【河南软件测试公司：这些问题你在软件测试过程中考虑过么？】

在软件开发及软件测试过程中，系统的安全性是不得不考虑的问题，一旦系统出现安全问题，轻则用户信息或系统数据被盗，重则导致公司资金流失，因此写此文档以此来记录那些年，我们曾经犯过的错，用于警醒后人。文章将包含通用的安全漏洞及特殊案例。

短信发送可能存在的安全漏洞有攻击手段：通过脚本不断调用短信发送接口给指定手机号发送短信，危害：1）用户投诉；2）产生大量短信费用。2、短信验证码。 攻击手段：从短信发送接口返回的报文中获取短信验证码。防御：不在响应报文中返回短信验证码。 3、短信验证，攻击手段：用户发现在验证手机验证码时未将手机号和验证码一起进行验证，从而通过他人手机号和自己手机号的验证码通过系统验证。 危害：用户账号、信息泄露。防御：增加验证逻辑。凡是涉及到权限访问的，务必需要增加权限校验逻辑。 1、订单。订单查询，订单取消，订单创建务必增加用户验证，即：用户只能创建、取消、查询自己的订单。一旦用户能够通过篡改数据查看到其它用户的订单信息，就会导致用户订单信息泄露，比如：券码、取票码、用户姓名，电话，地址等敏感信息泄露。 2、文件下载。不同用户的下载权限不一样，如果对下载的链接未做加密或权限控制，则普通用户可通过修改下载链接的某些参数来下载所有文件。总结：在软件开发或软件测试时，凡是涉及到用户权限的操作，一定要确保权限的安全。