有哪些让你目瞪口呆的 Bug ？ 第4页

从来不需要密码的地方，突然提示需要输入密码。输入已知各种密码，均报错。

实际上是超过了纳税申报日期。

税务局的个税申报系统，提交申报的时候，突然提示需要输入密码。财务懵圈了，因为之前从来没见过这个密码提示。输入网上找的默认密码、税号后六位等，均提示密码错误。还限制输入次数。

税务局热线等了160号人，手机都打热了，得到一句建议咨询所在区税务局。

到了税务局，排号排到了近十一点半。柜台说这个事情建议找咨询台问一下。

下午排了半小时，咨询工作人员建议找系统厂家人员。

系统厂家人员不在。找了一圈发现这个系统没有驻场人员。

又找咨询台，建议找税务局的系统服务人员。系统服务人员看了很懵圈。

又转过来找咨询台。

咨询台用上了传说中的内部求救热线电台。

税局一资深人士研究半天得到结论：你们的个税报晚了。

财务很委屈，上个月也是这个时间报的。

税局人士回答上个月你们就报晚了。但可能后台系统没关闭，所以提交成功了。

再拿号，当天没号了。

一天就这么过去了。

各位为国家信息化出力的大哥，提示个已超过个税申报时间很难吗？非要冒出个密码框？让一群人猜？

当然，猜明白了还有点成就感。

醉了。

我说一个。

美团点评商户后台系统里有个审核功能，包括机器审核和人工审核。

我很久之前做过一张图，给五一劳动节准备的。就是这张图出了问题，提交之后马上被驳回了，原因是图上有一行副标题写的是：劳动最光荣，系统驳回原因是图片上的文字有“最”这个字，不符合广告法要求的不能有“最”“极”这样的极端化描述。

我：……黑人问号

然后提交人工复核，又被驳回了，原因跟系统描述一样。

当时都被气笑了，难道还要讨论一下劳动到底是不是最光荣这样的哲学问题才行吗？

最好结果是我屈服了，因为即使我找到了在线客服也只是反复跟我强调他们管不了审核部门，只能我去掉文字或这张图来解决，又因为毕竟新美大已经垄断了中国市场，而新美大的霸道程度商户们也都是有目共睹的。

就是看不惯新美大的价值观，就是要怼新美大，新美大一生黑，谢谢。

当我想购买正版微软office套件visio的时候遇见了一个神一般的bug。

微软竟然说，outlook邮箱…不！是！他！的！了！

我用了三年的outlook邮箱，他突然就不认我了！

微软：我疯起来连自己都打。

我们起先是8人寝室，不限制功率，晚上阳台灯的亮一晚的，所以刚开始是接阳台灯连插排，后来学校发现了，到时间就连阳台灯也一起关闭了。因为我们寝室旁边是公共卫生间，所以后来我们就连接厕所用电。又被学校给抓了。学校为了禁止偷电和违规接电，让同学们加钱换四人寝室才出现的功率限制。

我们做的时候应该是08年，我们那时候都是台式机，为了游戏效果配置都挺高的，记得我的魔兽小室友一个显卡3000多，忘记是什么型号了。

分割线

当年在大学的时候，晚上十一点寝室准时断电，对于我们的魔兽生涯影响特别的大。

我们学校还有功率限制，超过一定功率，自动跳闸，并在5分钟之内重新连电。

在下午寝室饭局座谈会中，由我们寝室帅气与智慧并存的我提出了一个设想。就是在十一点之前提高用电功率，使其断电，会不会在十一点过后重新连电。此提议得到了大家的一致赞同，并于当晚实验成功，从此我们便开始了决战到天亮的生活！

感谢大家的纠正，当时我们提高功率的方法是两个人把魔兽世界画面效果开到最大 一个人把永恒之塔画面效果调到最大，最后一个人把各种电器全部打开，比如吹风机等。

百度翻译的“简体字转繁体字”功能，简单来说就是你输入“简体字”，百度就给你转换成“簡體字”这样，虽然有时会出现“于”、“於”不分，“后”、“後”不分这样的小失误，但至少还是你输入一个字，它就转换一个字，没毛病吧？

那么问题来了，如果我在转换框里输入“以九仪之命，正邦国之位。”这句话，百度会给我转换成什么呢？“以九儀之命，正邦國之位”吗？然而百度给出的答案是这样——

我输入一个字你楞给我转换出两个字来，这就很离谱了吧！

后来有一次我需要转换的文里偶然带有“大众”两个字，然后百度就给我转换成了——

这回字数是对上了，但好像还是有种哪里不对劲的感觉？

我百度了一下，发现这个福斯是德国一家制造润滑油的公司，这是把大众当成了造汽车的大众，所以就跟润滑油产生了奇妙的联系吗？可我本意不是让您把大众两个字转换成繁体而已吗……

陷入沉思。

暴一个当年在某外资通信设备商碰到的逆天bug，当年折磨的老夫死去活来。B国电信的ethernet over sdh网络时不时发现某些以太网端口不可用，问题一层层报告到研发。

于是实验室苦逼的重现工作开始了。发现当光纤ok板子OK，光纤断了板子也OK。只有光纤慢慢脏了，信号衰减到某一个临界值的时候，有小概率可以重现。不能太脏，不能太干净，必须在脏和不脏之间徘徊千百遍，你妹。

测试大姐拿着光衰减器，在板子上找这个幽灵一般的临界点，每天看到我都满眼怨念，估计心里每天砍我一百遍。其实代码是D国人写的，冤有头，债有主T_T。

各级老板强势围观，email列表里面几十个人，真正干活的就我和测试大姐两个。天天催进度。

好吧，隔离代码开始。协议a单独工作正常，协议b单独工作也正常，当然不能排除测试运气好，这是最头疼的地方。

终于在无数遍默念f*ck和祈祷之后，发现临界于光纤连通和断裂的时候，中断报上来，协议a反复通知协议b，由于过于频繁，协议b无法收敛，最终导致了不可用状态。

问题找到了，怎么优雅的解决呢？荷兰老板冲我鬼魅的一笑，“你是中国工程师，总有办法解决的，给你三天吧。”

大哥，我不是钱学森，不是诸葛亮，不是图灵，三天改代码加测试，还要优雅，画个圈圈诅咒你。

好吧，别怨我憋大招了。解铃还需系铃人人，既然是通知惹的祸，那就改通知。状态不稳定的时候，协议a拿个黑名单默默的记着，时间满了，冲协议b大吼一声：“你去死吧”。然后问题解决了。

这么多年过去了，也不知道这个bug死彻底了没，反正江湖上我再也没听过他的传说。

在做 IP 区域 等字符串匹配时，同事发现的一个 Bug ：

能看出有什么不对的地方麽？

突然想起以前同事遇到的一个关于TeamViewer的BUG

同事在写代码的时候，偶尔会出现无法粘贴或者粘贴出一些莫名其妙的东西，不清楚是为什么，但是因为出现的几率非常小，所以也没在意。

有一次他写着写着粘贴出了一大段代码，瞪眼一看转自CSDN，傻了，不知道什么哪来的。

结果我们几个跑去一看，其中一个同事突然出声了，这是我复制的代码，怎么跑到你电脑上去了。

此时空气突然安静——

经过测试发现，这两个人同时用TeamViewer连着一台服务器，关键在于TeamViewer对多用户链接好像是共用同一个剪切板的，也就是说A在电脑上复制东西，B在电脑上就能粘贴出A复制的内容。

绝了，这长达数月的灵异现象终于发现原因了。

可以刷红包，可以直接将他人钱转到自己账号上算不？下文首发在公众号《测试有话说》。

开发以为开发好了，测试以为测好了，然后钱还是被“合理”盗走了。

最近有各种拼手气红包小程序比较火，诸如包你答、包你拼、包你说等等。很多小程序都是匆匆上线，接口层面设计存在有很大的安全隐患问题，往往容易被人所利用刷红包，刷提现等资金问题。用户一旦发现资金被盗，那这个小程序基本是要废了。

下面根据实际案例，给大家讲讲我是怎么找到一个拼手气红包类小程序的漏洞的。当然，目的是为了学习，不是干坏事。如果你是测试，那你可以在你自家产品上测试是否类似漏洞，如果你是开发，可以查看下代码避免出现有类似漏洞的接口设计。

下面是一个你画我猜的小程序，发起方可以画一幅画，然后塞红包，分享给好友猜，猜中的人就可以获得拼手气红包。

↑↑好友通过分享进入↑↑

1、抢你红包没商量

第一步，抓包，通过抓包可以查看进入图画页所请求的接口返回数据：
https://api.*.cn/index.php/api/drawguess/wechat/Querygroupdrawinfo?t=1514290355&v=afabde532d9a8a4969663fc52870ad54&userid=U20171123062035992245&drawgroup_id=2418599&page=1

       {    "c": "0",    "m": "",    "d": {     "is_redpack": "0",     "ques_id": "997",     "draw_url": "https://..",     "img_url": "https://..",     "ques_user_id": "U201709171243335621796",     "draw_group_id": 2418599,     "prompt": "2u4e2au5b57uff0cu4e50u5668",     "ques_user_avatar": "https://..",     "ques_user_nickname": "u854eKkkkkk",     "num_up": 0,     "num_down": 0,     "right_cot": 35,     "all_cot": 36,     "num_page": "1",     "num_reward": "0",     "is_sub_anwer": 0,     "anwer": "钢琴",     "is_up": 0,     "is_down": 0,     "group_info": [{      "user_id": "U2017122611464418462",      "anwer": "u731cu5bf9u4e86",      "avatar": "https://..",      "t": "20u5206u949fu524d",      "nickname": "xuan u00b7 dog",      "redpack_get": "0",      "redpack_money": "0",      "correct": "1"     }],     "redpack_money": "0",     "redpack_num": "0",     "redpack_num_send": "0",     "redpack_type": "0",     "rand_recommend": "3798417",     "act": "",     "pk_info": "",     "pk_id": ""    } }      

注：返回数据中的"group_info"值以及图片地址是简化处理过的。

从返回数据中结合页面信息，很多字段都可以大概猜测是什么意思，如：answer(答案)
，由于这个关键值的暴露，我们就可以轻而易举知道画里面的答案，然后就可以做到无论画了什么乱七八糟的东西，我都可以回答正确，顺利拿到红包，如啥都没画我就猜中了：

这个时候，再深入研究下就会发现，接口请求参数中有个关键的字段 drawgroupid（画id），而且值是纯数字，自己尝试连续创作几幅画之后，发现这个字段的值是按+1规律增长的，那岂不是可以任意回答任何一篇画了？接着写了个脚本循环就会得出下面的情况：

热心的我把这个bug反馈给了开发者，开发者修复为：如果没有回答对，接口返回信息中的 answer 为空，所以你现在去试的话，会发现 answer 字段接口信息为空。

2、换个身份获取答案

很多人以为上面的bug已经修复了，其实这个bug是没有发现修干净的，怎么说呢？大家再深入想下，这幅图回答者不知道答案，总得有人是要有权限知道答案，在页面显示的吧？猜测是两类可能可能有权要知道，一类是已经回答正确的回答者，一类是画的创建者，显然从画的创建者权限入手找bug是比较合理的，毕竟一幅画一定有创建者，但不一定有正确回答者。

我们重新回到接口返回信息中寻找关键字段，会发现有个 quesuserid ，可以断定这个就是创建者的用户id，抱着试一试的心理，我将请求接口中的userid的值更换为quesuser_id的值，结果发现，真的返回答案了。又可以继续刷红包了，表示很无奈呀。

https://api.*.cn/index.php/api/drawguess/wechat/Querygroupdrawinfo?t=1514290355&v=afabde532d9a8a4969663fc52870ad54&userid=U201709171243335621796&drawgroup_id=2418599&page=1

此时，再细细想一下，发现一个可怕的问题，这么说，这个小程序是完全没有身份态一说呀，一个user_id走天下，所以接下来我又做了进一步的尝试来证明我的想法，就是接下来要说的另外一个bug。

3、转你钱没商量

这个小程序跟钱相关的地方还有个赞赏功能，就是你欣赏一幅画，可以对画的创建者进行打赏，优先使用存在小程序上的余额（免密）。这个时候我尝试了一下查询余额接口，居然没有做任何限制可以查询，尝试了赞赏接口发现只需要转账人id、接收者id、赞赏金额，三个关键参数就可以直接转账了，重点的是user_id也是有规律有序的，我尝试遍历了一下其他人账户余额：

当然，我遍历只是查询余额而已，没有真正把其他账号的钱转到个人账号上，毕竟这对这个小程序的生态破坏太厉害了，不是bug这么简单了，我是通过把自己的赞赏其他用户的形式来验证自己的想法的：

事实证明，真的可以直接转！！！非常热心的我再次向开发者反馈这个问题之后，开发者默默的修复了这个问题，加上了身份态校验，也就是请求参数中的 t、v 这两个参数，其实这两个参数一开始就有的，我也不知道为什么一开始没有生效，难道遗漏了？

总结

• 身份态缺失：没有身份态，直接使用user_id来进行判断身份的实在是少见。其实小程序中，微信提供的token的很好用的一个东西，不知道为什么很多开发者不愿意使用。
• 不该知道别知道：其实就是接口数据不要返回不该返回的信息，一开始设计时接口设计没有关心权限问题。例如上面大answer字段，只要调用画信息接口就会返回所有信息，导致回答者能直接知道答案。
• 加密：与钱相关的接口最好是加密处理，虽然一样可能被破解，还是可以起到一定的门槛作用的。

后话

提现、充值与前相关的接口设计也有一些常见的安全漏洞，下期关键字“并发”，关注《测试有话说》，下次再来说。

---

  li-mu-gen-19 网友的相关建议: 
      

当然是证交所的bug,2007年2月28日是个特殊的日子，这天是海尔权证交易的最后一天，，也是市价委托上线的第一天，，因为权证交易的最后一天没有涨跌停板限制，所以可以申报任何价格，，，因为市价委托，所以不输入价格，直接按市价卖出，，，，南京一股民瞅准机会，以1厘的价格购买800元的权证，，，买价太低，当然不会成交，他的买单排在队列的最后，谁也看不到，，，，，小可怜儿出现了，，一个基金经理图省事，以市价委托卖出持仓量三分之一的权证，，，系统自动撮合，先卖给出价最高的买一，再卖给出价次高的买二，，，，，再卖给，，，，，，，等等，，怎么有个傻逼挂价0.001元，，啪，成交，，，，，，，，，南京那位股民800块钱，1分钟内赚了78万

---