实践课:案例分析--林伟强
| 这个作业属于哪个课程 | 至诚软工实践F班 |
|---|---|
| 这个作业要求在哪里 | https://edu.cnblogs.com/campus/fzzcxy/ZhichengSoftengineeringPracticeFclass/homework/12580 |
| 这个作业的目标 | 测试i至诚app |
| 学号 | 212106772 |
第一部分 找Bug
1,学生信息泄露
-
查看迎新系统
点击查看接口
https://yx.fdzcxy.edu.cn/app/stu/index.html?code=21210***2&userToken=eyJhbGciOiJSUzUxMiJ9.eyJBVFRSX3VzZXJObyI6IjIxMjEwNjc3MiIsInN1YiI6IjIxMjEwNjc3MiIsImlzcyI6InRva2VuLmZkemN4eS5lZHUuY24iLCJkZXZpY2VJZCI6IllrNnd2ZmZ1VHFZREFEa3pZczRRQ2lIRSIsIkFUVFJfaWRlbnRpdHlUeXBlSWQiOiI*****??????????? -
其中code=21210***2为学号
-
userToken=***为每个学生单独的Token,在https://www.box3.cn/tools/jwt.html解析如下其中,其中为与code相对于的学生详细信息
-
重大bug在于!!!!!!
如果按道理来上,每个学号code都应该对应一个userToken,但是惊奇的发现如果修改为他人学号code,userToken不修改,也可以查询出别的同学的信息!如https://yx.fdzcxy.edu.cn/app/stu/index.html?code=212101&userToken=(学号21210**2的userToken值)。。。建议在验证接口的时候,可以判断code是否与userToken相匹配,并且在生成userToken值时加入干扰值,无法随意解析。
2,离校码请求异常
3,连接校园网时app网络错误
第二部分 功能分析
1、根据i至诚已有的功能,评估其做到这个程度大约需要多少时间
| 阶段 | 时间 |
|---|---|
| 需求获取和分析 | 1周 |
| 原型 | 1周 |
| 框架设计 | 2周 |
| app,后端开发 | 2周 |
| 开发环境测试 | 1周 |
| 服务器搭建,中间件运行 | 1周 |
| 上云测试 | 1周 |
| 项目收尾 | 1周 |
2、i至诚软件目前的优劣(和微信端的“至诚教务助手”相比),哪个更实用?
- 平时基本不会打开i至诚,较多用至诚教务助手查查课表,看课程消息,抢课等。i至诚有些鸡肋
3、从各方面的问题,推理出这个软件团队在软件工程方面可以提高的一个重要方面(具体建议)
- 建议多一些实用性,建议和至诚教务助手合并,多加测试
4、你在第一部分发现的bug,为何软件团队不能在发布前修复?他们是不知道,还是有意不修复?你觉得是什么原因?
- 可能没有意识到吧,没有站在入侵者的角度去查找问题
第三部分 建议和规划
- 建议多加测试,如最近的logi4漏洞,接口压力测试(大概学校吞吐量为200)
