下面的场景,用安全测试工具是扫不出问题的,因为问题不是出现在技术层面,而是业务层面,也是功能测试需要去cover掉的部分。但是在你我的功能测试阶段,这些问题是很有可能被忽略掉的,所以,我在这里要抛砖引玉,以唤起更多人的注意:

  1. 一个卖家的账号被盗取了,强盗给店家的宝贝设置了三种打折活动,致使买家在购买商品的时候,如果同时选择参加这三种活动的话,不但不需要付费,还能从卖家那里得到钱——这个问题,如果在功能测试阶段,添加这种折扣活动累加的测试用例,会及时发现这种问题。但有时候,可能开发人员会质疑说,卖家不会这么傻,这么设置活动的——买的没有卖的精,是测试想太多了,所以,并没有对折扣活动的累加数目做限制,好,那我们看看下面一个例子;

  2. 今年上半年,京东出现过一个很大的事情,是设置一个买送的活动,但是由于这个活动有个漏洞,是当你买同一个宝贝达到5000件的时候,不但不需要付费,如果继续购买甚至可以得钱,所以有人恶意购买了20000件商品。同样是由于没有对活动的上线做限制,引发了京东商城的大吐血,没办法,后京东商城还是照样发货了,我们在感叹京东商城诚信的同时,是否也反思,如果当初测试人员或者项目成员能够预估到这种活动的极限情况,或者是否有漏洞,那可以避免类似的情况了。

  这只是其中很简单的两个小例子,我相信测试工作中还有很多非技术层面的bug是可以避免的,但是大家要积累,交流和补充。欢迎大家发表看法和补充。