4-11-发现哪些映像比较深刻bug-经典bug-

根据自己的项目来准备，核心要点：

1）有哪些经典或者说影响比较深刻的Bug，最好是与业务相关的Bug，不要举例说前端的Bug

2）具体怎么分析，讲明你的分析过程。如何定位的......

比如:业务逻辑漏洞；

支付功能:

1）商品选择支付的时候，实际已扣款成功，但是用户后台显示该商品没有付款，

导致不能使用该商品提供的服务。

2）商品所显示的价格是x元，但是实际支付的时候显示和扣款的价格是y元(x≠y)

找密码流程：

按照常规操作，会直接跳跃了某个必须的流程(流程缺失)，但是通过url修改参数又可以访问到 该流程，存在安全和逻辑漏洞。

安全漏洞：

1）登录账户：退出or注销之后，浏览器返回键回退之后又可以回到已登录的页面继续操作，识 别用户身份的信息并没有失效，用登录后才能访问的url直接访问也可以登录，安全漏洞。

2）搜索功能：前端页面的搜索输入框中输入特殊敏感符号

(如script> alert(document.cookie)</script)，直接搜索后有可能把当前登录账户的

cookie信息直接以弹框的形式暴露出来。

3）新增功能：一开始没有限制字符的类型和数量，当输入特殊符号、超长的字符，

提交后直接抛出包含有 INSERT INTO的完整SQL语句。

4）前端搜索：以敏感字符直接搜索后，客户端和服务端都没有任何字符过滤or转义处理，

直接把数据库和网站服务器的名称、版本暴露。

数据调用/加载异常:

1）翻页功能：有时候会出现前面几页翻页和数据显示都是正常的，往后再翻页就会

出现翻页不了or加载的数据异常。

2）前端页面有几级菜单的情况下，程序都已经调用过，第一级是正常展示的，但是第二级、

三级有可能被折叠而没有显示在浏览器显示。

3）定位到某个导航主题，调用的数据并不是该主题分类的数据，而是调用成了其他分类的数据。

不可逆操作，导致流程受阻：

1）APP测试，orH5页面测试，触发某个操作，比如手机触屏下滑刷新页面，不能恢复到操作前 的正常页面。

2）输入某个异常值提交之后，程序没有相关的处理机制，导致页面保存，没法继续进行其他操 作。

3）登录方式切换：登录时有几种不同的方式，如：密码登录&短信验证码登录，但同一时刻默认 只能显示一种登录方式，当从密码登录界面点击短信登录切换到短信验证码登录界面之后， 没有切换返回密码登录界面的功能。

4）删除异常：正常情况下可以从列表中删除记录，但是若先对列表记录执行了搜索功能之后， 再次删除的时候可能出现删除无响应而删除不了数据。

5）弹框阻止：当触发某个操作，如“保存”、提交”or某个开关按钮，界面中弹单出一个提示框， 此提示框不管怎么操作都无法关闭，直接阻碍了页面上其他功能的操作。

附件上传时，未控制格式尺寸和容量大小，系统处理出现异常：

1）文件上传功能：没有限制上传的文件格式、尺寸和大小，当上传非常规文件(如js文件)、大 容量文件(如：图片大小>20M)，较大分辨率(如：1600×1200)，服务器没有相应的异常处理 机制，导致网站出现持续长时间的卡顿，影响后续操作。

2）上传的是非常规的文件，如js格式文件，程序无相关控制，直接将js文件上传到数据库， 前端页面访问时若不能解析则出现异常页面。

缺少非空判断，服务器报500错误：

1）编辑包含多个字段的页面时，有一些字段在程序中控制是必填的(事先未知)，但是没有任何 说明提示，当不填写这些字段，直接保存时会出现服务器异常页面，报500状态错误。(特别 是在管理后台容易出现此场景)

2）在形如以下结构的if函数中，关系表达式的条件没有对某个变量(该变量因代码疏漏未作初 始化赋值)进行非空判断，就直接执行语句体，程序已空值null进行参与运算而出现异常， 如500错误if(关系表达式)样式导致异常。

3）某个功能(如：金额输入和统计)在A页面程序限制只能输入正整数，而在B页面却没有相应 控制，若不小心在B页面输入了非正整数，比方小数，A和B的数据分别传递到到同一个C 页面时数据处理会出现异常。

4）文章上传/图片上传：超长字符的文章内容or较大尺寸的图片上传，程序没有进行相关的压 缩和截取，直接完全调取到前端页面，导致浏览样式异常，

App测试过程中常Bug: https：/www.cnblogs.com/123456ww/12198075.html

[经典bug：前端申请借款中，用户没有信用额度或者借款金额超过了用户信用额度但是却能成功提交审核]

[发现途径：我是在模拟借款人，借款金额提示我的可用额度为0，但是我输入5000的借款金额点击提交审核提示我提交成功，等待审核]

[解决：首先我去数据库查找到对应的表，比对我的信用额度跟界面显示的数据是否一样，一样我就把数据库的记录，填写的借款信息和我借款成功的界面显示截图都保存好。之后提交这个bug，开发人员通过修改代码，我再复测，有没有重现bug]

[还有一个就是在借款流程中，我们通过修改数据库中的数据，把借款时间修改了，制造出一个逾期未还款的数据，结果显示还款的金额比借款金额还少，而且管理要收得特别高，存在不合理性]

[还有一个是在产品上线后，运维人员在统计数据时发现少了一条数据，我们去数据库检查发现0分0秒的数据没有统计，后来开发人员修改了代码之后就解决了]

1）服务费计算错误，计算公式开发这边写错，本来是利息0.3，写成003，开发修复bug。

2）退出用户，后退还可以进入到原来的登录完成操作后的界面，原始，退出用户，没有删除用 户对应的 session，导致后退完成后，用户用户 cookie可以进行操作。

3）重新选择下拉框，输入信息全部清空，原因，修改类型，重新刷新界面，输入数据，并没有 保存缓存里面，导致一刷新，原来信息没有，解决，开发选择不同借款类型，不再进行刷新。

4）借款标题，输入xss攻击代码，导致接口所有的数据不存在显示，因为xss脚本，当然代码 处理，开发这边进行转义字符串。

5）谷歌浏览器登录不成功，显示验证码。