本文针对Web系统的常见问题提出了一系列预防措施,包括多IE访问时的数据同步、URL安全、权限控制、SQL注入防御、Cookie管理等方面的技术建议。
转载地址:http://mp.weixin.qq.com/s/NAJrOlWUe682ANG8QoAvcg
Bug预防体系
10
1.10.1 web常见产品问题及预防
11多个ie同时访问
用户可能打开不同的IE使用相同的用户登录后进行操作,程序处理的时候要考虑到数据的一致性和同步问题
多个IE使用不同用户,则cookie操作不会出现用户信息混乱的问题
预防方法:
开发:提前考虑到多个IE操作和多用户操作的使用场景,在使用cookie本地信息时需要做好针对性的程序处理,依据以往出现的问题设计开发规范
测试:按照多浏览器和多用户的使用情况,进行更多场景的测试
12安全考虑
在URL中不要带有明文的用户信息写代码的时候,不要把密码等敏感的用户信息明文的显示在url中
即使要传递密码参数也不要使用pwd、 passpord这样的参数名称来进行传递,防止被截获
要在传递参数的操作中使用NoCache参数,防止将url参数进行缓存
预防方法:
开发: 建立数据传输技术规范和参数命名规范标准,严格参照执行,防止信息被拦截,造成应用系统的信息泄露
测试:在缓存目录验证缓存信息是否有敏感信息,通过抓包方式验证是否暴露了敏感信息
13直接URL链接检查
在Web系统中,匿名在地址栏直接输入各个功能页面的URL地址,检查系统是否处理了权限控制
预防方法:
开发:代码走查的方式确认所有页面的具有权限验证逻辑
测试:获取所有系统url,在非登录情况下进行遍历截图,或关键字判断,验证非登录状态下无法访问具有访问权限限定的
14防止sql注入和跨站攻击
不要把数据库或者程序的任何报错信息显示在页面上。
数据库中设计到操作权限的表名和字段名不要使用过于通俗易懂的命名,尤其是用户和密码之类的信息,禁止使用明文存储密码
页面回显的input text, input hidden中的文本内容需过滤 “ <、 >、 ”、 ’等字符(半角转换为全角或者删除掉),防止 Javascript 的跨站攻击
预防方法:
开发:出错的时候使用错误处理页面,建立标准的过滤关键字程序,统一数据库设计命名规范将敏感的表名做特殊命名处理,密码使用Md5或其他加密方式保存
测试:验证所有页面不会暴露系统的任何出错信息使用安全工具appscan 或其他工具扫描系统的sql注入漏洞和跨站攻击漏洞
15关于cookie
Cookie没有设定过期时间IE不支持Cookie的时候没有任何提示信息Cookie中的敏感信息没有进行加密
预防方法:
开发:明确cookie生存期,并对生成的cookie进行检查,建立标准的检查浏览器对cookie支持的程序函数
测试:检查cookie的生存周期,以及是否存在敏感内容
16各种资源链接的释放
有的时候,系统莫名访问不了,有可能是数据库连接没有释放压力测试的时候,连接释放如果效率不高,则有可能出现大量连接超时失败内存泄露,长时间工作内存被占满了。
预防方法:
开发:系统资源的释放过程,最好通过代码review的方式来互相监督
测试:进行稳定性测试,验证长时间工作情况下的资源是否可以释放
关于keepalive的设置:
如果需要在一个连接同时获取多个资源,则需要打开apache或者resin的Keepalive参数为On,来提高系统的处理能力,减少多次建立连接所消耗的资源。如果大量的处理只是一次性连接,则不要打开Keepalive设置。在实际工作中,需要将keepalive分别设置On或者Off来验证哪个设置的性能更好。
17系统上线的log配置
上线以后,要关闭无用大量调试log信息不要打开过多的log
预防方法:
运维和开发:系统管理员对所有打开log级别进行确认,并群发相关人确认
用户易用性
用户删除某个数据前,要明确提示用户是否要删除,默认把焦点选择为“否”。
预防方法:
开发:按照上述要求进行焦点设定
测试:进行测试确认
19文档
程序实现和接口文档描述不一致
预防方法:
开发:团队中专人定期对接口文档进行审核和更新,保证文档、需求变更和程序实现保持一致
测试:仅参照文档进行测试
20多表操作
详细设计文档缺失,接口对多表进行操作时候,经常会发生有些表的数据没有被更新的情况
预防方法:
开发:审核设计文档是否覆盖必要的逻辑,加强代码审查
测试:通过查询接口判断所有插入接口的数据库操作是否正确
等等,这些我们完全可以在不断测试过程中进行总结和积累,可以给开发进行培训,让他们了解这些常见的问题,在自测时注意这些问题,提高送测产品的质量。(待续)
扫一扫
198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
