這兩天做測試遇到了2個關於驗證方面的問題：

1. 昨天早上開發突然發現了 cookie中存放的token值的中間部分，用base64解密以後，可以直接獲得使用者名稱和密碼，多麼大的bug啊，這不就等於把自己的身份證給別人看嗎，多麼危險

1.1 因為是用JWT來使用的會話管理，但是開發小哥哥們貌似用錯了，裡面儲存的資訊過多導致資訊很容易洩漏，但是專案已經上線了，如果移除掉多於的資訊 那麼需要修改的程式碼過多，不安全，所以大神就想到了把token中的值再次進行加密，但是我在測試過程中還是遺漏了

其實我需要測試的：

A: 檢測cookie中儲存的資訊 是否涉及敏感資訊

B：檢查登入部分是否可以正常執行

C : 檢查下session storage中是否快取了 敏感資訊

2. 有一個bug: 使用者A可以訪問使用者B的資訊

這個bug前端小哥哥在前端做了驗證， 然後我就開始測試了、

A: A使用者只能檢視自己的report頁面

B： A使用者不能檢視使用者B的report頁面，並需要給出提示資訊

這一切在瀏覽器端執行完整（因為開發做的驗證： 在請求report資料時， 驗證下report id是否存在於該使用者的report id的列表中，如果存在就顯示，否則就報錯）但是當我用fiddler直接去請求服務端資料時， A使用者可以訪問非自己的資訊。

這其實是我第一次用fiddler去發現問題，心裡的成就感真的很大，我也知道了 fiddler在請求時， 會越過前端的限制，直接去請求後端。