測試中測到一個印象比較深刻的bug,問題出現在web端的電商平台,展示商品的時候每點擊一個商品相應的url=~/productid.html,如果知道productid可以直接在url輸入跳轉到商品詳情,相應的下單的時候會生成一個ordid,訂單詳情頁url=~/ordid.html,於是隨意更改了幾個ordid試了試,發現可以瀏覽訂單編號存在的別人的訂單詳情,沒有做權限過濾故提交這個bug。
開發解決方案:在訪問訂單數據前獲取登陸用戶信息做權限處理。
‘
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。