实践课:案例分析--林伟强

这个作业属于哪个课程 至诚软工实践F班
这个作业要求在哪里 https://edu.cnblogs.com/campus/fzzcxy/ZhichengSoftengineeringPracticeFclass/homework/12580
这个作业的目标 测试i至诚app
学号 212106772

第一部分 找Bug

1,学生信息泄露

  • 查看迎新系统

    点击查看接口
      https://yx.fdzcxy.edu.cn/app/stu/index.html?code=21210***2&userToken=eyJhbGciOiJSUzUxMiJ9.eyJBVFRSX3VzZXJObyI6IjIxMjEwNjc3MiIsInN1YiI6IjIxMjEwNjc3MiIsImlzcyI6InRva2VuLmZkemN4eS5lZHUuY24iLCJkZXZpY2VJZCI6IllrNnd2ZmZ1VHFZREFEa3pZczRRQ2lIRSIsIkFUVFJfaWRlbnRpdHlUeXBlSWQiOiI*****???????????
    
    
  • 其中code=21210***2为学号

  • userToken=***为每个学生单独的Token,在https://www.box3.cn/tools/jwt.html解析如下其中,其中为与code相对于的学生详细信息

  • 重大bug在于!!!!!!
    如果按道理来上,每个学号code都应该对应一个userToken,但是惊奇的发现如果修改为他人学号code,userToken不修改,也可以查询出别的同学的信息!如https://yx.fdzcxy.edu.cn/app/stu/index.html?code=212101&userToken=(学号21210**2的userToken值)。。。建议在验证接口的时候,可以判断code是否与userToken相匹配,并且在生成userToken值时加入干扰值,无法随意解析。

2,离校码请求异常


3,连接校园网时app网络错误


第二部分 功能分析

1、根据i至诚已有的功能,评估其做到这个程度大约需要多少时间

阶段 时间
需求获取和分析 1周
原型 1周
框架设计 2周
app,后端开发 2周
开发环境测试 1周
服务器搭建,中间件运行 1周
上云测试 1周
项目收尾 1周

2、i至诚软件目前的优劣(和微信端的“至诚教务助手”相比),哪个更实用?

  • 平时基本不会打开i至诚,较多用至诚教务助手查查课表,看课程消息,抢课等。i至诚有些鸡肋

3、从各方面的问题,推理出这个软件团队在软件工程方面可以提高的一个重要方面(具体建议)

  • 建议多一些实用性,建议和至诚教务助手合并,多加测试

4、你在第一部分发现的bug,为何软件团队不能在发布前修复?他们是不知道,还是有意不修复?你觉得是什么原因?

  • 可能没有意识到吧,没有站在入侵者的角度去查找问题

第三部分 建议和规划

  • 建议多加测试,如最近的logi4漏洞,接口压力测试(大概学校吞吐量为200)
posted @ 2022-04-07 19:13  阳光宅男6  阅读(62)  评论(0编辑  收藏  举报