2022年4月12日，中國(guó)裁判文書(shū)網(wǎng)日前披露一則新聞，《易某非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)刑事二審刑事裁定書(shū)》顯示，在2016年12月27日至2018年2月28日期間，華為公司前員工易某多次通過(guò)郵箱將華為公司多個(gè)供應(yīng)商線纜類編碼物料的采購(gòu)價(jià)格發(fā)送給上市公司、華為供應(yīng)商金信諾。并從中獲利1.6萬(wàn)。

　　當(dāng)我看到這個(gè)數(shù)據(jù)的時(shí)候，我都以為我自己是不是看錯(cuò)了——1.6萬(wàn)?而且還有一些是實(shí)物。這是有多缺錢(qián)啊?

　　那么問(wèn)題來(lái)了，這個(gè)易某是怎么倒賣(mài)數(shù)據(jù)呢?其實(shí)這個(gè)事兒在2017年之后，易某發(fā)現(xiàn)華為的erp系統(tǒng)中的一個(gè)漏洞，通過(guò)該漏洞可以繞過(guò)權(quán)限控制查看線纜物料價(jià)格信息。在獲取機(jī)密數(shù)據(jù)后，易某將這些數(shù)據(jù)用電話，短信，公司郵件(缺心眼吧)的方式告知深圳市金信諾高新技術(shù)股份有限公司，幫助該公司提高中標(biāo)率。不得不說(shuō)，這小子是個(gè)狠人啊!泄露公司機(jī)密還用公司郵件，這是生怕華為不知道嗎?

　　最后法院判定，在2012年至2017年6月30日期間，華為前員工易某收受購(gòu)物卡共計(jì)7000元、籃球鞋5雙(價(jià)值共計(jì)人民幣16437.6元)。廣東省深圳市中級(jí)人民法院的二審維持一審原判，被告人易某犯非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑一年，并處罰金人民幣2萬(wàn)元;繼續(xù)向易某追繳違法所得共計(jì)人民幣23437.6元，依法予以沒(méi)收，上繳國(guó)庫(kù)。為了兩萬(wàn)元的蠅頭小利就出賣(mài)公司，進(jìn)了監(jiān)獄，實(shí)在是得不償失。人生未來(lái)的路也沒(méi)了，還有哪家公司敢用啊?

　　不過(guò)話說(shuō)回來(lái)，這ERP系統(tǒng)的越權(quán)訪問(wèn)，并能獲取相關(guān)數(shù)據(jù)的這個(gè)漏洞，也讓我們知道了，越是負(fù)責(zé)的軟件系統(tǒng)，權(quán)限操作和管理方面的測(cè)試越是是軟件測(cè)試中的重中之重。什么是權(quán)限管理的測(cè)試呢?

　　權(quán)限管理，一般指根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，對(duì)軟件進(jìn)行：

　　1)功能權(quán)限的測(cè)試。指定用戶可以處理哪些功能，不能使用哪些功能。

　　2)數(shù)據(jù)權(quán)限的測(cè)試。指定用戶可以處理哪些數(shù)據(jù)，不可以處理哪些數(shù)據(jù)。

　　3)操作權(quán)限的測(cè)試。在邏輯關(guān)系上，前后順序、數(shù)據(jù)處理情況。

　　基于此，權(quán)限管理方面的測(cè)試可以從以下幾個(gè)方面進(jìn)行：

　　1.檢查初始化角色、權(quán)限對(duì)應(yīng)關(guān)系。檢查初始化腳本和需求文檔說(shuō)明是否一致

　　2.無(wú)權(quán)限驗(yàn)證。是否有提示，不能顯示任何功能頁(yè)面。

　　3.單個(gè)權(quán)限/角色驗(yàn)證。針對(duì)每個(gè)權(quán)限/角色：配置單個(gè)權(quán)限或角色->登錄->檢查是否符合權(quán)限對(duì)應(yīng)的范圍。

　　4.不給用戶賦予任何角色或權(quán)限，是否不允許登錄系統(tǒng)。

　　5.對(duì)角色所默認(rèn)的權(quán)限進(jìn)行增刪改，原先即擁有此角色的人登錄后，權(quán)限是否發(fā)生變化

　　6.常用的權(quán)限進(jìn)行交叉組合、全部組合、兩兩組合或三三組合。

　　7.權(quán)限有交叉的組合測(cè)試。

　　8.針對(duì)每一組合權(quán)限/角色。

　　9.配置組合權(quán)限或角色->登錄->檢查是否符合權(quán)限對(duì)應(yīng)的范圍

　　10.特殊驗(yàn)證。權(quán)限劃分是否合理明晰;是否符合常規(guī);是否滿足用戶的特殊需求;是否以盡量少的權(quán)限來(lái)界定操作且界定明細(xì)。

　　話說(shuō)回來(lái)，我們軟件測(cè)試，作為測(cè)試人員，對(duì)公司的各種軟件項(xiàng)目的缺陷情況都是了如指掌的。如果要做什么違法的事情，簡(jiǎn)直就是擁有得天獨(dú)厚的優(yōu)勢(shì)啊。

　　因此作為一個(gè)擁有超高職業(yè)素養(yǎng)的測(cè)試工程，我們一定要做到一下幾點(diǎn)：

　　1) 發(fā)現(xiàn)了缺陷一定要及時(shí)的報(bào)告給公司;

　　2) 不利用任何缺陷給自己謀取私利;

　　3) 做軟件測(cè)試工程師，一定要熟讀國(guó)家法律和公司制度;

　　4) 當(dāng)公司的某些決策有問(wèn)題的時(shí)候，涉及軟件合規(guī)性的一定要提出來(lái);

　　5) 如果自己沒(méi)發(fā)現(xiàn)的缺陷，別人發(fā)現(xiàn)了，一定要及時(shí)復(fù)測(cè)和上報(bào);

　　更多關(guān)于軟件測(cè)試培訓(xùn)的問(wèn)題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項(xiàng)目實(shí)操的話可以點(diǎn)擊咨詢課程顧問(wèn)，獲取試聽(tīng)資格來(lái)試聽(tīng)我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門(mén)到精通。