摘要:
安全问题:在请求头中带上X-NON-VALID:True,请求就带有特权,不用经过权限审查 测试方法:前后端代码审查,阅读权限校验代码,发现代码中存在暗门 阅读全文
摘要:
敏感信息泄露: 问题:正常测试环境下,接口返回消息中含有用户名、密码 测试方法:测试时查看接口返回值,验证返回值中是否包含敏感信息 测试难点:系统接口众多,测试执行一次成本较高,应编写自动化脚本进行测试 敏感信息密码管理: 1.密码应加密存储,不使用接口传输 2.不使用MD5等不安全加密方式,至少使 阅读全文