还记得去年有名的支付宝漏洞么?只要是熟人100%可以通过非密码非短信验证码途径,登录你的支付宝并更改密码。这样只要是非密支付,支付宝财产就存在致命危险!
去年小编忘记密码登录别人手机的时候进行过这个操作,大致操作流程是这样的:
1、进入支付宝登录界面,输入手机账号点击忘记密码;
2、是否能接收短信?点击不能;
3、这里有几种验证方式:
a、淘宝买过的东西9张图片中选1个;
b、好友验证9个好友图片中选1个;
4、更改密码,原密码直接忘记,直接更改;登录账户。
理一下上面的流程不难发现,在验证部分,即使不是熟人,也有不低的概率选中正确的图片;且在好友认证部分,我们经常外出购物吃饭等活动加的那些店家微信,轻而易举就能破入你的支付宝。想想真是后怕。不过这个漏洞没有造成实际的财产损失,漏洞曝光后,支付宝方面也迅速地修复了,并提升了安全验证等级。
说完这个事件,可能有人会想,跟我们要讲的场景法有啥关系?有大关系!场景法不仅仅要考虑基本操作场景、异常操作场景、还要关注场景各个操作环节涉及的界面易用、安全等非功能检查。以上支付宝漏洞就是验证方式设计的安全性检查存在问题。
说到这,小编补充说下什么是场景法?一句话:通过模拟用户使用软件时出现的场景进行用例设计。更简单的理解:对于某个功能点,用户可能执行的操作有哪些,每一个可能的操作就构成场景。
比如输入用户名及密码的登录功能,用户可能存在以下操作:
1、用户名、密码输入正确,登录成功
2、用户名输错,不能登录
3、密码输错,不能登录
4、用户名或密码不进行输入,不允许登录
5、密码输错多次,账户被锁定
6、密码是否加密显示
。。。。。。
可能大家对登录例子非常熟悉,但碰到别的功能点还是不知道怎么去使用场景法。
不慌,方法呈上:
1、根据说明,描述出用户的基本操作流程
2、针对基本操作流程中的每一个操作步骤,拓展思考其所有的非法操作;
3、对于每一步操作,还需关注用户体验、安全性等非功能检查;
安全性方面,这里说明下涉及金钱的用户操作,例网络异常下,支付的频繁点击;订单提交后,撤回取消的操作等
方法普及完了,再分享一个关乎场景法重要性的案例。该案例说的是一个bug导致400亿日元蒸发,程序员背锅10年的故事。
虽然说的是程序员背锅,小编弱弱猜测当时的测试岗位不普遍。放在今天,绝壁是测试背锅啊~~
上面是我收集的一些视频和面试题资料。
对于软件测试的的朋友来说应该是最全面最完整的面试备战仓库,为了更好地整理每个模块,我也参考了很多网上的优质博文和项目,力求不漏掉每一个知识点,很多朋友靠着这些内容进行复习,拿到了BATJ等大厂的offer,这个仓库也已经帮助了很多的软件测试的学习者,希望也能帮助到你
关注我的微信公众号【程序员二黑】免费获取