十二、安全性测试
(1)SQL注入(比如登陆页面)
(2)XSS跨网站脚本攻击:程序或数据库没有对一些特殊字符进行过滤或处理,导致用户所输入的一些破坏性的脚本语句能够直接写进数据库中,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性 。
document.write("abc")
<script>alter("abc")</script>
(3)URL地址后面随便输入一些符号,并尽量是动态参数靠后
(4)验证码更新问题
(5)现在的Web应用系统基本采用先注册,后登陆的方式 。因此,必须测试有效和无效的用户名和密码,要注意到是否大小写敏感,可以试多少次的限制,是否可以不登陆而直接浏览某个页面等 。
(6)Web应用系统是否有超时的限制,也就是说,用户登陆后在一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用 。
(7)为了保证Web应用系统的安全性,日志文件是至关重要的 。需要测试相关信息是否写进了日志文件、是否可追踪 。
(8)当使用了安全套接字时,还要测试加密是否正确,检查信息的完整性 。
(9)服务器端的脚本常常构成安全漏洞,这些漏洞又常常被黑客利用 。所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题 。
(10)用户名密码传输过程中是否加密传输 。
十三、测试中应该注意的其他情况
1、在测试时,与网络有关的步骤或者模块必须考虑到断网的情况
2、每个页面都有相应的Title,不能为空,或者显示“无标题页”
3、在测试的时候要考虑到页面出现滚动条时,滚动条上下滚动时,页面是否正常
4、URL不区分大小写,大小写不敏感
5、、对于电子商务网站,当用户并发购买数量大于库存的数量时,系统如何处理
6、测试数据避免单纯输入“123”、“abc“之类的,让测试数据尽量接近实际
7、进行测试时,尽量不要用超级管理员进行测试,用新建的用户进行测试 。测试人员尽量不要使用同一个用户进行测试
8、提示信息:提示信息是否完整、正确、详细
9、帮助信息:是否提供帮助信息,帮助信息的表现形式(页面文字、提示信息、帮助文件),帮助信息是否正确、详细
10、可扩展性:是否由升级的余地,是否保留了接口
11、稳定性:运行所需的软硬件配置,占用资源情况,出现问题时的容错性,对数据的保护
12、运行速度:运行的快慢,带宽占用情况
感谢原作者
https://www.cnblogs.com/fighter007/p/8431133.html
【开发人员需知道的web测试点】
推荐阅读
- 人的潜能有多少 人类的潜能开发了多少
- 微信小程序开发心得
- 工商银行办理银行卡需要什么?
- 翡翠|不同年龄的人,对于翡翠饰品的需求是不同的,你是哪一类?
- 安卓|5G手机需求暴跌上亿部 安卓、苹果齐砍单:四大芯片巨头遭殃
- 适合数据库初级人员 常用的sql语句集合
- Vue 图片压缩并上传至服务器
- 基于springboot+shiro+freemarker的快速开发框架,代码免费分享
- 太极拳:减肥的要领需要记清
- 经常跳绳会对腰好吗?