WEB安全测试通常要考虑的测试点
web测试要点
15)鼠标移动到Flash焦点上特效是否实现,移出焦点特效是否消失;
链接测试
链接测试主要分为以下几个方面:
1)页面是否有无法连接的内容;图片是否能正确显示,有无冗余图片,代码是否规范,页面是否存死链接(可以用HTML Link Validator工具查找);
9)是否支持回车键的监听。
微博分享与邮件订阅:您可能感兴趣的文章 (亲!如果本文有错误,请来挑错)
搜索引擎是如何判断有价值的文章
Responsive设计的十个基本技巧
基于WEB UI接口轻量级测试框架及实施方案
Web容器测试模型选择
本文标题:软件测试中的Web测试要点
原文链接:/ceshi/ceshijishu/webcs/2010/0921/194691.html
三、 发布测试 网站发布到主服务器之后的测试,主要是防止环境不同导致的错误。
测试的主要方面:
一、功能测试
对于网站的测试而言,每一个独立的功能模块需要单独的测试用例的设计导出,主要依据为《需求规格说明书》及《详细设计说明书》,对于应用程序模块需要设计者提供基本路径测试法的测试用例。
4、设计语言测试:Web设计语言版本的差异可以引起客户端或服务器端严重的问题,例如使用哪种版本的HTML等。当在分布式环境中开发时,开发人员都不在一起,这个问题就显得尤为重要。除了HTML的版本问题外,不同的脚本语言,例如Java、JavaScript、 ActiveX、VBScript或Perl等也要进行验证。
Web测试有以下几点需要关注:
UI测试
UI测试包括的内容有如下几方面:
1)各个页面的样式风格是否统一;
2)各个页面的大小是否一致;同样的LOGO图片在各个页面中显示是否大小一致;页面及图片是否居中显示;
web测试常用测试点
一、界面测试公共测试用例界面测试一般包括页面文字,控件使用,少图,CSS,颜色等。
1. 文字内容一致性:1)公司要求文字的一致性,例如各种宣传文字、注册的协议条款、版权信息等;2)各处相同含义文字的一致性,例如标题栏文字、页面主题文字、弹出窗口文字、菜单名称、功能键文字等。
样式一致性1)(通常分类包括)各类文字字体、字号、样式、颜色、文字间距、对齐方式;2)按钮的文字间距,按钮长度一定前提下,2个字的按钮,需要中间空一格(或者其它约定,需要统一);3)链接文字,同一类,菜单、小标题、页角文字链接,在点击时颜色变化要相同;4)对齐方式,页面上文字的对齐,例如表单、菜单列、下拉列表中文字的对齐方式(左、右、居中等要统一)语言习惯:1)中文:文字简单,含义明确,无歧异,无重复,无别字,正确运用标点符号。
2)英文。
3)日文。
2. 按钮1)button的样式整体要统一,例如突出、扁平、3D效果等只能选其一;2)采用的图片表述相同功能,要采用单一图标。
3. 文本框1)录入长度限制,根据数据库的设计,页面直接限定录入长度(特殊处屏蔽复制、粘贴);2)文本框自身的长度限制,主要考虑页面样式。
4. 单选框1)默认情况要统一,已选择,还是未选。
5. 日期控件1)图标、控件颜色、样式统一;2)点击控件、文本框均应弹出日期选择框。
6. 下拉选择框1)默认是第一个选项,还是提示请选择一个。
7. 提示信息1)静态文字与它的提示信息一致性,例如静态文字为…ID‟,出错信息显示…用户ID‟;2)空值时,出错信息需要统一,例如可以采用“静态文字”+不能为空;3)出现录入错误时,例如可以统一采用“静态文字”+格式不符合要求;4)提示信息标点符号是否标识;点击上一步,返回的页面上不应残留出错信息;5)静态提示信息,在录入框右侧,应有录入信息的相应要求的提示文字,达到方便操作的目的;6)必输项提示信息,必输项提示信息采用统一的标志。
8. 导航测试死导航、乱导航、操作复杂等。
Web网站的主要测试内容
1.1Web网站的主要测试内容1、网站的主要的测试内容Web网站的测试技术主要涉及如下几个方面进行。
(1)功能测试1)页面内容测试——正确性、准确性、相关性2)链接测试3)表单测试4)数据校验5)Cookies 测试内容——Cookies是否能正常工作,Cookies是否按预定的时间进行保存,刷新对Cookies 有什么影响等。
6)链接测试——超级链接对于网站用户而言意味着能不能流畅的使用整个网站提供的服务,因而链接将作为一个独立的项目进行测试。
7)链接测试可以手动进行,也可以自动进行。
链接测试必须在集成测试阶段完成,也就是说,在整个Web 网站的所有页面开发完成之后进行链接测试.8)表单测试——表单就是一些需要在线显示和填写的表格,表单有一些标准操作,如确认,保存,提交等。
(2)性能测试网站的性能测试主要从两个方面进行:1)负荷测试(Load):负荷测试指的是进行一些边界数据的测试2)压力测试(Stress):压力测试更像是恶意测试,压力测试倾向应该是致使整个系统崩溃。
性能测试可以采用相应的工具进行自动化测试。
(3)安全性测试目前网络安全问题日益重要,特别对于有交互信息的网站及进行电子商务活动的网站尤其重要(4)稳定性测试网站的稳定性测试是指网站的运行中整个系统是否运行正常,目前没有更好的测试方案,主要采用将测试服务器长时间运转进行测试。
(5)兼容性测试操作系统平台测试和浏览器兼容性测试。
(6)用户界面测试(侧重于可用性/易用性测试)(7)压力测试的内容压力测试必须对Web 服务应用以下四个基本条件进行有效的压力测试:重复(Repetition)、并发(Concurrency)、量级(Magnitude)——需要考虑每个操作中的负载量,即也要尽量给产品增加负担、随机变化。
(8)代码合法性测试2、功能测试(1)功能测试的基本方法其基本方法是构造一些合理输入(在需求范围之内),检查输出是否与期望的相同。
Web网站测试流程和方法
一、测试流程所有测试的流程大体上是一致的:开始测试前准备-->需求分析-->测试设计(测试计划,测试用例)-->执行测试--> 提交BUG-->测试总结。
对于web测试,较之其他软件测试又有所不同,这是细节的不同,这个不同需要我们在不停的测试中去总结web测试正式测试之前,应先确定如何开展测试,不可盲目的测试。
一般网站的测试,应按以下流程来进行:1)使用HTML Link Validator将网站中的错误链接找出来;2)测试的顺序为:自顶向下、从左到右;3)查看页面title是否正确。
(不只首页,所有页面都要查看);4)LOGO图片是否正确显示;5)LOGO下的一级栏目、二级栏目的链接是否正确;6)首页登录、注册的功能是否实现;7)首页左侧栏目下的文章标题、图片等链接是否正确;8)首页中间栏目下的文章标题、图片等链接是否正确;9)首页右侧栏目下的文章标题、图片等链接是否正确;10)首页最下方的【友情链接】、【关于我们】等链接是否正确;11)进入一级栏目或二级栏目的列表页。
查看左侧栏目名称,右侧文章列表是否正确;12)列表页的分页功能是否实现、样式是否统一;13)查看文章详细页面的内容是否存在乱码、页面样式是否统一;14)站内搜索(各个页面都要查看)功能是否实现;15)前后台交互的部分,数据传递是否正确;16) 默认按钮要支持Enter及选操作,即按Enter后自动执行默认按钮对应操作。
二、UI测试UI测试包括的内容有如下几方面:1)各个页面的样式风格是否统一;2)各个页面的大小是否一致;同样的LOGO图片在各个页面中显示是否大小一致;页面及图片是否居中显示;3)各个页面的title是否正确;4)栏目名称、文章内容等处的文字是否正确,有无错别字或乱码;同一级别的字体、大小、颜色是否统一;5)提示、警告或错误说明应清楚易懂,用词准确,摒弃模棱两可的字眼;6)切换窗口大小,将窗口缩小后,页面是否按比例缩小或出现滚动条;各个页面缩小的风格是否一致,文字是否窜行;7)父窗体或主窗体的中心位置应该在对角线焦点附近;子窗体位置应该在主窗体的左上角或正中;多个子窗体弹出时应该依次向右下方偏移,以显示出窗体标题为宜;8)按钮大小基本相近,忌用太长的名称,免得占用过多的界面位置;避免空旷的界面上放置很大的按钮;按钮的样式风格要统一;按钮之间的间距要一致;9)页面颜色是否统一;前景与背景色搭配合理协调,反差不宜太大,最好少用深色或刺目的颜色;10)若有滚动信息或图片,将鼠标放置其上,查看滚动信息或图片是否停止;11)导航处是否按相应的栏目级别显示;导航文字是否在同一行显示;12)所有的图片是否都被正确装载,在不同的浏览器、分辨率下图片是否能正确显示(包括位置、大小);13)文章列表页,左侧的栏目是否与一级、二级栏目的名称、顺序一致;14) 调整分辨率验证页面格式是否错位现象;15)鼠标移动到Flash焦点上特效是否实现,移出焦点特效是否消失;16) 文字颜色与页面配色协调,不使用与背景色相近的颜色。
WEB安全评估与防护
随着用户对客户端便利性的要求,加之服务提供方对减少客户端开辟成本和维护成本的期望,越来越多的应用已经转为 B/S (浏览器/服务器)结构。
由于用户对页面展现效果和易用性的要求越来越高, Web 2.0 技术的应用越来越广泛,这样非但促进了Web 应用的快速发展,同时也使 Web 应用中所存在的安全问题越来越明显的暴露出来。
根据 X-Force 的 2022 年年度报告, Web 安全事件数量增长迅猛:2022 年 Web 安全事件增长在这种背景条件下,除了越来越多的站点因安全问题而被攻击者攻陷,导致重要信息泄漏,甚至成为傀儡主机,大量傀儡主机被攻击者利用发动 DDOS (分布式拒绝服务攻击) 。
客户端也面临着不少安全问题,恶意页面的垃圾信息传播、网页挂马导致的恶意程序的传播等等。
1.1 什么是 Web 安全评估Web 安全评估主要在客户的 Web 平台上,针对目前流行的 Web 安全问题分别从外部和内部进行黑盒和白盒安全评估。
根据 Web 多层面组成的特性,通过对Web 的每一个层面进行评估和综合的关联分析,从而查找 Web 站点中可能存在的安全问题和安全隐患。
1.2 Web 安全评估与传统评估服务的区别与传统的系统层面的评估不同, Web 站点的安全评估更加注重“关联性”。
在传统的系统层评估中,评估方向以系统自身安全性和策略的完善程度作为主要的评估方向,目标仅在于揭露系统配置上的缺陷。
而在 Web 站点评估中,除了需要关注系统层面的安全问题外,还需要关注系统组件及第三方应用程序设计的安全性。
而在 Web 站点中,安全问题也再也不像系统安全问题那样只具备单一的层面,而是多个层面叠加产生,因此 Web 安全评估还需要更加注重各个层面安全问题的关联性,将这些问题进行必要的关联分析后来确认Web 站点整体的风险。
从这方面来说,Web 安全评估从人力到技术等各个方面的投入都要大于传统的系统安全评估,而其所能发掘的问题也是多层面的。
WEB性能测试用例设计
WEB性能测试用例设计务器性能测试五大部分,具体编写测试用例时要根据实际情况进行裁减,在项目应用中遵守低成本,策略为中心,裁减,完善模型,具体化等原则;一、WEB 全面性能测试模型Web 性能测试模型提出的主要依据是:一种类型的性能测试可以在某些条件下转化成为另外一种类型的性能测试,这些类型的性能测试的实施是有着相似之处的;1. 预期指标的性能测试:系统在需求分析和设计阶段都会提出一些性能指标,完成这些指标的相关的测试是性能测试的首要工作之一,这些指标主要诸于“系统可以支持并发用户200个;”系统响应时间不得超过20秒等,对这种预先承诺的性能要求,需要首先进行测试验证;2. 独立业务性能测试;独立业务实际是指一些核心业务模块对应的业务,这些模块通常具有功能比较复杂,使用比较频繁,属于核心业务等特点。
用户并发测试是核心业务模块的重点测试内容,并发的主要内容是指模拟一定数量的用户同时使用某一核心的相同或者不同的功能,并且持续一段时间。
对相同的功能进行并发测试分为两种类型,一类是在同一时刻进行完全一样的操作。
另外一类是在同一时刻使用完全一样的功能。
3. 组合业务性能测试;通常不会所有的用户只使用一个或者几个核心业务模块,一个应用系统的每个功能模块都可能被使用到;所以WEB性能测试既要模拟多用户的相同操作,又要模拟多用户的不同操作;组合业务性能测试是最接近用户实际使用情况的测试,也是性能测试的核心内容。
通常按照用户的实际使用人数比例来模拟各个模版的组合并发情况;组合性能测试是最能反映用户使用情况的测试往往和服务器性能测试结合起来,在通过工具模拟用户操作的同时,还通过测试工具的监控功能采集服务器的计数器信息进而全面分析系统瓶颈。
用户并发测试是组合业务性能测试的核心内容。
组合并发的突出特点是根据用户使用系统的情况分成不同的用户组进行并发,每组的用户比例要根据实际情况来匹配;4. 疲劳强度性能测试;疲劳强度测试是指在系统稳定运行的情况下,以一定的负载压力来长时间运行系统的测试,其主要目的是确定系统长时间处理较大业务量时的性能,通过疲劳强度测试基本可以判定系统运行一段时间后是否稳定;5. 大数据量性能测试;一种是针对某些系统存储,传输,统计查询等业务进行大数据量时的性能测试,主要针对某些特殊的核心业务或者日常比较常用的组合业务的测试;第二种是极限状态下的数据测试,主要是指系统数据量达到一定程度时,通过性能测试来评估系统的响应情况,测试的对象也是某些核心业务或者常用的组合业务。
Web软件测试研究
关 键 词 : b软 件 测试 ; 件 测试 ; 系结 构 ; / 构 We 软 体 BS架
表单测试还有重要的一点 : 测试 h l t 语言 的特殊标记 , m 如◇ 、t 等 , <> d 本 文结 合着 We b软件的体 系结 构 以及 We 软 件 的基 本工作 过程 , 在表单中输入这些字符进行各种操作后看系统是否会报错 。 b 分析 了 We 软件测 试的特点 ,并根据 We 软件测试的特 点总结了 We 在 对表单进行测 试时 , b b b 我们要 依据《 需求规 格说 明书》 等文档 逐~地 对每 软件测试 的内容和方 法。 个表单的功能进行测试 。常用 的方法 : 等价类 、 边界值 、 误推测法等 。 错 1 b 件体 系结构 we 软 3 3 Coi 测试 。 ok s . ok s 1 e C oi 通常用来存储用户信息和用户在 某软件 e We 软 件系统 的基本 工作过程 是这样 的 : 户端 , 户通过 浏览 的操作 壶 当一个用 户使用 C oi 访问 了某个 软件 时 , b b 在客 用 , ok s e We 服务 器将 器程序 向 We 服务器 上的服务程序发送一个页面请求 , b b We 服务器根 据 发送关于用 户的信 息 ,把该信息 以 C oi 的形式存 储在 客户端计算 机 ok s e 用户 的请 求向数据库服 务器去取相关 的数据 , b we 服务器从 数据库 服务 上 ,这可用来创建 动态和 自定 义页面或者存 储登 录等信息 。 如 果 We b 器取到相关 的数 据后 , 以网页的形式 发回给客户端。在这里 , b We 服务器 系统使用了 C oi , oke 就必须检查 C oi 是否能正常工作 。 s ok s e 测试 的内容可 和数据库服 务器 可以是 同一 台主机 , We 服务 程序和数据库都放 在一 包 括 :oke是 否起作 用 , 即 b C oi s 是否按 预定 的时 间进 行保存 , 刷新 对 C oi ok s e 台主机上 。We 软件 系统 的体 系结 构和工作过程如下 : b 是否有影响 ,oke 中的某些重要数据是否 加密。 oke测试 我们也 可 C oi s C oi s 从左 图可以看 以借助 软件来查 看本 机的 coi 等 ,常用 的软 件是 ICo i Ve oke s E oke i s w和 窖户机 We1务器 bi ]  ̄ 数据阼服务器 o e n g r 出 , b软 件 的 运 Co kisMa a e 。 We 行 涉及到 了浏 览器 3 4 数据库测试 。在 We 应用技术 中 , 库起着 重要 的作 用 , . 1 b 数据 数 程 序 、 b服 务 器 据库 为 We 应用 系统 的管理 、 we b 运行 、 询和实 现用户对 数据存 储 的请 求 查 程序 和数据库 软件 等提供空间 。 We 应用 中 , 在 b 最常用 的数 据库类 型是关系型数据库 , 以 可 Wel务程序 b ̄ t 数据库软件 这 三种实体 , 浏览器程序 那么 , 使用 S L Q 语句对信 息进行处理 。在使用 了数 据库 的 We 应 用系统 中, b 一 请求 页面 叟 档 我们 的测试就 要对 股 隋况下 , 可能发生两种错误 , 分别是数据一致性错 误和输 出错 误 。数据 每种 实体 以及 实体 致性错误主要是 由于用户提交 的表 单信 息不正确 而造成 的 ,而输出错 j { 与实体之 间的接 口 误主要是 由于网络速度或程序设计 问题 等引起的 , 针对这两种 情况 , 可分 进 行 研 究 ,分 析 别进行测试 。 发问虹蜥 We 软 件测试 的特 b 3. .5设计语言测试 。 b 1 We 设计语言版本 的差异 可以引起客户端或服 点 , 结 出 We 测 务器端严 重的问题 , 总 b 例如使用哪种 版本 的 H M T L等 。当在 分布式 环境 中 W b 件系统的体系结构和工 作过程示意图 e软 试 的测试 内容。 开发 时, 开发人员都不在一起 , 这个问题就显得尤为重要 。除了 H M T L的 2we 软件测试 的主要牛| b 寺 版本 问题外 ,不 同的脚 本语言 ,例如 Jv 、 vSr t A t e V Sr t aaJ aci 、 cvX、B ci a p i p We 软件具有 易用性 、 b 交互性 、 分布性 、 多用户并 发陛 、 台兼容 陛等 或 Pr等也要进行验证 。 平 e l 特点, 这些牦 对 软件测试 提出了新的要求 , b we 软件测试的特点主要体 3 . 2界面测试 。界面测 试通常需要测试 的内容有 :e 软件的整体界 wb 现在如下几个 方面 :) b软件运行 在因特 网上 , 户众多 , 户层次差 面风 格是 否搭配 ;e 软件界面风格 与网站 主题是否搭 配 ;e 软件控 件 (We 1 用 用 wb wb 别大, 因此, b We 软件要易于各种层次用户的使用 , 测试过程中需要考虑 的布 局是否合理 , 是否人 l化 ;e贝 面 上字体的大小 、 、 式是否 人 生 wb 颜色 样 软件是否易用 、 否人性化。(We 软件涉及浏览器程序 、 h 是 2 b ) we 服务器程 性化 ; 页面上 的提示信 息 否正确 ; 面上 文字 是否正确显示等等 。 是 页 例如 : 序和数据库程序三种实体 , 这三种实体频繁 的进行 数据交互 , 需要对实 体 按钮文字 与按钮 功能不 相符 ; 滚动条 拉到最后也不能 完全显示 网页内容 ; 间的接 口以及数据的一致性就行测试 。 ) b (We 软件运行在 因特网上 , 户 显示 的数 据不会 自动分行等等 。 3 用 通常分布 在不 同地方 , 通过开放 的 因特 网访 问 We 服 务器 , 据有可 能 b 数 3 . 口测试 3接 被窃取 、 或删除 , 篡改 因而需要 安全 眭测试 。(We 软件 拥有大量 的用 户 4 b ) 3 .服务器接 口。 .1 3 测试浏 览器 与服务器的接 口的正确性 。 测试 人员 群 , 要对多用户并发 、 需 响应时间 、 吞吐量 、 b We 服务器 资源利用率等性 能 提交 事务 , 然后查看服 务器记 录 , 证在浏览器上看 到的正好是 服务器 并验 指标进行测试 。(We 软件 的所运行 的硬件环 境和软件环 境多样化 , 5 b ) 例 上 发生的。测试 人员还可以查询数据库 , 确认事务数据 已正确保存 。 如: 不同的硬件 、 不同的网络 议 、 操作系统 、 b We 服务器 、 浏览器 等 , 因而 3 . 部接 口。 如 We 软件有外部接 口, 3 2外 假 b 需要测试 We 软件与外 b 需要兼容性测试 。 部接 口的正确性 。 例如 , 商店可能要实时验证信用卡数据 以减少欺诈 网上 总之, We 应用软件这些特 , 根据 b 我们有针对性地设计一套 We 行 为的发 生。 b 测试 的时候 , 要使用 wb接 口发送 一些 事务数 据 , e 分别对有 软件测试体系 , 出测试 内容 , 总结 从而指导 We 软件 的测试 。 b 效 信用卡 、 无效信用 卡和被 盗信用卡进行验证 。 3We 软件测试 的内容 以及 方法 b 3 3接 口 . 3 错误处理 。当 We 软件 的接 口出现错误时 , 系统的错 b 测试 测试主要 目 标是确保提交高 质量的 We 软件 。 b 对于 We 软件 , b 从什 误 处理能力。 如 , 例 订单事务处 理过 程中 , 中断用户到服务器的网络连接 , 么地方 开始测 试 , 方面是测试 的核心 , 分配有 限的测试 资源 , 哪些 如何 这 系统 是否有错误处理能力 。 些都是 We 软件测试需要重 点考虑 的问题 。下 面介绍 We 软件测试 的 b b 3 . 4性能测试 主要 内容和方法 , 我们通常是 从功能 、 面 、 口、 界 接 性能 、 容 陛以及 安全 兼 性 能测试 常见的测试 内容 : 六个方 面对 we 软件进行 测试 。 b 3. .1响应时间 。 4 测试系统访问某个页面或者提 交某 个表单 的响应 时 3 . 1功能测试 间。例如 , 户登 录时 , 用 测试从点击登 录按钮到进 入登录后 的界 面所需要 3 . 链接测试 。 接是 We 应 用系统的一个主要特征 , .1 1 链 b 链接测试可 的时间 。 分为三个方面 : ) ( 测试所有链接是否按指示的那样确实链接到了该链接 1 3. . 4 2负载测试 。测试 在不同负载 的条件下 , b We 软件 系统 的性能表 的页面 ;
web测试 面试题
web测试面试题1. 基础知识在进行web测试面试时,基础知识是非常重要的。
以下是一些关于web测试的基础知识问题:a) 什么是web测试?为什么web测试是重要的?b) 请解释以下术语:前端测试、后端测试、功能测试、性能测试、安全测试、跨浏览器测试等。
c) 请描述web应用程序的生命周期,并说明在测试过程中需要参与的不同阶段。
d) 请解释以下概念:QA、QC、缺陷、缺陷跟踪、测试计划、测试用例等。
2. 测试策略和计划测试策略和计划在web测试过程中是非常重要的。
以下是一些与测试策略和计划相关的问题:a) 什么是测试策略?为什么它对于web测试至关重要?b) 请描述测试计划的主要组成部分,以及每个部分的重要性。
c) 在制定测试计划时,您会考虑哪些方面?请列举一些可能包含在测试计划中的内容。
d) 在面对紧迫的项目时间表时,您将如何制定测试策略和计划?3. 测试技术和工具测试技术和工具可以帮助测试人员更高效地完成工作。
以下是一些与测试技术和工具相关的问题:a) 在web测试中,您会使用哪些常见的测试技术?请解释一下每种技术的优势和适用场景。
b) 请列举一些您在web测试中常用的工具,并说明每个工具的特点和用途。
c) 在面对自动化测试和手动测试之间的选择时,您会选择哪种方法?请解释您的选择。
d) 请分享一些您在过去的项目中使用的测试技术或工具,并描述它们在项目中的应用和效果。
4. 缺陷管理和跟踪缺陷管理和跟踪是web测试过程中的关键环节。
以下是一些与缺陷管理和跟踪相关的问题:a) 什么是缺陷管理?为什么它对于web测试至关重要?b) 请描述一下您过去使用的缺陷跟踪工具,以及您使用这些工具的经验。
c) 在面对大量缺陷时,您会如何进行优先级排序和处理?d) 在解决缺陷时,您会考虑哪些因素?请描述您的思考过程。
5. 问题解决和沟通技巧在web测试工作中,问题解决和沟通技巧是非常重要的。
以下是一些与问题解决和沟通技巧相关的问题:a) 在面对一个无法复现的问题时,您会如何解决?b) 当遇到与其他团队成员或开发人员之间的冲突时,您会如何解决?c) 在面试测试人员时,您会怎样评估他们的问题解决和沟通技巧?d) 在处理测试中发现的问题时,您通常会与哪些人员进行沟通?以上是一些可能在web测试面试中被问到的问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WEB安全测试通常要考虑的测试点
WEB安全测试通常要考虑的测试点
安全测试通常要考虑的测试点
1,
问题:没有被验证的输入
测试方法:
数据类型(字符串,整型,实数,等)
允许的字符集
最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值(枚举型)
特定的模式(正则表达式)
2,
问题:有问题的访问控制
测试方法:
主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址
例:从一个页面链到另一个页面的间隙可以看到URL地址
直接输入该地址,可以看到自己没有权限的页面信息,
3 错误的认证和会话管理
例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来4,缓冲区溢出
没有加密关键数据
例:view-source:http地址可以查看源代码
在页面输入密码,页面显示的是*****, 右键,查看源文件就可以看见刚才输入的密码,5,拒绝服务
分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。
需要做负载均衡来对付。
6,不安全的配置管理
分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护
程序员应该作的:配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报。
分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码。
7,注入式漏洞。
例:一个验证用户登陆的页面,
如果使用的sql语句为:
Select * from table A where username=’’+ username+’’and pass word …..
Sql 输入‘or 1=1 ――就可以不输入任何password进行攻击
8,不恰当的异常处理
分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞,
9,不安全的存储
分析:帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。
浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST,
10 问题:跨站脚本(XSS)
分析:攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料测试方法:
•HTML标签:<…>…</…>
•转义字符:&(&);<(<);>(>);(空格) ;
•脚本语言:
<script language=‘javascript’>
…Alert(‘’)
</script>
•特殊字符:‘’< > /
•最小和最大的长度
•是否允许空输入
摘自红色黑客联盟() 原文:/Article/201012/80483.html。