功能測試還是安全測試

　　下面的場景，用安全測試工具是掃不出問題的，因為問題不是出現在技術層面，而是業務層面，也就是功能測試需要去cover掉的部分。但是在你我的功能測試階段，這些問題是很有可能被忽略掉的，所以，我在這里要拋磚引玉，以喚起更多人的注意：

　　1. 一個賣家的賬號被盜取了，強盜給店家的寶貝設置了三種打折活動，致使買家在購買商品的時候，如果同時選擇參加這三種活動的話，不但不需要付費，還能從賣家那里得到錢——這個問題，如果在功能測試階段，添加這種折扣活動累加的測試用例，就會及時發現這種問題。但有時候，可能開發人員會質疑說，賣家不會這么傻，這么設置活動的——買的沒有賣的精，是測試想太多了，所以，并沒有對折扣活動的累加數目做限制，好，那我們看看下面一個例子;

　　2. 今年上半年，京東出現過一個很大的事情，就是設置一個買就送的活動，但是由于這個活動有個漏洞，就是當你買同一個寶貝達到5000件的時候，不但不需要付費，如果繼續購買甚至可以得錢，所以有人惡意購買了20000件商品。同樣是由于沒有對活動的上線做限制，引發了京東商城的大吐血，沒辦法，最后京東商城還是照樣發貨了，我們在感嘆京東商城誠信的同時，是否也反思，如果當初測試人員或者項目成員能夠預估到這種活動的極限情況，或者是否有漏洞，那就可以避免類似的情況了。

　　這只是其中很簡單的兩個小例子，我相信測試工作中還有很多非技術層面的bug是可以避免的，但是大家要積累，交流和補充。歡迎大家發表看法和補充。
原文鏈接：http://testing.etao.com/

原文轉自：http://www.anti-gravitydesign.com