首页 > 其他分享 >软件测试及开发中应当要考虑的安全问题

软件测试及开发中应当要考虑的安全问题

时间:2023-01-07 11:13:10浏览次数:49  
标签:短信 并发 应当 信息 用户 安全 订单 验证码 软件测试

  在开发及软件测试过程中,系统的安全性是不得不考虑的问题,一旦系统出现安全问题,轻则用户信息或系统数据被盗,重则导致公司资金流失,因此写此文档以此来记录那些年我们曾经犯过的错,用于警醒后人。文章将包含通用的安全漏洞及特殊案例。

软件测试及开发中应当要考虑的安全问题

   短信

  短信发送可能存在的安全漏洞有:

  短信轰炸

  攻击手段:通过脚本不断调用短信发送接口给指定手机号发送短信。

  危害:

  用户投诉;

  产生大量短信费用。

  防御:

  增加图形验证码;

  增加同一个手机号1天的发送次数;

  封IP。

  短信验证码

  攻击手段:从短信发送接口返回的报文中获取短信验证码。

  危害:用户手机号被使用,用户信息泄露。

  防御:不在响应报文中返回短信验证码。

  总结:响应报文中凡是涉及的敏感信息都应三思,坚持“能不返回尽量不返回的原则”。

  短信验证

  攻击手段:用户发现在验证手机验证码时未将手机号和验证码一起进行验证,从而通过他人手机号和自己手机号的验证码通过系统验证。

  危害:用户账号、信息泄露。

  防御:增加验证逻辑。

  权限漏洞

  凡是涉及到权限访问的,务必需要增加权限校验逻辑。

  订单

  订单查询、订单取消、订单创建务必增加用户验证,即:用户只能创建、取消、查询自己的订单。

  一旦用户能够通过篡改数据查看到其它用户的订单信息,就会导致用户订单信息泄露,比如:券码、取票码、用户姓名、电话、地址等敏感信息泄露。

  文件下载

  不同用户的下载权限不一样,如果对下载的链接未做加密或权限控制,则普通用户可通过修改下载链接的某些参数来下载所有文件。

  典型案例

  购买机票赠送无门槛红包活动。某公司推出购买机票成功后,即送对应金额的无门槛红包。

  其处理逻辑为用户下单支付并出票成功后,即往当前登录的用户账号里赠送红包,然后活动上线没多久,就被关闭了,其原因为:用户A在购买机票后可以将红包转到用户B的账号下。

  具体操作为A用户在下单完成跳到支付页面时退出账号,登录B账号,然后支付完成出票,此时红包被赠送到B账号内。

  总结:在开发或测试时,凡是涉及到用户权限的操作,一定要确保权限的安全。

  入库安全

  在进行入库操作时,遵循原则为凡是能够从数据库或后台获取的数据,绝不从前端获取。

  因为所有前端过来的数据都可能是不安全的。同时,在进行入库时,还需要防止JS注入,因为一旦JS注入成功后,会导致后台某些功能不可用。

  并发控制

  在涉及共享资源时,并发是必须要考虑的问题,并发的场景一般分为单个业务的并发和多个业务的并发,单个业务的并发比如下单冻结库存,这时我们可以用fiddler进行并发测试,多个业务的并发。

  比如,多个线程并发时包含下单,取消订单等涉及共享资源的操作,这时我们可以使用jmeter编写对应脚本进行并发测试。

  另外,共享资源除了并发外,还可能存在另一个问题。

  我们知道一般库存的应用场景是:下单锁库存-取消订单释放库存-支付成功扣库存-退款还库存这么几个操作。

  那是否可能存在这样一种场景,用户下单成功后跳转支付页面,等待订单超时释放库存,然后进行支付完成,如果系统在进行支付回调的时候没有对订单状态进行判断的话,就会导致超库存现象,因为订单取消后库存就释放了,用户可以再下一单,进行支付购买。所以,我们在开发或测试过程中,每走一步都应该清楚的知道,前提条件是什么。

  敏感信息

  敏感信息是指用户或公司的私密信息,这些信息必须在某些条件下才能被获取到,这些信息一旦被泄露对个人及公司都会造成影响。常见的敏感信息比如:取票码、票号、券码、手机号、身份证号等。

  因此,在开发和测试的过程中,一旦遇到类似敏感信息,务必考虑清楚,这些数据在什么条件下才能被获取?

  所有获取这个敏感信息的通道都做了验证。工作中有遇到过不支付能获取取票码的,会员信息被窃取的等。

  以上内容为大家介绍了软件测试及开发中应当要考虑的安全问题,本文由多测师亲自撰写,希望对大家有所帮助。

标签:短信,并发,应当,信息,用户,安全,订单,验证码,软件测试
From: https://www.cnblogs.com/lfc666/p/17032255.html

相关文章

  • 软件测试和开发之间的工作有什么区别
    从工作内容强度来看开发人员在项目开发过程和上线之后的人员配比悬殊巨大,比如在开发周期的时候,需要10个人来写代码,但在项目上线后,可能只需要两三个人来维护就可以......
  • 软件测试行业进入瓶颈期该如何提升自己?
    很多人在进入软件测试行业几年之后,可能都会进入一个瓶颈期,不知道如何去提升自己,但自己能意识到这个问题就是好事。今天我们就来说说在进入到行业后,应该如何在职场中提......
  • API接口之安全篇
    接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。今天跟大家聊聊保证接口数......
  • CISAWXXX公司信息安全策略sample
    XXX公司信息安全管理手册​XXXXXX科技有限公司变更记录​前言​颁布令​颁布令​本手册依据ISO/IEC27001:2013《信息安全管理体系—要求》和ISO/IEC20000-1:2018《信息技......
  • 数据安全态势感知运营中心建设参考指南
    声明本文是学习​​数据安全态势感知运营中心建设桔皮书.下载地址http://github5.com/view/471​​而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们......
  • 中国软件供应链安全分享报告 附下载地址
    声明本文是学习​​2021年中国软件供应链安全分析报告.下载地址http://github5.com/view/1216​​而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们......
  • 图扑软件 | 数字孪生钢厂人员安全定位
    前言钢铁冶炼从原料采购、焦化烧结、炼铁、炼钢、轧钢、到产出成品,其冗长的生产工序、复杂的作业场景,更应加以重视生产现场的人员作业安全,将安全防范监管贯穿日常作业全过......
  • 用远见超越未见 | 立足2022,洞见未来之2023十大安全技术趋势
    2022年是极不平凡的一年,外部的世界局势逐步恶化,内部的新冠疫情转段迈向新阶段。2022年也是伟大的一年,党的二十大胜利召开。党的二十大报告就“推进国家安全体系和能力现代化......
  • C++可执行文件绝对路径获取与屏蔽VS安全检查
    :前言前几天写新项目需要用到程序所在绝对路径的时候,发现网上居然一点相关分享都没有。:_pgmptr翻箱倒柜找出了几本教程,发现了一个叫_pgmptr的东西。进去看了一下,在s......
  • 2021年中国软件供应链安全分析报告
    声明本文是学习2021年中国软件供应链安全分析报告.下载地址http://github5.com/view/1216而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们四、国内......