⼀个由“2020年1⽉7⽇京东出现的重⼤Bug漏洞“引起的思
什么是理事会考......
2020年1⽉7⽇,京东由于优惠券设置错误,导致⼤量产品以0元或者超低价成交,并且发货。很多⽹友还表⽰收到货了,在⽹上晒出到货截图。下⾯为购买截图:
之后,京东做出关于此事件的说明,将拦截订单,召回发货商品。
《关于2020-1-7,⼤量0元单活动说明》
尊敬的京东⽤户⼤家好,因为1⽉7⽇优惠券设置错误原因,导致⼤量产品以0元或者超低价的情况下成交,并且发货。⽬前对此京东已经做出处理⽅案。
1,针对未发货的订单,京东已经做拦截处理,并且后续不会发货。
2,针对已经发货的产品,京东已经做出拦截处理,商品将会召回。
3,针对部分已签收的订单,如果您满意⼿中的产品,可以按照原价的8折购买,如果不满意请直接取消,取消后配送员将在24⼩时内上门取回商品,感谢您的配合。因为这次错误给您带来的抱歉,京东深感歉意,所有被召回或者拦截的订单,处理成功后系统会⾃动为您发放⼀个20元的⽆门槛优惠券,作为赔偿。
感谢您对京东的⽀持,提前祝福各位新年快乐。
⽹上更是传出京东负责⼩家电的项⽬组全体被开除,年终奖⾦补偿没有,甚⾄可能还会被京东法务起诉,被问责的消息!
很多IT从业者表⽰职业⾼危性,因为⼀个“不⼩⼼”,就天降“重⼤bug”,公司遭受重⼤损失,个⼈⾯临赔偿甚⾄坐牢的风险。
02
这⾥不由得让我想起去年1⽉20号凌晨“拼多多薅⽺⽑事件”,同样是优惠卷的bug,⽤户可以直接领取⼀个⽆门槛的100元优惠卷,全场通⽤(特殊商品除外),有效期⼀年。⽺⽑党半夜被同伴叫醒开始疯狂薅⽺⽑。
之后,拼多多于20号上午9点左右把100元⽆门槛优惠券全部下架,之前领到未使⽤的优惠券也全部下架。并官⽅回应称,此事系⿊灰产团伙利⽤平台漏洞进⾏不正当牟利,公司已第⼀时间修复漏洞并向公安机关报案。⽹传这起薅⽺⽑事件导致拼多多预计损失200亿。
03
感恩母亲节演讲稿时间再往前回到17年,有⽹友爆料⽀付宝存在⼀个漏洞,陌⽣⼈有1/5的机会登录你的⽀付宝,⽽熟⼈则可能100%登录你的⽀付宝。
⽅法是这样的:登录⼿机账号——忘记密码——⼿机不在⾝边——淘宝买过的东西9张图⽚选1个——好友验证9个好友图⽚选1个——重置密码——登录成功。
登录成功后拥有⽀付宝的全部功能。⽀持免密⽀付。甚⾄直接扫⼆维码付款不⽤密码。
从⽀付宝改密码的步骤,像通过熟⼈、最近购买过的商品验证,就存在很⼤的不安全性。对于熟⼈、甚⾄只是好友中的陌⽣⼈,获取这些信息很容易!!
之后⽀付宝针对此事做出回应:
后⾯有⽹友做出尝试,发现依据⽹传⽅式确实已经⽆法回登录密码了。也就是说⽀付宝已经升级系统,修复了这个漏洞。
启⽰
以上的bug“事故”也只是因为⼀场热搜,被⼴⼤⽹友所熟知。实际软件出现的bug“事故”要多得多,有些被及时修复未被暴露到公众视野,有些暴露了只是未引起重⼤反响。回顾以上的这些软件“事故”,⽆论是运营事故,还是测试事故。在实际⼯作中,关于责任归属,开发/测试/运营/风控⼀个都跑不脱。那作为专业的软件测试⼯程师,于是有了以下思考:
具备过硬的专业技能,让测试⼯作“⽆可挑剔”
作为⼀名专业的软件测试⼯程师,不能因为测试技能不到位导致bug“事故”。我们⾸先要保证的是本职⼯作的严谨及⽆可挑剔,因此需要具备:
软件测试技能:测试流程、bug管理流程、计划/⽤例/报告编写、linux、数据库、相关测试⼯具使⽤;计算机⽹络知识、定位问题及分析等;
编程能⼒:例如java、Python;尽可能了解开发代码的实现逻辑,代码设计及结构、数据库结构;
产品的业务知识及⾏业背景:除了业务本⾝之外,多了解整个⾏业背景,竞品分析;依据不同的业务采取不同的测试策略及⽅法
跳脱传统岗位职责,多⽴于产品设计思考
护照办理>新世界最后的结局什么意思像以上的⽀付宝bug,并不能说开发实现逻辑或测试覆盖上存在纰漏。⽽更多可能是安全等级设计上的不完善。
笔记本键盘清理我们90%以上的测试⼯程师⼀切以产品为尊,完全按照产品需求进⾏测试。这样错了么?貌似没错。但“测试相当于半个产品经理”不能只为⼀句空话,要多⽴于产品设计本⾝去思考,去怀疑!
⽤户权限需要多层控制吗?这样设计会不会暴露安全性问题?操作步骤对于⼩⽩⽤户来说是否太繁琐?敏感信息是否需要加密处理?等。毕竟产品经理或是开发⼈员并不是什么都能想到,且⾯⾯俱到的。
提前预见“⼿残”⾏为,提升安全风险意识
像京东的bug,也许可能只是运营的⼀次“⼿残”⾏为,优惠卷设置错误了。但因为损失过⼤,作为测试的我们也难辞其咎。作为⼀名专业的软件测试⼯程师,尤其是涉及钱的产品,我们可以尽量去预见下可能出现的”⼿残“⾏为,然后多考虑如果”⼿残“了,咱们的系统是否具备应对”⼿残“结果的处理能⼒。
⽐如像这次的优惠卷bug,是否设定⽆门槛⾦额提醒?是否设定界⾯⾃动化巡检功能?是否对数据异常进⾏监控并设定报警机制,同时是否具备撤销功能,等。
基于⽤户⾏为,加强α、β测试
像很多问题,是需要特定的⽤户场景才会出现。当专业的测试团队在测试时,会受到⼀定的⽤户使⽤场景的限制。测试⼈员局限于⽤户个体,⾃然不会预想到所有⽤户出现的真实场景。
这个时候,α、β测试可以让⼤量真实⽤户参与其中,通过“⼈海战术”⼈为地遍历更多真实⽤户使⽤场景,并实时反馈真实场景中出现的bug。
这样当产品正式发布后,可以提前规避掉很多⽤户可能会碰到的问题。但这种测试⽅法,要基于产品本⾝数据安全性去做把控,不⼀定适⽤。
推荐⼀个软件测试学习交流:785128166,⾥有分享的视频,⾯试指导,测试资料,还有思维导图、⾥有视频,都是⼲货的,你可以下载来看。主要分享测试基础、接⼝测试、性能测试、⾃动化测试、TestOps架构、Jmeter、LoadRunner、Fiddler、MySql、Linux、简历优化、⾯试技巧以及⼤型测试项⽬实战视频资料。合理利⽤⾃⼰每⼀分每⼀秒的时间来学习提升⾃⼰,不要再⽤"没有时间“来掩饰⾃⼰思想上的懒惰!趁年轻,使劲拼,给未来的⾃⼰⼀个交代!
互联网的推广:程序员⼆⿊, 关注后免费领取海量学习资料。
好东西要和朋友⼀起分享哦
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论