活动
从 2023-03-28 到 2023-04-26
2023-04-24
- 09:36 优化 #6155: 系统定期进行漏扫和备份恢复测试
- 漏扫软件:AWVS(开源的,可以下载下来用)
2023-04-23
- 17:34 优化 #6195 (待开发): 渗透测试-逻辑漏洞(越权)
- 登录系统后测试发现,系统“日志管理--消息推送管理”位置存在逻辑漏洞,可利用漏洞通过修改数据包中关键参数值越权查看其他机构的消息推送。
当前用户无法选择“所属机构”,仅能查看江苏统一本部的消息推送:见附件1
截获如下请求数据包... - 17:31 优化 #6194 (待开发): 渗透测试-敏感信息泄露
- 登录后测试发现,系统多处位置在回包中泄露大量用户的姓名、手机号、身份证号等敏感信息,造成敏感信息泄露,如下以3处位置为例,建议自查。
位置1、系统“用户管理--团队用户”位置在回包中泄露用户名、手机号、身份证号等个人敏感信息: 见附... - 17:27 优化 #6193 (待开发): 渗透测试-map源码泄露
- 测试发现,系统如下页面泄露.map文件,测试人员可根据泄露文件还原JS源码。建议在生产环境下,关闭source map。
链接:http://mp.ybx.greatcai.com/Assets/bootstrap-select/j... - 17:25 优化 #6192 (待开发): 渗透测试-IP泄漏
- 测试发现,系统存在如下数据包泄露内网IP地址:
- 16:41 优化 #6160 (新建): 服务器配置升级-银保信服务器配置安全审计
- 16:40 优化 #6158 (新建): 服务器配置升级-银保信应用站点及数据库服务器身份鉴别方式完善
- 16:37 优化 #6154: 安全计算环境-数据资源-BS管理系统业务和个人信息在存储过程中的保密性
- 存在数据库里的就是加密的。用户密码需要以加密形态存储,加密方式使用AES,既安全又高效。
- 16:37 优化 #6152: 安全计算环境-数据资源-BS管理系统业务和个人信息在存储过程中的完整性
- 存在数据库里的就是加密的。用户密码需要以加密形态存储,加密方式使用AES,既安全又高效。
- 16:37 优化 #6149: 安全计算环境-应用系统-BS管理系统加强鉴别数据在存储过程中的保密性
- 存在数据库里的就是加密的。用户密码需要以加密形态存储,加密方式使用AES,既安全又高效。
- 16:36 优化 #6147: 安全计算环境-应用系统-BS管理系统加强鉴别数据在存储过程中的完整性
- 存在数据库里的就是加密的。用户密码需要以加密形态存储,加密方式使用AES,既安全又高效。
- 14:36 易保通-B/S管理系统 错误 #6191 (开发完成): 【郑州】权益审核显示审核通过,财富中心-支付流水也能查到流水信息,但车险投保单-支付流水查看界面查询不到
- 因系统正在下载与客户操作审核撤销权益动作并发导致未正确关联结算单和投保单关系,
导致流水未正确在投保单中显示。现已后台关联,可正常在投保单中查看流水 - 10:48 易保通-B/S管理系统 错误 #6191 (开发完成): 【郑州】权益审核显示审核通过,财富中心-支付流水也能查到流水信息,但车险投保单-支付流水查看界面查询不到
- 权益审核显示审核通过,财富中心-支付流水也能查到流水信息,但车险投保单-支付流水查看界面不显示任何信息
问题车辆:豫A05KT5 机构:华保登封
2023-04-17
2023-04-07
- 17:10 易保通-UI设计 新功能 #6187 (新建): 保客岛宣传册设计
- 保客岛logo创建完成后,设计宣传册
- 17:05 易保通-UI设计 新功能 #6186 (新建): 保客岛logo
- 保客岛logo制作
- 17:04 易保通-UI设计 新功能 #6185 (新建): 室内设计
- 室内美化,包括(507入门墙面、财务办公室墙面、韩总办公室沙发墙)主要是这三块,其余多想想,如何将办公室利用及美化。
- 16:57 易保通-UI设计 优化 #6183: 九章logo优化
- 九章logo需要 “九”字变形,九章数科文字需变形,“九“高级感强烈一些,需要多做一些变形及设计排列。
- 09:19 易保通-UI设计 优化 #6183 (新建): 九章logo优化
- 九章logo图形过于平面,不高级,根据现有的图形进行设计的更加立体和高级感。
- 14:02 易保通-B/S管理系统 错误 #6184 (开发完成): 发票申请中添加收款银行填写
- 发票申请功能提交申请后可以自动发起钉钉申请,钉钉申请中有一项为“收款银行”填写,且为必填项,因此需要在发票申请中添加此项,能够对应到钉钉申请,不需要人工二次填写
- 09:09 易保通-UI设计 新功能 #6182 (已解决): 测试
- 09:09 易保通-UI设计 新功能 #6182 (已确认): 测试
- 09:09 易保通-UI设计 新功能 #6182 (UI设计评审): 测试
- 09:09 易保通-UI设计 新功能 #6182 (UI设计中): 测试
- 09:08 易保通-UI设计 新功能 #6182 (已解决): 测试
- 测试说明
2023-04-06
- 17:46 易保通-UI设计 优化 #6180 (新建): 测试5
- 15:59 错误 #6173 (暂不解决): 【十全车服】小程序需要立刻完善的5个问题
- 1、发券功能,开发提供发券功能页面供保险公司人员用来发券,
2、批量发券后,推送短信提示。
3、增加券码使用限制,每月限制使用几张。
4、增加券的生效日期
5、券退回逻辑,误消券后可退回重新使用。
2023-04-04
- 10:09 新功能 #6169 (待开发): 青岛华泰推修定制开发
- 以【华泰推修设计图及方案.zip】为准
- 10:06 新功能 #6169 (需求评审): 青岛华泰推修定制开发
- 10:06 新功能 #6169 (需求设计中): 青岛华泰推修定制开发
- 10:06 新功能 #6169 (需求待设计): 青岛华泰推修定制开发
- 09:47 错误 #6172 (开发完成): 系统弱口令用户问题
- 系统存在大量弱口令用户,可利用弱口令123456冒用他人身份登录系统,造成身份冒用、敏感信息泄露。
现需做以下改动:
1.新建用户时将初始密码“123456”改为"Admin@123"。
2.使用初始密码登录系统,强制修改密码的...
2023-04-03
- 17:07 优化 #6153: 安全计算环境-数据资源-BS管理系统业务和个人信息在传输过程中的保密性
- 解决方案:改为https访问。
更换协议不需要报备,但是改成https之后,需要联系银保信增加对外发布端口(443端口)。找当时负责服务器的王学飞/甘伟伟 - 17:07 优化 #6150: 安全计算环境-数据资源-BS管理系统业务和个人信息在传输过程中的完整性
- 解决方案:改为https访问。
更换协议不需要报备,但是改成https之后,需要联系银保信增加对外发布端口(443端口)。找当时负责服务器的王学飞/甘伟伟 - 17:06 优化 #6148: 安全计算环境-应用系统-BS管理系统加强鉴别数据在网络传输过程中的保密性
- 解决方案:改为https访问。
更换协议不需要报备,但是改成https之后,需要联系银保信增加对外发布端口(443端口)。找当时负责服务器的王学飞/甘伟伟 - 17:06 优化 #6151: 安全计算环境-应用系统-BS管理系统加强鉴别数据在网络传输过程中的完整性
- 解决方案:改为https访问。
更换协议不需要报备,但是改成https之后,需要联系银保信增加对外发布端口(443端口)。找当时负责服务器的王学飞/甘伟伟 - 17:03 优化 #6146: 安全计算环境-应用系统-BS管理系统用户角色细化
- 即在管理系统中新增系统管理员、安全管理员和审计管理员三个角色。每个角色只能看到权限内的内容和操作,只为银保信定制,以改动小为原则
- 17:01 优化 #6145: 安全计算环境-应用系统-BS管理系统登录口令验证机制升级
- 要求短信验证码使用密码算法生成,常用算法有OTP,推荐用HOTP或者TOTP
- 14:20 易保通-微信客户端 错误 #6171 (待开发): 权益审核取消后重新填写支付信息无法保存
- 在微信公众号投保单查询进行权益审核取消,填写完新的信息后无法保存支付信息,填写完信息点击保存会刷新页面,但查看还是权益审核取消状态,填写的支付信息也消失不见,需修改
- 11:19 易保通-微信客户端 错误 #6170 (待开发): 已下载保单在微信端再次下载不显示重复下载,且下载成功
- 已认领的保单在微信端下载仍旧能够被下载,且下载过程中没有任何保单重复下载的提示,需修改,同一车辆不允许在PC端下载后能够再在微信端下载,数据来源进行区分,在微信端下载的来源显示为:从保险公司下载保单-微信端
且在微信端下载保单,填写...
2023-03-29
- 09:55 新功能 #6169: 青岛华泰推修定制开发
- 追加效果图
- 08:59 新功能 #6169 (开发完成): 青岛华泰推修定制开发
- 需求内容详见附件。
原华泰报案系统截图见附件。
导出 Atom