实践课:i至诚app案例分析
| 这个作业属于哪个课程 | 至诚软工实践F班 |
|---|---|
| 这个作业要求在哪里 | 这个作业要求在这里 |
| 这个作业的目标 | <学习软件测试与案例分析> |
| 学号 | <212106702> |
测试i至诚app
“i至诚”是一个处理校内学生信息事务的app,主要内容分类有疫情防控、办公管理、教学科研、学生服务、生活服务等。平时学生的请假及出校申请均需通过此app,在疫情常态化的现在学生主要使用“i至诚”进行健康打卡。
作为学生信息管理的重要门户缺存在着大大小小的问题,从安全性到交互性,可以说是一个在考虑不太充分,目标定位不准确的app。
第一部分找bug
交互性bug
- Bug发生时的测试环境
测试环境:IOS、Android - 先由等级较低的问题说起,进入软件的服务页有着很多的服务分类,第一眼看上去模块种类繁多,实则大多服务模块重复(在p1中红框内的均为重复模块),分类不明确。其中多模块服务没有被使用起来,或是前期预留没有进一步完善。
---
 |
入馆教育打开无接口接入  |
第二课堂进入无内容 |
第二课堂进入无内容 |
- 在进入校园一卡通界面有两个返回图形,刚进入一卡通首页时图形返回按键点击无法返回app主页,仅文字返回块可点击,且在点击分支功能后,使用图形返回键返回再点击下一分支如此反复,再使用文字“返回”块点击时界面的变化不是返回上一级首页,而是逐级回退刚才所点击过的流程。
- 在学生使用最多的健康日报中,位置信息中默认是在学校所在区域,没有引用手机定位地址,在校生不管是否住校或是现在隔离在家无法返校,均需按照校规及时进行每日健康打卡,然而所在位置不能自动获取,在这里尝试了手动填写,在省份一栏可以选择,而在市、区县一栏却能自定义填写,可见开发人员的敷衍了事。
 |
 |
 |
 |
- 在i至诚app中的日程选项中,没有任何数据,行程数据还需自己导入,只是日历的存在,日常使用中设备已经有日历了。这个模块在校园app的开发应作为学生课程显示才对。
 |
 |
 |
- 以上均为普通bug,在交互使用上比较影响体验。
---
重大安全性bug
由于涉及学生信息,操作过程不展示。
- (1)进校码 ☆☆☆☆☆严重信息泄露
进校码在此次疫情爆发前是进出校园的唯一凭证,但是在此前可以通过抓包进行爬取数据,爬取的URL里的username为学生学号,修改学生学号就能进入到他人进校码信息界面,也就是说在知道谁拥有出校绿码的情况下可修改URL的username进行获取信息进出校园。因为在疫情爆发前的封校期间有人使用此类方式或是将红码ps成绿码的方式进出校园,校方得知后将进校码修改为二次验证的扫码获取信息。(为此次修改点赞,至少校方没有置之不理,但是在这之前进校码信息的爬取如此的容易,学生信息安全及疫情防控存在很大的安全性问题。)
---
 |
 |
---
- (2)学生信息泄露 ☆☆☆☆☆严重信息泄露
通过手机爬虫软件对“i至诚”进行数据抓包发现,在迎新系统这个大家在开学填报个人信息的地方,app开发人员没有对此处进行安全加密,技术小白都能爬取到数据,与上面进校码原来的问题相同修改获取链接的学生学号可进入到他人的迎新系统界面获取他人信息,若写个代码即可自动获取信息及照片(太可刑了,所以这边没有去尝试)。在这个迎新系统中所填写的信息有(照片、联系方式、家庭住址、父母信息、身份证号等)均为学生敏感信息,且在此界面不只是能看到信息还能对信息进行篡改,这些学生信息要是落入不法分子手中后果不堪设想。 - bug分析:在使用两个账号进行抓取数据发现,其实每个账号都有不同的token,但是修改学号就能进入别人的账号界面。通俗的讲相当于所有人都有钥匙进入这个门,但是别人的钥匙也能开你家的门,没有将user与token进行双重验证。
---
 |
 |
 |
 |
 |
 |
对app进行安全性测试
- 使用wetest对软件进行安全测试,报告内附有修复建议,无法上传pdf报告截取部分展示。可自行上传apk测试。
第二部分 功能分析
1.根据软件已有的功能,评估其做到这个程度大约需要多少时间?(例如:团队人数6人左右,计算机大学毕业生,并有专业UI支持)。
| 阶段 | 时间 |
|---|---|
| 开发构思 | 1周 |
| 需求分析 | 2周 |
| 初定设计 | 1周 |
| 原型设计 | 1周 |
| 设计复核 | 1周 |
| 代码设计 | 6周 |
| 代码规范 | 2周 |
| 代码审核 | 1周 |
| 测试 | 1周 |
| 项目收尾总结 | 1周 |
| 交付阶段 | 1周 |
2.分析这个软件目前的优劣(和微信端的“至诚教务助手”相比),哪个更实用。
- 平时除了健康填报不会打开i至诚,平时看课表以及查询成绩或是选课都是使用至诚教务系统。至诚教务系统虽然界面简陋(纯文字),但是在使用上轻量化,在平时使用率最高的微信中更为便捷。i至诚的大多数功能不完善且存在设计缺陷。如果将二者融合在一起会更好。
3.从各方面的问题,推理出这个软件团队在软件工程方面可以提高的一个重要方面(具体建议)。
- 在设计时,多考虑安全问题,感觉这个团队在敷衍了事,没有意识到信息安全问题,以及在设计时没有考虑到某些模块的实用性,显得软件内部杂乱臃肿。
4.你在第一部分发现的bug,为何软件团队不能在发布前修复?他们是不知道,还是有意不修复?你觉得是什么原因?
- 测试把关不严,敷衍了事,没有注意在特殊的配置或环境下测试
- 对用户需求掌握不好
- 具体的设计质量不高
- 开发人员粗心大意
第三部分 建议和规划
市场现状
目前市场上是否有其他类似功能的产品、竞品?
完美校园、掌上校园、超级校园以及各大高校自己的校园app。
上述产品的定位、优势与劣势在哪里?
校园app的定位主要是高校本身或是大学城内的大学群。校园热点、校园周边的吃喝玩乐和校园的二手物品以及校园之间的联动较为完善的功能,甚至是找工作,这是公开的校园软件的大致优势,高校自身的app主要针对的还是自己学校的学生,至于功能各大高校各有不同。对比之下i至诚处处是劣势。
上述产品之间呈现什么样的关系,哪些为竞品关系?以及竞争中的各方态势如何?
高校自身的产品之间不存在竞争关系,其他校园软件(这里指完美校园这类软件)存在竞争,优势取决于谁的安全性高、功能完善、推广度和项目方的维护更新。
