利用日志与secureCRT检查漏洞

今天测试给我反馈一个昨天我修改的漏洞，但是测试反馈给我说是并没有解决。在开发中分为开发环境与测试环境。开发环境前后端联调结束然后各自发布包到测试环境，然后测试人员开始测试。

我们前端采用的nodejs + thrift ，后端使用java去实现接口。最开始我又测试了本地开发环境，没有问题。前后端正常。但是测试环境到底是为什么会依然没有修改，跟前端沟通完确认了都是修改后的包。

这个时候要去查看日志。日志就是为了跟踪业务逻辑，传入和返回参数与异常等情况要在日志里有所体现。而且日志有不同的级别，可以选择打印选择的级别以上的级别。这样可以不被不关心的日志数据所迷惑。

最开始怀疑是发布的jar包代码有问题，我们要去linux服务器上将测试环境我们发布的jar包下载下来，这里我们用的客户端为secureCRT，这里需要从linux上下载文件，我们可以用sz和rz命令，sz和rz都是相对服务器来说，sz为发送（对于客户端是下载）。rz为接受（对于客户端为发送）。

最开始查看该日志并没打印，感觉很奇怪，后来知道是日志的级别太低没打印。因此去配置文件修改级别。直接在xml文件里修改并不方便，因此用占位符value = “${propertyName}”隔离出来放在.property文件里这样方便修改。修改了日志级别之后，果然可以正常打印日志。

这是我们开发环境调用该方法的参数：

而在测试环境：

经过日志排查，发现了一个前端的参数传给我的campaignId 为null。这个时候我去跟前端沟通是否是最新的包在测试环境，他们检查后没有异常，后来发现是测试环境服务没重启。后来同事还建议我下次遇到这种情况还可以用wireShark抓包更细粒度去检测前端传送的数据。
secureCRT介绍参考博客