其他分享
首页 > 其他分享> > T31项目第21天

T31项目第21天

作者:互联网

T31项目第21天


今天是孤尽班学习的第21天,今天跟着宫老师学习的单元测试和系统安全规约等,感谢老师们的辛勤付出,我会继续努力,加油。

单元测试和系统安全规约

1.单元测试规约

1.1单元测试的作用
手动或者工具对被测试对象进行测试操作;
发现系统的BUG
对软件组成部分的测试,检验软件的正确性
提高软件质量
促进代码效率
提升研发效率

1.2.研发测试与测试生命周期W模型
在这里插入图片描述

常见单元测试
在这里插入图片描述
测试的maven的配置,配置在测试时哪些类不进行单例测试
在这里插入图片描述

边界值定义
在这里插入图片描述
AIR原则
原则:可重复性,独立性,自动化

BCDE原则
测试框架的使用
示例数据库相关的

BCDE
Border:边界值测试
Correct:正确的输入,并得到预期的结果
Eroor:证明程序有错
Design:与设计文档相结合

可重复性
独立性
自动化

2.系统安全规约

2.1权限控制

越权访问是Web程序中一种常见的漏洞,超过权限来进行访问
越权的处理方式:
1.前后端同时对用户输入信息进行校验
2.调用功能前,验证用户是否有权限调用相关功能
3.执行关键操作前必须验证用户身份,验证用户是否超过数据的权限
4.直接对象引用的资源ID要加密,防止攻击者枚举ID,敏感数据特殊化处理
5.对于用户的输入,对于可控参数进行严格的检查和过滤

防止越权的解决思路
设置拦截器,后续补充…

2.2 敏感数据处理规约

敏感数据内容示例:服药记录,健康状况,考试分数,姓名,身份证号码,所购商品,信用卡号,工资报酬,银行卡号,订单信息,个人行程,个人照片,家庭成员
脱敏数据处理的原则
保持原有数据特征、保持数据之间的一致性、保持业务的关联性、多次脱敏之间的数据一致性
前端对于数据的处理:特殊内容加* 号代替
日志处理的方式
配置日志中部分内容的隐藏处理
在这里插入图片描述

2.3 Sql注入攻击及其防御

使用# 符号,不使用KaTeX parse error: Expected 'EOF', got '#' at position 4: 符号 #̲符号会匹配传入的参数检验, 符号就是传入具体的值

2.4 XSS攻击及其预防

前端提交后端的信息需要进行过滤处理,对请求的url中信息(去空格,json内容等)进行处理
在这里插入图片描述

特殊信息授权、特殊信息脱敏、特殊信息加密存取、特殊信息加密传输
在这里插入图片描述

2.5 防重、防刷、违禁风控设计公约

在这里插入图片描述
对Url中增加时间搓和签名 和 一窜随机数字作为Url的参数信息,后端对前端中的时间戳和签名进行检验,
防重
短信服务接口重复发送短信的流程:

在这里插入图片描述

基于 nonce 防重放攻击之术
在这里插入图片描述

在这里插入图片描述

防刷
使用sentinel实现Api实现Api接口防刷
在这里插入图片描述
关键资源的防刷处理流程
在这里插入图片描述

标签:防刷,21,项目,规约,单元测试,系统安全,测试,防重,T31
来源: https://blog.csdn.net/weixin_43183611/article/details/121363991