背景:公司自研聊天软件集成应用系统,应用系统登录了之后,某些功能如查看客户,可以自动调起并登录聊天软件打开聊天窗口。
前提:集成测试环境中,用了其他同事的账号登录测试。
问题描述:
测试某一功能:点击人员名称,打开修改界面。期望结果是打开修改界面。
实际结果:聊天软件我自己的账号被踢出,直接登录同事的账号,没有任何提示和扫一扫确认动作。
问题严重程度:严重
事情处理经过:
1.调起聊天软件功能是其他项目组的功能,我对此业务场景不了解,认为能随意登录他人聊天工具肯定就不合理,所以就找到对应的项目经理找人
2.找到了其他项目组开发、产品
3.最终确认业务场景就是如此。应用系统集成聊天软件,应用系统登录了就可以直接调起聊天工具。
4.我认为即便业务如此,也应该有确认登录的验证步骤,如扫一扫,给出建议
根本原因:
1.测试对其他组业务不熟悉,虽然试过其他账号但是不能重现,认为是功能问题
2.登录重要软件没有验证确认步骤-产品设计漏洞
最终处理结果:
增加扫一扫确认步骤
总结:
虽然结果看似是闹了个乌龙,但是这个系统集成绝对是有安全漏洞的。
1.应用系统登录和聊天软件登录是异步的,并不会在登录系统时就会登录聊天软件,为什么在查看人员或客户时,集成这个功能,也没有提示具体用途
2.应用系统仅仅是从聊天工具中导入了现有的公司人员信息,这可能是系统管理员来操作的。用户个人并没有确认授权,就可以直接集成上去这不太安全(企业软件,所以这样操作会方便些?)
3.登录之前没有扫一扫确认,直接登录账号,这不合理