测试用例评审Checklist

中 高
高 低 低
不同用户之间session共享，可以非法操作对方的 数据。 简单的通过前端判断，或者低权限角色看不到对应 的菜单，但并未在后台去做当前登录用户是否有权
高 高 中 高 高 高 中 高 高
显示目录文件列表
没有过滤CR和LF字符
低 低
高 中 中 高 高 中
测试类型
测试点
上传功能
绕过文件上传检查功能 上传文件大小和次数限制 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录请求是否安全传输 会话固定
注册功能
登录功能 关键Cookie是否HttpOnly 登录请求错误次数限制 本地存储敏感信息 验证码的一次性 验证码绕过 短信邮箱验证码轰炸 通过手机号找回 忘记密码功能 通过邮箱找回 密码安全性要求 横向越权测试 纵向越权测试 XSS测试 SQL注入测试 CSRF测试 敏感信息泄露 目录遍历 CRLF测试 密码复杂度要求 密码保存要求 请测试所有接口越权情况 请测试所有接口越权情况 反射型XSS 存储型XSS DOM型XSS SQL注入测试 CSRF测试 SVN信息泄露 页面泄露敏感信息 目录遍历 CRL URL重定向测试 点击劫持ClickJacking XXE SSRF CORS问题
任意文件读取 URL重定向测试 页面点击劫持 XXE测试 SSRF CORS问题
详细描述 1、前台验证绕过 2、双后缀名绕过 3、%00截断绕过 上传文件无大小验证，可以恶意资源占用 使用https和非对称加密 非前台验证 激活链接是否可以预测与绕过
安全级别 高 低 中 低 中 中 中
使用https和非对称加密 Session fixation attack(会话固定攻击)是利用服 务器的session不变机制，借他人之手获得认证和 授权，然后冒充他人。

版本：1.0.1-0.0.0
第1页
测试用例评审CБайду номын сангаасecklist
文档编号：TCCLT+部门代码（或项目代码）-+年月-+顺序号 编制/日期: 序号 检查项 检查结果 1 测试用例是否描述清晰易懂 2 测试用例是否覆盖全部功能需求 3 测试用例是否包含全部的算法需求 4 算法用例是否可以覆盖全部测试条件路径 5 界面需求是否覆盖全面 6 用例逻辑是否正确 7 是否覆盖了所有的测试模块 8 预期结果是否正确 9 验证过程是否可行 10 是否包含合法用例 11 是否包含非法用例 12 是否使用等价类划分 13 是否对边界值进行测试 14 对于包含安全性要求的，是否设计了安全性用例 15 是否包含接收测试用例 16 前序操作接收测试用例 17 模板是否正确 18 信息是否填写完整(如项目信息、编写人及日期等) 19 用例是否冗余 20 利用其他地市用例时，对于其他地市名称或特有需求是否修改 21 一条用例是否单独描述了一个功能点 22 测试用例在对需求功能点拆分时是否合理 23 是否包含了可用性用例（需要按照测试策略区分，可引入用例库，但要进行裁剪） 24 测试大纲是否包含了待测试的所有模块 25 测试用例的模块是否和测试大纲模块可以完全的对应用 26 是否包含对数据项需求的测试用例 27 测试用例是否包含了测试用例库中通用的测试用例 28 是否包含对接口需求的测试用例 总结：
东软集团股份有限公司
版本：1.0.1-0.0.0
第2页
备注
东软集团股份有限公司

1、需求中有明确的性能指标及要求2、需求中有明确描述需压测的业务或接口；
通过
是否有明确的功能测试周期
有明确的功能测试周期且合理
是否有明确的测试范围
有明确的测试范围
相关开发文档是否已提交至测试组：功能需求分析说明书、概要设计说明书、网络结构拓扑图、业务流程图等
相关开发文档已提交至测试组：功能需求分析说明书、概要设计说明书、网络结构拓扑图、业务流程图等
确定行方是否有指定模板格式，优先使用行方模板，如没有使用内部模板
3
代码侵入性
开发改造对产品原功能
代码的程度
开发改造代码结构设计是否合理，侵入性是否能够剥离或优化
4
代码健壮性
异常情况考虑
对可能出现的异常情况进行了判断、捕获和处理
5
业务逻辑准确性
代码的处理逻辑、计算逻辑正确性
代码的处理逻辑、计算逻辑正确，能够符合需求需要
6
代码规范
代码抽象程度
公共代码进行了抽象
7
代码开发规范
相关开发文档已提交至测试组:性能需求分析说明书、概要设计说明书、网络结构拓扑图、业务流程图、接口设计文档等
10
性能测试方案/用例模板确定
确定行方是否有指定模板格式，优先使用行方模板，如没有使用内部模板
《性能测试方案》、
《性能测试用例》等有明确的模板
11
输出性能方案/测试用例
是否按照模板格式编写性能测试方案/测试用例
明确测试目标
有明确的测试目标
明确测试阶段
有明确的测试阶段，例如：SIT、UAT等
明确测试环
境
明确的测试环境配置情况
有明确的提交成果物
测试方案中，有写明确的成果物
2

返回首页
测试类别 审查内容 操作系统(win,mac,unix) 操作系统+ 浏览器兼容 浏览器（IE4.0,IE5.0,IE5.5,IE6.0,NN6,NN4.5、Lynx) 性测试 操作系统和浏览器各不同版本的组合测试 站点地图和 站点地图和导航条 导航条 在不同分辨率设置情况下，窗口的滚动条能够正确滚动，屏幕 分辨率检查 刷新是否正确 浏览器窗口 在调整浏览器窗口大小时，屏幕刷新是否正确 必须测试提交操作的完整性，以校验提交给服务器的信息的正 确性 如果使用了默认值，还要检验默认值的正确性 表单 如果表单只能接受指定的某些值，则也要进行测试 提交按钮能正常工作，提交的信息能够正确到达和存储在服务 端，要测试这些程序，需要验证服务器能正确保存这些数据， 而且后台运行的程序能正确解释和使用这些信息 通过计算和构造出访问量模型，计算出站点系统在一段时间内 多用户测试 能够响应的最高请求数，产生瞬间访问高峰 每个用户传送大量数据 性能测试 长时间的使用 关注 负载测试 文档下载、计算、页面切换、执行ActiveX控件、加载 audio/video组件、及时的用户认证 通过模拟大批量用户的并发请求，给系统施加较大的负载，这 时检测整个系统处理交易的能力 每个目录下应该有 index.html 或 main.html 页面，这样就不 会显示该目录下的所有内容。如下错误： 选中一幅图片，单击鼠标右键，找到该图片所在的路径" … com/objects/images"。然后在浏览器地址栏中手工输入该路 径，发现该站点所有图片的列表。这可能没什么关系。进入上 一级目录 "…com/objects" ，点击 jackpot。在该目录下的所 有资料都可以看到了。 浏览器是否支持： 有些低版本的浏览器可能不支持SSL 当用户进入或离开安全站点的时候，请确认有相应的提示信息 是否有连接时间限制 超过限制时间后出现什么情况 加密是否正确，检查信息的完整性 当使用了安全套接字时，还要测试加密是否正确，检查信息的 完整性 日志文件中不能记录有用户密码明文方面的信息 未登录，直接浏览某个网页，无法成功 用户登录后在一定时间内（例如15分钟）没有点击任何页面， 是否需要重新登录才能正常使用 针对所有用户输入，设计用户输入中包含客户端脚本语句，例 如 危险的语句：<script>for(;;)alert(1)</script> 级别 高 高 高 低 中 中 低 中 中 高

可以输入
进入广告显示的有效时间页面 进入广告显示的有效时间页面 进入站点或目录编辑页面 进入站点或目录编辑页面
页面显示正常 自动填写 显示正常 显示正常 有两种格式 6位\7位的 不生效 生效 生效 不生效 不生效 生效 生效 触发范围2-30 5分钟开始处罚,每个20分钟触发一次 在5\20分别触发一次 最后一个星期四触发 如果5日是星期六，则将在最近的工作日：星期五，即4日触发。如果5日是星 某月的最后一个星期五 某月的第二个星期三 0-59 0-59 0-23 1-31 1-12,或JAN-DEC 1-7的整数或SUN-SAT 1970-2099 可以输入 可以编辑,并可以保存 可以编辑,并可以保存 添加一条新规则 删除当前规则 进入广告禁止展示的广告位页面 进入广告禁止展示的广告位页面 进入广告显示的有效时间页面 进入广告显示的有效时间页面 页面显示正常 自动显示 禁用广告位列表 广告位显示在添加禁用广告位列表中
创建时间 广告宽度
广告高度
优先级 是否启用 关键字 广告描述 广告内容 下一步 返回 展示站点或目录 广告名称 展示站点或目录 编辑
增加 删除 下一步 上一步 广告显示的有效时间 广告名称 已有的有效期规则 帮助 规则
描述 编辑 增加 删除 下一步 上一步 选择广告禁止展示的广告位 广告名称 已有的禁用广告位 删除 添加禁用广告位 查询 广告位名称 所属站点 添加 翻页 首页 上一页 下一页 末页 每页显示 跳转到 下一步 上一步 选择广告允许展示广告位 广告名称 已有的允许展示广告位 删除 添加广告位 查询 广告位名称
广告位状态 广告禁用\允许广告位
前台显示广告位 广告\广告位的状态
广告优先级 广告允许广告位
广告禁用广告位

备注:102为客户需求代码
需要用CDMA写号工具(EMID号: A100000CC00057,大家可以交换几个号的位置) 如吉讯通类型机器
实际大家也可以调节成2030年,嘿嘿
一名工程师用三合一软件测试版本,一名工程师 用三个独立文件测试CDMA版本
p
p
型电话进行删除,全部删 p
证以及拨出的号码是否
p
p p p p p p p p 同时通话时的效果. p p p p p p p p p p p p / / / / 关注通话效果已经是否可以GSM和CDMA之前是否 可以切换 关注挂断GSM电话后,CDMA声音是否保持不变 yf999中宝项目中出现,手机处于睡眠时,蓝牙 耳机断与对方都无声音
蓝牙
CDMA,GSM同时用蓝牙耳机通话,挂断GSM电话,关注CDMA通话声音是否正常 CDMA连接蓝牙耳机通话,手机端处于睡眠状态,关注通话效果是否正常 蓝牙耳机听音乐过程中,CDMA来电话,关注CDMA蓝牙通话效果以及挂断电话后 否可以正常从蓝牙耳发出
其它
FM 电子书 U盘 网络摄像头 键盘丝印 充电 低电情况 侧键 副屏按键 键盘灯
以及挂断电话后,音乐是
在待机界面按键,点亮屏 p 此问题在YF999等项目上都存在,研发说只要界 面修改了一些就有错误了,请大家在测试的时候 重点关注下
�
是否能正常搜索到频道及收听该频道的音质 选择T卡中的任意电子书,是否能正常显示 是否能正常存储或删除文件夹中的各种文件 是否能正常作为网络摄像头使用,图像是否清晰 键盘上各个丝印是否与输出一致;界面的丝印是否能触摸实现相应的功能 开机或关机充电是否能正常显示充电画面 是否能正常拨通或接听电话 验证每个侧键的功能是否实现 验证副屏上的按键是否实现 是否有键盘灯

是否通过Βιβλιοθήκη 兼容性测试checklist Checklist项（必须全部检查）
公共项
操作系统
文件系统
浏览器
浏览器
ie版本
数据库
杀毒软件
设备兼容
网口兼容
mtu
产品兼容 （各个产品 线设备兼容 性）
usb、dkey
usb、dkey
兼容性测试checklist Checklist项（必须全部检查） 是否考虑版本向前向后的兼容？ 是否考虑补丁包或patch包的兼容？ 是否考虑IE版本的兼容？(会出现浏览器javascript兼容性问题，如安全产品 bug 23668) 是否考虑不同控件的兼容？ 是否考虑中英文操作系统的兼容？ 是否考虑操作系统自动更新补丁和使用第三方软件（如360）更新补丁的兼容? 是否考虑不同版本操作系统的兼容？(涉及到PC安装程序的功能，需要覆盖不同的操作系统) 是否考虑第三方设备的兼容？ 是否考虑第三方软件版本的兼容？ 是否考虑第三方软件类型的兼容？ 是否有针对干净系统进行客户端的兼容性测试？（主要排除和残余空间对测试影响） 是否有对dll文件进行测试？ 是否验证测试对象可以和非特定的应用程序并行工作？ 是否验证测试对象可以在非特定的环境下正常工作？ 是否针对于单个功能模块或整个系统，而不是单个功能点？ 是否和功能测试中备选场景的用户环境多样性测试区分开来？ 涉及较多兼容性问题的版本，在版本中安排内部体验和公司级全员体验 例子：SSL安全桌面采用研发全员体验，发现了很多问题； 雨林木风、番茄、深度等精简或优化过的操作系统；主要涉及到客户端软件兼容或协议优化等都需要 考虑此问题，比如控件、客户端、加速效果、上网加速等； 例子：网上问题[bug3916]，雨林沐风的操作系统缺少必要的动态库造成，在内网该用户也是访问不了 的，SSL4.3，WIN7访问域名资源有问题。 是否考虑公司产品兼容性测试？ 1、客户端控件和应用程序的兼容性测试、各个产品线控件冲突测试； 2、产品功能互相冲突测试，如AC把SSL的连接识别为P2P、SSL负载均衡与AD均衡测试等； win 98 win me win2000 win2003 winXP vista win 7 windows 2008 linux fat32 fat16 reiserfs ext2、ext3 ntfs ie Firefox 遨游 Opera The World GreenBrowser MSN Explorer 谷歌浏览器 腾迅TT 360安全浏览器 搜狗浏览器