示例如下:
我之前测电商业务时,我们的系统在展示商品的时候每点击一个商品就会跳转到相应的详情页,url格式大概=~/productid.html,如果知道productid的话可以直接修改url跳转到其商品的详情页。类似的情况是,用户下单的时候会生成一个ordid,生成的订单详情页的url=~/ordidhtml,于是我随意更改了个ordid试了试,发现可以浏览到其他用户的订单详情,这个是没有做权限过滤导致的bug。
我给开发的解决方案是这样的:
在访问订单数据前获取登陆用户信息做权限处理。这个点很容易被忽略,如果漏掉上线后对客户对公司都会有不小的损失。所以受到了领导的表扬,后面再有重要的测试任务,领导都会交给我测,比较重视我,这个bug给我留下了深刻的印象!
标签:ordid,url,深刻,映像,详情页,跳转,bug,productid From: https://www.cnblogs.com/ling7/p/17611703.html