能问题,而是接口的健壮性很差。在实际业务场景上不会发生,但是很可能被恶意用户用Fiddler获取接口参数后,产生异常数据,甚至获利(如果是充值接口存在此缺陷呢?)。

具体做法:

  step1. 开启Fildder抓包工具。

  step2. 使用系统完成一笔业务操作。(选择你认为会改写系统内数据的接口)

  step3. 在Fiddler中查看该操作请求的url地址和参数。

  step4. 使用Jmeter,在Sampler中填入url和参数,进行大量并发请求。

  step5. 查看Jmeter中监听器、系统内相关记录页面、系统日志来检查是否产生了异常数据。

预期:

  result:无任何异常数据产生。

思考:接口测试基于恶心用户获取也能获取到信息来测试


安全性-交易接口是否有sign签名参数

有人说FD(fiddler)撸东西,1分钱买什么啦,有些电商网站和app对创建订单接口没有sign签名参数,这会导致用户改了金额后可以被服务器接收,签名的作用在于将请求中的参数按某种形式排列后加盐再加密,然后作为参数一起发出。

具体做法:

  step1. 开启Fildder抓包工具,开启breakpoints - before requests。

  step2. 使用系统发起一笔交易操作。

  step3. 在Fiddler中找到该请求,修改其金额后,点击run to completion。

  step4. 在Fiddler中查看响应结果。

预期:

  result: 订单创建失败,给予友好提示,例如”订单异常”。


安全性-多次登录失败后是否有防御机制

在网页上登录,会使用验证码,但是app上由于验证码输入麻烦,并不多见。但是仍然应该在一定登录次数失败后,出现验证码或者冻结30秒防御机制。如果没有防御机制,如果没有防御机制,那么恶意人员就会用密码字典对账号尝试强破。

具体做法:

  step1. 使用手机APP进行登录操作,填入正确帐号和错误密码。重复10次。

  step2. 查看每一次的登录失败的提示信息。

预期:

  result: 登录一定次数后,提示”请输入验证码”或者”登录次数过多,请30秒后重试”。


安全性-登录账号是手机号时是否会暴露用户库

遇到一个app,在登录和注册时,对没有注册的手机号,有友好提示。这并无不妥,但是手机号是纯数字的,这很容易进行大量参数递增请求,恶意 人员对11位手机号递增循环来进行请求,从响应内容中筛选出系统注册用户。

具体做法:

  step1. 阅读接口文档,在不需要登录的接口中,查找有可能会暴露识别信息的接口。(如注册/ 登录等)

  step2. 使用Fiddler抓包工具,获取注册接口的url地址和参数。

  step3. 使用Jmeter,在Sampler中填入url和参数(正确手机号和错误密码),进行1次请求。

  step4. 使用Jmeter,在Sampler中填入url和参数(错误手机号),进行1次请求。

  step5. 查看Jmeter中监听器。

预期:

     result :无法从响应内容中分辨是不是系统注册用户。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,718评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,683评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,207评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,755评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,862评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,050评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,136评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,882评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,330评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,651评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,789评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,477评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,135评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,864评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,099评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,598评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,697评论 2 351