敏感信息泄露:
问题:正常测试环境下,接口返回消息中含有用户名、密码
测试方法:测试时查看接口返回值,验证返回值中是否包含敏感信息
测试难点:系统接口众多,测试执行一次成本较高,应编写自动化脚本进行测试
敏感信息密码管理:
1.密码应加密存储,不使用接口传输
2.不使用MD5等不安全加密方式,至少使用AES128及以上安全加密算法
3.使用Securerandom without seed 方法代替Random方法生成密钥