从支付宝漏洞事件说一说场景法的重要性

还记得去年有名的支付宝漏洞么?只要是熟人100%可以通过非密码非短信验证码途径,登录你的支付宝并更改密码。这样只要是非密支付,支付宝财产就存在致命危险!

年小编忘记密码登录别人手机的时候进行过这个操作,大致操作流程是这样的:

1、进入支付宝登录界面,输入手机账号点击忘记密码;

2、是否能接收短信?点击不能;

3、这里有几种验证方式:

a、淘宝买过的东西9张图片中选1个;

b、好友验证9个好友图片中选1个;

4、更改密码,原密码直接忘记,直接更改;登录账户。

理一下上面的流程不难发现,在验证部分,即使不是熟人,也有不低的概率选中正确的图片;且在好友认证部分,我们经常外出购物吃饭等活动加的那些店家微信,轻而易举就能破入你的支付宝。想想真是后怕。不过这个漏洞没有造成实际的财产损失,漏洞曝光后,支付宝方面也迅速地修复了,并提升了安全验证等级。

说完这个事件,可能有人会想,跟我们要讲的场景法有啥关系?有大关系!场景法不仅仅要考虑基本操作场景、异常操作场景、还要关注场景各个操作环节涉及的界面易用、安全等非功能检查。以上支付宝漏洞就是验证方式设计的安全性检查存在问题。

说到这,小编补充说下什么是场景法?一句话:通过模拟用户使用软件时出现的场景进行用例设计。更简单的理解:对于某个功能点,用户可能执行的操作有哪些,每一个可能的操作就构成场景。

比如输入用户名及密码的登录功能,用户可能存在以下操作:

1、用户名、密码输入正确,登录成功

2、用户名输错,不能登录

3、密码输错,不能登录

4、用户名或密码不进行输入,不允许登录

5、密码输错多次,账户被锁定

6、密码是否加密显示

。。。。。。

可能大家对登录例子非常熟悉,但碰到别的功能点还是不知道怎么去使用场景法。

不慌,方法呈上:

1、根据说明,描述出用户的基本操作流程

2、针对基本操作流程中的每一个操作步骤,拓展思考其所有的非法操作;

3、对于每一步操作,还需关注用户体验、安全性等非功能检查;

安全性方面,这里说明下涉及金钱的用户操作,例网络异常下,支付的频繁点击;订单提交后,撤回取消的操作等

方法普及完了,再分享一个关乎场景法重要性的案例。该案例说的是一个bug导致400亿日元蒸发,程序员背锅10年的故事。

想知道详情的可点击http://bg.juxia.com/article/186720_2.html了解。


从支付宝漏洞事件说一说场景法的重要性_第1张图片

你可能感兴趣的:(从支付宝漏洞事件说一说场景法的重要性)