首页 收银系统正文

从王碎锵到收银软件被利用贪污28万,谈谈软件安全的问题

从王碎锵到收银软件被利用贪污28万,谈谈软件安全的问题


可能很多不玩游戏的人不知道王碎锵是谁。王碎锵指的是网络游戏魔兽的一个漏洞。其中一个功能叫同一战网账号共享功能。想想网易那么大的公司,居然有那么大漏洞,居然让同一个身份证创建的战网账号,就可以把账号上的坐骑通过账号分离服务,无限制复制到新的战网账号。


结果,就是坐骑账号几乎全部被复制,其中复制最多的就是一个身份证叫王碎锵的人,结果大家在拥有坐骑数量很多的玩家之间互加好友,发现大家都叫王碎锵,你说好玩不好玩!网易后来就封杀了这个账号。


我们从技术层面分析下这个事情。一个账号的坐骑可以复制是正常的,但是应该是转移比较正常。无限制的复制就等于凭空创造无限的装备,那还玩什么?这个从技术层面是多简单,犯的是多幼稚的错误!


从王碎锵到收银软件被利用贪污28万,谈谈软件安全的问题



再来看一个火锅店,通过收银软件的漏洞截留营业款,删除客户订单,修改营业收入,瓜分现金营业额达28万。我听了有点不可思议。如果说从王碎锵的问题,完全是开发商的问题。那么这个问题,就不是开发商那么简单了。因为收银软件还是有权限控制的。但是作为店长、大堂经理、厨师长、收银员都一起联合作案,说实话也反映了这个老板实在不怎么样。背叛不是那么容易的,要那么多人一起背叛,只能说这个老板人品不怎么好,而且有点傻。难道店里一个眼线都没有?


结果就是店长以自己的高级权限创建一个特殊账号,让收银员删除菜品,截留现金。同时厨师长、大堂经理等一起把打印出来的退单票据予以销毁,最终还把收银系统的操作日志全部删除。


我们看到没,这个作案过程,其实收银软件没任何问题,因为收银软件怎么也不可能防止一整套的篡改。甚至连日志都删除了。可谓心思缜密啊!我想这个从王碎锵的漏洞,如果面对这群人的骚操作,我怀疑一下子还不能被发现。由此可见,我们所谓软件开发商,也需要多思考,我们有时候面对的真不是一般使用者。这些人可以算得上最佳软件测试员,比软件公司的测试员厉害多了。


从王碎锵到收银软件被利用贪污28万,谈谈软件安全的问题



坦白说这个收银软件安全性说明还是不错的,至少有权限控制有操作日志。但是傻的是老板把一切权限都给别人了。我认为作为老板应该明白,哪些最底层的权限必须自己掌握的。比如删除日志的权限,比如账号增加删除的权限。


另外我认为收银软件还是有点问题的。就是删除菜品是不对的。我们一般的做法是,你点一瓶啤酒,点了就是点了,不能删除,你要删除只能再开一个记录 数量 -1,来冲单。这样如果你要删除,就必须另外有记录。 和直接删除结果看起来一样,从安全性是完全不一样。一切操作都要有记录,这个应该是软件开发的最基本的原则。


王碎锵到收银软件被利用贪污28万,谈谈软件安全的问题,我觉得我们软件公司的测试员,太谨慎,很多时候怕出问题,其实这个就不对。软件测试员其实就应该希望出问题。应该要搞出问题来才对,你不搞出问题来,别人来搞出问题!


admin 收银系统 2019-11-30 94 0

版权声明本文仅代表作者观点,不代表本站立场。本文系作者授权发表,未经许可,不得转载。