2022年4月12日,中国裁判文书网日前披露一则新闻,《易某非法获取计算机信息系统数据、非法控制计算机信息系统刑事二审刑事裁定书》显示,在2016年12月27日至2018年2月28日期间,华为公司前员工易某多次通过邮箱将华为公司多个供应商线缆类编码物料的采购价格发送给上市公司、华为供应商金信诺。并从中获利1.6万。
当我看到这个数据的时候,我都以为我自己是不是看错了——1.6万?而且还有一些是实物。这是有多缺钱啊?
那么问题来了,这个易某是怎么倒卖数据呢?其实这个事儿在2017年之后,易某发现华为的erp系统中的一个漏洞,通过该漏洞可以绕过权限控制查看线缆物料价格信息。在获取机密数据后,易某将这些数据用电话,短信,公司邮件(缺心眼吧)的方式告知深圳市金信诺高新技术股份有限公司,帮助该公司提高中标率。不得不说,这小子是个狠人啊!泄露公司机密还用公司邮件,这是生怕华为不知道吗?
最后法院判定,在2012年至2017年6月30日期间,华为前员工易某收受购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。广东省深圳市中级人民法院的二审维持一审原判,被告人易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币2万元;继续向易某追缴违法所得共计人民币23437.6元,依法予以没收,上缴国库。为了两万元的蝇头小利就出卖公司,进了监狱,实在是得不偿失。人生未来的路也没了,还有哪家公司敢用啊?
不过话说回来,这ERP系统的越权访问,并能获取相关数据的这个漏洞,也让我们知道了,越是负责的软件系统,权限操作和管理方面的测试越是是软件测试中的重中之重。什么是权限管理的测试呢?
权限管理,一般指根据系统设置的安全规则或者安全策略,对软件进行:
1)功能权限的测试。指定用户可以处理哪些功能,不能使用哪些功能。
2)数据权限的测试。指定用户可以处理哪些数据,不可以处理哪些数据。
3)操作权限的测试。在逻辑关系上,前后顺序、数据处理情况。
基于此,权限管理方面的测试可以从以下几个方面进行:
1.检查初始化角色、权限对应关系。检查初始化脚本和需求文档说明是否一致
2.无权限验证。是否有提示,不能显示任何功能页面。
3.单个权限/角色验证。针对每个权限/角色:配置单个权限或角色->登录->检查是否符合权限对应的范围。
4.不给用户赋予任何角色或权限,是否不允许登录系统。
5.对角色所默认的权限进行增删改,原先即拥有此角色的人登录后,权限是否发生变化
6.常用的权限进行交叉组合、全部组合、两两组合或三三组合。
7.权限有交叉的组合测试。
8.针对每一组合权限/角色。
9.配置组合权限或角色->登录->检查是否符合权限对应的范围
10.特殊验证。权限划分是否合理明晰;是否符合常规;是否满足用户的特殊需求;是否以尽量少的权限来界定操作且界定明细。
话说回来,我们软件测试,作为测试人员,对公司的各种软件项目的缺陷情况都是了如指掌的。如果要做什么违法的事情,简直就是拥有得天独厚的优势啊。
因此作为一个拥有超高职业素养的测试工程,我们一定要做到一下几点:
1) 发现了缺陷一定要及时的报告给公司;
2) 不利用任何缺陷给自己谋取私利;
3) 做软件测试工程师,一定要熟读国家法律和公司制度;
4) 当公司的某些决策有问题的时候,涉及软件合规性的一定要提出来;
5) 如果自己没发现的缺陷,别人发现了,一定要及时复测和上报;
更多关于软件测试培训的问题,欢迎咨询千锋教育在线名师,如果想要了解我们的师资、课程、项目实操的话可以点击咨询课程顾问,获取试听资格来试听我们的课程,在线零距离接触千锋教育大咖名师,让你轻松从入门到精通。