在青岛建网站,wordpress建站吧,制作论文招聘网站的,越秀区网站建设事情的经过是这样的#xff1a;
1#xff1a;学员公司测试的 APP 发现有漏洞#xff0c;被要求下架
2#xff1a;他被公司要求去查询 APP 哪里有漏洞
3#xff1a;他来寻求帮助#xff0c;推荐几款安全测试扫描漏洞的问题。
事情的梳理#xff1a;
1:我们看了他的 …事情的经过是这样的
1学员公司测试的 APP 发现有漏洞被要求下架
2他被公司要求去查询 APP 哪里有漏洞
3他来寻求帮助推荐几款安全测试扫描漏洞的问题。
事情的梳理
1:我们看了他的 APP 审查过程并非是安全漏洞发现都是第三方 SDK 的调用而且都是违规收集用户信息的 SDK
2SDK 如下所示
这些 SDK 包括
l 极光推送 SDK 使用目的为用户推送平台的最新活动 收集个人信息类型设备识别信息 采集端iOS/Android
l 支付宝支付 AlipaySDK-iOS-No-UTDID 使用目的帮助用户在应用内使用支付宝。 收集个人信息类型网络信息、地理位置信息、手机号码、唯一设备标识符IMEI/IMSI/MAC 地址、android_id订单信息交易金额、订单号、时间。 采集端iOS/Android
l 微信分享、支付 MobSDK 使用目的帮助用户完成微信登录/分享/微信支付功能。 收集个人信息类型订单信息交易金额、订单号、时间手机号码地理位置联网信息设备型号设备类型唯一设备标识符系统版本。 采集端iOS/Android
l 高德地图 SDK 使用目的收集您的位置信息访问网络用于获取地图服务使用存储权限用于保存地图缓存应用于与位置相关的业务场景如向您展示所在位置周边的库存商品信息便于您选择收货地址向您展示配送信息。 收集个人信息类型收集个人信息类型设备所在位置相关信息GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息设备信息IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息IP 地址。 采集端iOS/Android
l 百度地图 SDK 使用目的收集您的位置信息访问网络用于获取地图服务使用存储权限用于保存地图缓存应用于与位置相关的业务场景如向您展示所在位置周边的库存商品信息便于您选择收货地址向您展示配送信息。 收集个人信息类型收集个人信息类型设备所在位置相关信息GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息设备信息IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息IP 地址。 采集端iOS/Android
l 商汤 ocr SDK 使用目的帮助用户完成身份认证。 收集个人信息类型设备识别信息 采集端iOS/Android
l 友盟 umeng SDK 使用目的识别设备的异常状态。 收集个人信息类型设备类型系统版本用户使用时长首页地址 采集端iOS/Android **l OKHttp3 **SDK 使用目的用于快速定位故障和性能瓶颈优化代码和服务效率保障业务稳定性提升用户体验。 收集个人信息类型设备识别信息 采集端iOS/Android
l 连连收款 SDK 使用目的向用户提供银联支付功能。 收集个人信息类型设备识别信息 采集端iOS/Android
事件的解决建议方案
1上报情况给研发经理和老板告知是因为调用第三方 SDK 违规收集用户信息而非安全漏洞
2目前这个情况只能优先下掉第三方 SDK 的调用先保住 APP 不下架
3APP 下架会带来更多的损失
这个事件的借鉴意义
1作为测试人一定要分清楚什么是漏洞什么是违规使用
2遇到这类违规使用而被要求下架 APP作为测试负责人应该如何反应并处理。
3违规使用第三方 SDK 的信息是否可以在测试中避免或者是测试到是否有用户授权的步骤
4收集用户信息的第三方 SDK值得大家看看
5这也可以算是测试中的一个紧急事件或突发 bug。
如果是你遇到这样的问题你会怎么处理如何去快速求助
作为一个软件测试的过来人我想尽自己最大的努力帮助每一个伙伴都能顺利找到工作。所以我整理了下面这份资源现在免费分享给大家有需要的小伙伴可以关注【公众号开心螺蛳粉】自提 软件测试面试文档
我们学习必然是为了找到高薪的工作下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料并且有字节大佬给出了权威的解答刷完这一套面试资料相信大家都能找到满意的工作。 行动吧在路上总比一直观望的要好未来的你肯定会感谢现在拼搏的自己如果想学习提升找不到资料没人答疑解惑时请及时加入群1150305204里面有各种测试开发资料和技术可以一起交流哦。
