摘要：用户权限需求：1.系统管理员可新增模块A管理员，系统管理员无权限查看模块A的数据 该需求没有问题，为了实现功能和数据权限的隔离，保证用户数据不泄露 2.模块A管理元可新增A数据，在新增A数据时，可执行该条数据权限的浏览权限人员 问题出在该条需求上，系统目前功能权限未实现到按钮粒度，当赋予A数据权限浏 阅读全文

摘要：安全问题：在请求头中带上X-NON-VALID：True，请求就带有特权，不用经过权限审查 测试方法：前后端代码审查，阅读权限校验代码，发现代码中存在暗门 阅读全文

摘要：敏感信息泄露： 问题：正常测试环境下，接口返回消息中含有用户名、密码 测试方法：测试时查看接口返回值，验证返回值中是否包含敏感信息 测试难点：系统接口众多，测试执行一次成本较高，应编写自动化脚本进行测试 敏感信息密码管理： 1.密码应加密存储，不使用接口传输 2.不使用MD5等不安全加密方式，至少使 阅读全文

摘要：安全问题：程序遇到异常时未处理，直接打印堆栈 测试难点：不阅读代码，不清楚怎样测试才能获取堆栈日志 这个问题还在深入研究中，一种是白盒测试，一种是靠经验积累，本篇记录就是经验累积的过程 测试方法：人为制造系统异常，想要测试程序异常，那么就不能停止web的部署，那么本次测试关注点在数据库上，且也是想抓 阅读全文