2022年4月12日，中國裁判文書網日前披露一則新聞，《易某非法獲取計算機信息系統數據、非法控制計算機信息系統刑事二審刑事裁定書》顯示，在2016年12月27日至2018年2月28日期間，華為公司前員工易某多次通過郵箱將華為公司多個供應商線纜類編碼物料的采購價格發送給上市公司、華為供應商金信諾。并從中獲利1.6萬。

　　當我看到這個數據的時候，我都以為我自己是不是看錯了——1.6萬?而且還有一些是實物。這是有多缺錢啊?

　　那么問題來了，這個易某是怎么倒賣數據呢?其實這個事兒在2017年之后，易某發現華為的erp系統中的一個漏洞，通過該漏洞可以繞過權限控制查看線纜物料價格信息。在獲取機密數據后，易某將這些數據用電話，短信，公司郵件(缺心眼吧)的方式告知深圳市金信諾高新技術股份有限公司，幫助該公司提高中標率。不得不說，這小子是個狠人啊!泄露公司機密還用公司郵件，這是生怕華為不知道嗎?

　　最后法院判定，在2012年至2017年6月30日期間，華為前員工易某收受購物卡共計7000元、籃球鞋5雙(價值共計人民幣16437.6元)。廣東省深圳市中級人民法院的二審維持一審原判，被告人易某犯非法獲取計算機信息系統數據罪，判處有期徒刑一年，并處罰金人民幣2萬元;繼續向易某追繳違法所得共計人民幣23437.6元，依法予以沒收，上繳國庫。為了兩萬元的蠅頭小利就出賣公司，進了監獄，實在是得不償失。人生未來的路也沒了，還有哪家公司敢用啊?

　　不過話說回來，這ERP系統的越權訪問，并能獲取相關數據的這個漏洞，也讓我們知道了，越是負責的軟件系統，權限操作和管理方面的測試越是是軟件測試中的重中之重。什么是權限管理的測試呢?

　　權限管理，一般指根據系統設置的安全規則或者安全策略，對軟件進行：

　　1)功能權限的測試。指定用戶可以處理哪些功能，不能使用哪些功能。

　　2)數據權限的測試。指定用戶可以處理哪些數據，不可以處理哪些數據。

　　3)操作權限的測試。在邏輯關系上，前后順序、數據處理情況。

　　基于此，權限管理方面的測試可以從以下幾個方面進行：

　　1.檢查初始化角色、權限對應關系。檢查初始化腳本和需求文檔說明是否一致

　　2.無權限驗證。是否有提示，不能顯示任何功能頁面。

　　3.單個權限/角色驗證。針對每個權限/角色：配置單個權限或角色->登錄->檢查是否符合權限對應的范圍。

　　4.不給用戶賦予任何角色或權限，是否不允許登錄系統。

　　5.對角色所默認的權限進行增刪改，原先即擁有此角色的人登錄后，權限是否發生變化

　　6.常用的權限進行交叉組合、全部組合、兩兩組合或三三組合。

　　7.權限有交叉的組合測試。

　　8.針對每一組合權限/角色。

　　9.配置組合權限或角色->登錄->檢查是否符合權限對應的范圍

　　10.特殊驗證。權限劃分是否合理明晰;是否符合常規;是否滿足用戶的特殊需求;是否以盡量少的權限來界定操作且界定明細。

　　話說回來，我們軟件測試，作為測試人員，對公司的各種軟件項目的缺陷情況都是了如指掌的。如果要做什么違法的事情，簡直就是擁有得天獨厚的優勢啊。

　　因此作為一個擁有超高職業素養的測試工程，我們一定要做到一下幾點：

　　1) 發現了缺陷一定要及時的報告給公司;

　　2) 不利用任何缺陷給自己謀取私利;

　　3) 做軟件測試工程師，一定要熟讀國家法律和公司制度;

　　4) 當公司的某些決策有問題的時候，涉及軟件合規性的一定要提出來;

　　5) 如果自己沒發現的缺陷，別人發現了，一定要及時復測和上報;

　　更多關于軟件測試培訓的問題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項目實操的話可以點擊咨詢課程顧問，獲取試聽資格來試聽我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門到精通。