1. 程式人生 > >測試總結-------後端驗證 與 JWT

測試總結-------後端驗證 與 JWT

這兩天做測試遇到了2個關於驗證方面的問題:

1. 昨天早上開發突然發現了 cookie中存放的token值的中間部分,用base64解密以後,可以直接獲得使用者名稱和密碼,多麼大的bug啊,這不就等於把自己的身份證給別人看嗎,多麼危險

1.1 因為是用JWT來使用的會話管理,但是開發小哥哥們貌似用錯了,裡面儲存的資訊過多導致資訊很容易洩漏,但是專案已經上線了,如果移除掉多於的資訊 那麼需要修改的程式碼過多,不安全,所以大神就想到了把token中的值再次進行加密,但是我在測試過程中還是遺漏了

其實我需要測試的:

A: 檢測cookie中儲存的資訊 是否涉及敏感資訊

B:檢查登入部分是否可以正常執行

C : 檢查下session storage中是否快取了 敏感資訊

(但是這點我忘記了,而session storage中存在了使用者名稱密碼 不用破解,直接就存在,多麼大的失誤啊,小姐姐我一夜都難睡著,反思了一夜)

2. 有一個bug: 使用者A可以訪問使用者B的資訊

這個bug前端小哥哥在前端做了驗證, 然後我就開始測試了、

A: A使用者只能檢視自己的report頁面

B: A使用者不能檢視使用者B的report頁面,並需要給出提示資訊

這一切在瀏覽器端執行完整(因為開發做的驗證: 在請求report資料時, 驗證下report id是否存在於該使用者的report id的列表中,如果存在就顯示,否則就報錯)但是當我用fiddler直接去請求服務端資料時, A使用者可以訪問非自己的資訊。

這其實是我第一次用fiddler去發現問題,心裡的成就感真的很大,我也知道了 fiddler在請求時, 會越過前端的限制,直接去請求後端。