工作中容易被忽略的缺陷

最新推荐文章于 2021-10-14 15:08:15 发布
最新推荐文章于 2021-10-14 15:08:15 发布
阅读量509 收藏 2
点赞数
分类专栏: 测试经验 文章标签: 软件测试 权限 安全性 健壮性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomoya_chen/article/details/69802651
版权

工作中容易被忽略的缺陷

  经过软件测试课程及系统性学习之后,进入工作中,总是遇到一些遗漏的或没有考虑到的缺陷,自己记录一下,以后针对不同的系统可以套用这个模版。

目录

权限

  • 浏览器直接访问url地址

浏览器直接访问url地址

  有时候,开发只考虑到正常登录后的权限,没有考虑到直接访问url地址的情况。包括未登录直接访问url地址和已登录但无页面权限直接访问url地址。
  
具体做法:
  1. 登录系统后摘录所有页面的url,包括通过超链接跳转的子页面。(获取方式: 鼠标中键/ F12/ Fiddler)
  2. 在未登录系统的浏览器上,直接粘贴摘录到的url地址。
  3. 在已登录但无页面权限帐号的浏览器上,直接粘贴摘录到的url地址。
  
预期:
  - 跳转至登录页面。
  - 给予无权限提示。
  
  

健壮性

  • 多个用户同时对一条记录进行操作
  • 接口在并发请求下的健壮性

多个用户同时对一条记录进行操作

  工作中,经常发现开发对多个用户同时对一条记录进行操作的场景没有做约束。特别是有状态变更的业务场景,严重程度不低。例如:用户A对记录进入编辑页面,用户B此时将该记录删除,用户A再进行保存操作,这种情况下,很可能已经被删除的记录又”复活”了。
  
具体做法:
  1. 使用用户A对一条记录进行编辑操作,保持在编辑页面。
  2. 使用用户B对该记录进行删除操作。
  3. 此时,使用用户A继续编辑,完成保存动作。
  
预期:
  - 用户B操作时,给予友好提示,并且不可删除。
  - 用户A完成保存动作时,提示记录已被删除。
  

接口在并发请求下的健壮性

  工作中,曾经遇到一个缺陷。有一个退款接口,并发请求时,余额会被扣成负数。这并不是性能问题,而是接口的健壮性很差。在实际业务场景上不会发生,但是很可能被恶意用户用Fiddler获取接口参数后,产生异常数据,甚至获利(如果是充值接口存在此缺陷呢?)。
  
具体做法:
  1. 开启Fildder抓包工具。
  2. 使用系统完成一笔业务操作。(选择你认为会改写系统内数据的接口)
  3. 在Fiddler中查看该操作请求的url地址和参数。
  4. 使用Jmeter,在Sampler中填入url和参数,进行大量并发请求。
  5. 查看Jmeter中监听器、系统内相关记录页面、系统日志来检查是否产生了异常数据。
  
预期:
  无任何异常数据产生。

注意:
  接口测试应该完全基于恶意用户也能获取到的信息来进行测试。就如同本格推理,你不应该比恶意用户知道更多情报来辅助测试。
  
  

安全性

  • 交易接口是否有sign签名参数
  • 帐号为手机号的系统,是否有接口会直接暴露用户库
  • 多次登录失败后是否有防御机制

交易接口是否有sign签名参数

  经常网上看到有人说FD撸东西,什么1分钱买东西啦,这里FD指的就是Fiddler。有些电商网站或APP对创建订单的接口没有sign签名参数,这导致用户修改了金额一样可以被服务器接受。(签名的用处在于,将请求中的参数以某种形式排列后加盐再加密,然后作为参数一起发出。)
  
具体做法:
  1. 开启Fildder抓包工具,开启breakpoints - before requests。
  2. 使用系统发起一笔交易操作。
  3. 在Fiddler中找到该请求,修改其金额后,点击run to completion。
  4. 在Fiddler中查看响应结果。
  
预期:
  - 订单创建失败,给予友好提示,例如”订单异常”。
  

多次登录失败后是否有防御机制

  在网页上,普遍登录需要验证码。但在手机APP上,验证码由于输入麻烦,并不多见。但是仍然应该在一定次数登录失败以后,出现验证码或者冻结30秒等防御机制。如果没有防御机制,那么恶意人员就能使用密码字典来对帐号尝试硬破。
  
具体做法:
  1. 使用手机APP进行登录操作,填入正确帐号和错误密码。重复10次。
  2. 查看每一次的登录失败的提示信息。
  
预期:
  - 登录一定次数后,提示”请输入验证码”或者”登录次数过多,请30秒后重试”。
  

登录帐号为手机号的系统,接口是否会暴露用户库

  工作中遇到过一个APP,在登录和注册时,对于没有注册的手机号,会有一个友好提示。这本并无不妥,但是手机号是纯数字的,这很容易进行大量参数递增请求。恶意人员可以通过对11位数字进行递增循环来进行请求,从响应内容中筛选出系统注册用户。
  
具体做法:
  1. 阅读接口文档,在不需要登录的接口中,查找有可能会暴露识别信息的接口。(如注册/ 登录等)
  2. 使用Fiddler抓包工具,获取注册接口的url地址和参数。
  3. 使用Jmeter,在Sampler中填入url和参数(正确手机号和错误密码),进行1次请求。
  4. 使用Jmeter,在Sampler中填入url和参数(错误手机号),进行1次请求。
  5. 查看Jmeter中监听器。
  
预期:
  - 无法从响应内容中分辨是不是系统注册用户。
  

tomoyachen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fd抓包数据类型_fd抓包教程 FD入门简介(配置教程) fd视频教程2016
weixin_32773101的博客
12-24 5049
fd配置教程 fd入门视频教程fd详细教程2016最新我们看一下网站钻阔乐园www.qqzuankuo.com第一期:FD入门简介目标:知道FD是什么、了解FD的大致用途、学会下载、安装官方FD1.FD是什么?答:FD的全称是fiddler.Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯设置断点,查看所有的“进出”Fiddler的数据(指coo...
缺陷
ellen_mei_hua
11-20 286
1.沟通bug的例子 (1)语气要委婉,告诉对方自己做了什么,怎么操作的。 (2)尽量避免直接的说 "你的代码有问题" 这样的话。 (3)不要觉得改bug只是开发的事, 一出bug就事不关 己高高挂起, 或者幸灾乐祸。 2.一个合格的 bug描述 应该包括以下几个部分:(对应于测试用例的要素) 1)发现问题的版本 开发人员需要知道出现问题的版本,才能够获取对应版本的代码来重现故障。并且版本的标识...
fiddler手机抓包
weixin_42103015的博客
10-14 118
1、Connections勾选Allow remote computers to connect 2、重启fiddler 3、手机安装fiddler证书 1)查看IP地址 2)手机浏览器输入192.168.8.63:8888 3)下载到本地 4)打开WLAN设置→高级设置→安装证书 5)添加代理
Fiddler实现手机抓包——小白入门
wjy397的专栏
04-14 317
手机用fiddler抓包 电脑最好是笔记本,这样能和手机保持统一局域网内;其他不多说,直接说步骤了。 一.对PC(笔记本)参数进行配置 1. 配置fiddler允许监听到https(fiddler默认只抓取http格式的) 打开Fiddler菜单项Tools->TelerikFiddler Options->HTTPS, 勾选CaptureHTTPS CONNECTs,点击Actions, 勾选Decrypt HTTPSt...
必测的支付漏洞(一)使用fiddler篡改支付金额
热门推荐
Lambda_Y的博客
04-19 7万+
互联网产品常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作的成果吧!         今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想
fiddler抓包和串改返回值
becky1616的博客
06-04 1万+
在AutoRespnder里Add Rule,然后在Rule Editor里设置response的内容,以下内容摘抄自:https://www.cnblogs.com/LanTianYou/p/7207694.html后面会补上一些在使用的注意点。1. 抓包,找到要拦截的请求,然后在AutoResponderAdd Rule: 2. 在Rule Editor的第二栏选择“Create New...
工作缺点和不足及措施_个人工作缺点和不足
weixin_39986169的博客
12-31 1665
篇一:工作总结不足与缺点工作总结不足与缺点1 工作总结的写法总结,就是把某一时期已经做过的工作,进行一次全面系统的总检查、总评价,进行一次具体的总分析、总研究 [查看详细]-- ★精品文档★ 个人工作缺点和不足 导语:在工作我们经常会遇到要自我评价...[查看详细]总结个人工作不足 篇一:工作总结不足与缺点 工作总结不足与缺点 1.工作总结的写.....
软件测试容易忽略缺陷
02-01
### 软件测试容易忽略缺陷 #### 摘要 软件测试是确保软件质量的关键步骤之一,它能够帮助识别并纠正软件的错误、缺陷以及不符合需求的地方。然而,在实际测试过程,某些类型的缺陷因为各种原因经常被忽视...
软件测试人员容易遗漏一些隐藏的缺陷
03-23
众所周知,软件测试不可能发现所有的缺陷,而软件开发周期各个阶段仍然存在注入缺陷的可能,但是,有一些缺陷是测试容易忽略的,也就是说,通过测试方法和用例可以充分暴露这些缺陷,遗憾的是,它们往往被忽略或者...
测试人员容易遗漏一些隐藏的缺陷
02-11
在软件开发过程,测试人员扮演着至关重要的角色,他们的任务是发现并修复程序缺陷,以确保产品的质量和稳定性。然而,由于多种原因,测试人员可能会遗漏一些隐藏的缺陷。这些缺陷可能由于其复杂性、非典型表现...
运放使用容易忽视的问题(一)
08-03
然而,在实际应用,运放的输出电压摆幅是一个常常被忽略的问题,它直接影响到电路的工作性能和效率。 首先,理解运放的输出电压摆幅至关重要。普通运放的输出电压范围受限于电源电压,通常是(Vss+1.5V~Vcc-1.5V...
【爬虫-反爬虫】系列一:反爬虫之签名(6)
zengwk的博客
07-09 5517
反爬虫之签名(6) 本讲介绍的是一种比较麻烦的反爬虫策略:请求签名。 请求签名 请求签名指在请求url增加一个sign字段,通常取值为自定义字段的md5校验码。 前面介绍的反爬虫策略基本上都有规律可寻,但签名很让人头疼,因为必须硬手段解,也就是硬着头皮去调试代码,找出sign生成算法,然后再模拟该算法生成合法请求进行数据爬
fiddler修改响应实战之联通沃阅读apk
01-28 2250
fiddler或多或少大家都接触过 小编其实也早就了解过这个东西了,不过当初只是为了撸话费实物以及流量,但是自从FD撸界的“力王”吃国家饭之后,就发现这种漏洞很少出现了 其实这个小工具大多数人都拿来分析接口请求 今天教大家的是,如何连接真机,并且修改响应 1.首先,fiddler  /tools  Options前面四项  下面能打钩的全部打钩 2.看下图,将监听端口号设置为8888,这
Sun的逆向之路(二)——FiF口语训练的刷分剖析
Sunwish的博客
12-24 2万+
闲来无事看了看FiF口语一些Task的排行榜,翻着翻着意外发现了一个101分的榜首,按理来说满分才只有100分,因此猜想这个分数一定是被动过手脚的,于是来了兴致,从POST请求与APK反编译两个角度分别尝试解FiF。
安卓So(C代码)SHA1算法
qq_34108752的博客
09-24 418
有点类似MD5规则 在《sha1 – 生成 sha1 散列值》给出了可以生成 SHA1() 函数, 它应用很简单。 实际上,OpenSSL 还提供了另外一套 API 用以产生 sha1 散列值, 该套 API 可以生成更大文件的散列值。 比如在 32 位系统下,应用程序不能访问超过 4G (2[sup]32[/sup] )的内存空间,从 SHA1() 函数的第 1 个参数指针也知道,它所指向的空...
记录抓取soul app(一)
半吊子python全栈
06-07 1万+
今天闲逛APP Store的时候,发现一个叫做soul的app ,感觉蛮有意思,如何下载,查看了一下,发现用手一点一点的看太麻烦了,然后赶紧把手机调到代理模式,用Fiddler来查看查看搭建好环境发现刷新广场的消息,实时获取的消息是一个get请求,然后返回回来的数据是一个json格式的数据,但是里面有2个参数是我们不知道的这2个参数分别是sign 和 nonce,尝试去请求的话,参数不对会返回““...
淘宝API的应用
张同光 (Tongguang Zhang):Hello everyone !
02-01 453
http://joan0106.iteye.com/blog/922319 在http://open.taobao.com开放平台下载相应的最新的sdk,如你懂得php,就下载php的sdk,然后解压把top目录添加到自己的项目。 新建一个index.php Php代码   include("top/TopClient.php");   include("top/request/I
抓包工具:Fiddler 修改请求表单和响应数据
此生尽兴
07-15 6万+
断点命令介绍: bpu在请求开始时断,bpafter在响应到达时断,bps在特定http状态码时断,bpv/bpm在特定请求method时断。提示:命令输入区域输入help,回车执行会打开一页面详细介绍fiddler的所有命令。也可以在菜单栏设置断点,是针对所有的会话请求,不大实用,建议用命令。以bpu为例演示断点功能:1、以淘宝无线H5为例,在浏览器打开m.taobao.com首页。2、在
Fiddler模拟自动响应数据
reblue520的专栏
01-30 3172
Fiddler模拟自动响应数据 Fiddler模拟自动响应数据 定位到要修改的部分 2.将返回的数据保存到本地,保存成网页,并修改响应数据 找到修改的部分,修改之 3.再次请求刷新首页,将工具定位到autoresponder将接口加入规则 4.导入刚才的网页 再次刷新页面就可以看到自动响应成了我们...
缺陷模式:非功能性缺陷与测试策略
2. **路径敏感性**:路径敏感的缺陷,比如因开发者疏忽导致的,往往涉及多条执行路径或复杂的条件判断,这类缺陷容易在测试过程暴露。 3. **路径不敏感性**:不敏感的缺陷则可能源于开发者的不理解或对编程规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值