web安全工作总结:每日工作总结
《web安全工作总结》是一篇好的范文,觉得应该跟大家分享,重新编辑了一下发到。
篇一:web安全测试要点总结一、Web 应用安全威胁分为如下六类:
Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段
二、
应用威胁 常见针对 Web 应用攻击的十大手段 负面影响
标识盗窃,敏感数据丢失…
通过构造查询对数据库、LDAP 和其他系
统进行非法查询。后果 黑客可以模拟合法用户,控制其帐户。黑客可以访问后端数据库信息,修改、盗窃。跨网站脚本攻击 注入攻击
恶意文件执行 在服务器上执行 Shell 命令 Execute,获被修改的站点将所有交易传送给黑客
取控制权。
不安全对象引用
伪造跨站点请求
(来自:www.fwwang.cn )信息泻露和不正确的
错误处理
被破坏的认证和
Session 管理
不安全的木马存储
不安全的通讯 黑客访问敏感文件和资源 黑客调用 Blind 动作,思想汇报专题模拟合法用户 黑客得到详细系统信息 Web 应用返回敏感文件内容 黑客发起 Blind 请求,要求进行转帐 恶意的系统检测可能有助于更深入的攻击 Session token 没有被很好的保护 在用户推出系统后,黑客能够盗窃 session。过于简单的加密技术导致黑客破解编密码 隐秘信息被黑客解密盗窃 敏感信息在不安全通道中以非加密方式传
送 黑客可以通过嗅探器嗅探敏感信息,模拟合法用户。
黑客可以强行访问一些登陆网页、历
史网页。URL 访问限制失效 黑客可以访问非授权的资源连接
三、Rational AppScan功能简介
Rational AppScan 同时提供了很多高级功能,帮助客户对复杂应用进行检测。支持的扫描配置有:
?
?
?
?
?
?
?
?
?
?Starting URL:起始 URL,制定被测应用的起始地址 Custom Error Pages:制定错误网页提高测试效率 Session IDs:管理测试过程中的 session Automatic Server Detection:自动检测应用所在的应用服务器、web server、最全面的范文参考写作网站操作系统 Exclusion and Inclusion:制定哪些 Web 被扫描或者被排除,哪些文件类型不被扫描 Scan Limits:其他高级扫描限制,例如扫描次数限制等 Advanced:扫描的方式,是宽度扫描还是深度扫描 Communication Settings:对扫描中的延时、线程数量进行配置 Proxy Settings:代理设置vLogin/logout:对被测应用的登陆进行设置,可以采用录制回放的方式、也可以使用自动登陆的方式 configure a Test Policy: 配置测试测量,即想测试哪些漏洞。
四、Web安全体系测试 一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手。
数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信 息、用户登陆密
码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客
户浏览器。目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是
说能进行加密,同时需要能进行解密!
注:对登陆帐户和密码进行加密,可在后台数据库查看是否进行了加密。
登录: 一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名 和匹配的密码进
行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的密码是否对大小写敏
感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访
问/下载等。
超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候,需要重新登录才能
使用其功能。
SSL: 越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协
议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私
有密钥的加密技术。(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密
通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都
可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点
后,可以看到浏览器出现警告信息,然后地址栏的http变成https,在做SSL测试的时候,
需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。
服务器脚本语言:脚本语言是常见的安全隐患。每种语言的细节有所不同。有些脚本允许访问根目录。其
他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们
自己。找出站点使用了哪些脚本语言,并研究该语言的缺陷。范文写作还要需要测试没有经过授
权,就不能在服务器端放置和编辑脚本的问题。最好的办法是订阅一个讨论站点使用的
脚本语言安全性的新闻组。
注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。这个网站包含了脚本代码(有
允许访问根目录的特性)就可能有这个安全隐患。
日志文件:在服务器上,要验证服务器的日志是否正常工作,例如CPU的占用率是否很高,是否有例外的
进程占用,所有的事务处理是否被记录等。
目录: WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简
单的URL替换和推测,会将整个WEB目录完全暴露给用户,这样会造成很大的风险和安全性
隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB
服务器的目录访问权限,将这种隐患降低到最小程度。
注:每个目录访问时有index.htm目的:通过首页中的登陆验证功能进行访问权限控制。
五、web安全测试的checklist 1.不登录系统,直接输入登录后的页面的url是否可以访问
2.不登录系统,直接输入下载文件的url是否可以下载,如输入http://url/download?name=file是否可
范文TOP100以下载文件file
3.退出登录后按后退按钮能否访问之前的页面
4.ID/密码验证方式中能否使用简单密码。如密码标准为6位以上,字母和数字混合,不能包含ID,
连续的字母或数字不能超过n位
5.重要信息(如密码,身份证号码,信用卡号等)在输入或查询时是否用明文显示;在浏览器地址栏
里输入命令javascrīpt:alert(doucument.cookie)时是否有重要信息;在html源码中能否看到重要信
息
6.手动更改URL中的参数值能否访问没有权限访问的页面。如普通用户对应的url中的参数为l=e,
高级用户对应的url中的参数为l=s,以普通用户的身份登录系统后将url中的参数e改为s来访问
本没有权限访问的页面
7.url里不可修改的参数是否可以被修改,浏览器缓存:认证和会话数据不应该作为GET的一部分来
发送,应该使用POST
8.上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe等可执行文件后,确认在服务器
端是否可直接运行
9.注册用户时是否可以以"--," or 1=1 --等做为用户名
10.传送给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符(","and 1=1 --," and 1=0 --,"or
1=0 --)时是否可以正常处理
11.执行新增操作时,在所有的输入框中输入脚本标签(<scrīpt>alert("")</scrīpt>)后能否保存
12.在url中输入下面的地址是否可以下载:
http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/
etc/passwd
13.是否对session的有效期进行处理
14.错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等
15.ID/密码验证方式中,同一个账号在不同的机器上不能同时登录
16.ID/密码验证方式中,连续数次输入错误密码后该账户是否被锁定
17.新增或修改重要信息(密码、身份证号码、信用卡号等)时是否有自动完成功能(在form标签中
使用autocomplete=off来关闭自动完成功能
18.Email Header Injection(邮件标头注入)
Email Header Injection:如果表单用于发送email,表单中可能包括“subject”输入项(邮件标题),
我们要验证subject中应能escape掉“\n”标识。
?<!--[if!supportLists]--><!--[endif]-->因为“\n”是新行,如果在subject中输入
“hello\ncc:spamvictim@example.com”,可能会形成以下
Subject: hello
cc: spamvictim@example.com
?<!--[if!supportLists]--><!--[endif]-->如果允许用户使用这样的subject,那他可能会给利用这个缺
陷通过我们的平台给其它用户发送垃圾邮件。
19.Directory Traversal(目录遍历)
(1)如何进行目录遍历测试?
目录遍历产生的原因是:程序中没有过滤用户输入的“../”和“./”之类的目录跳转符,导致恶意
用户可以通过提交目录跳转来遍历服务器上的任意文件。
测试方法:在URL中输入一定数量的“../”和“./”,验证系统是否ESCAPE掉了这些目录跳转
符。
(2)如何预防目录遍历?
限制Web应用在服务器上的运行
进行严格的输入验证,控制用户输入非法路径
20.exposed error messages(错误信息)
(1)如何进行测试?
首先找到一些错误页面,比如404,或500页面。
验证在调试未开通过的情况下,是否给出了友好的错误提示信息比如“你访问的页面不存在”等,而并非曝露一些程序代码。
(2)如何预防?
测试人员在进行需求检查时,应该对出错信息进行详细查,比如是否给出了出错信息,是否给出了正确的出错信息。
六、跨站点脚本攻击测试要点
1.确定站点及其功能 -- 与开发人员和 PM 交流
绘制一些简单的数据流图表,对站点上的页面及其功能进行描述。此时,可以安排一些与开发人员
和项目经理的会议来建立威胁模型。在会议上尽可能对应用程序进行深入探讨。站点公开了 Web 服务吗?是否有身份验证表单?有留言板吗?有用户设置页面吗?确保列出了所有这些页面
2.找出并列出所有由用户提供输入的点
对站点地图进行进一步细化。我通常会为此创建一个电子表格。对于每个页面,列出所有查询字符串
参数、cookie 值、自定义 HTTP 标头、POST 数据值和以其他形式传递的用户输入。不要忘记搜索 Web 服务和类似的 SOAP 请求,并找出所有允许用户输入的字段。
分别列出每个输入参数,因为下面需要独立测试每个参数。这可能是最重要的一个步骤!如果阅读下
面的电子表格,您会看到我已经在示例站点中找出了一大堆这样的东西。如 forwardURL 和 lang 这
样的查询字符串。如 name、password、msgBody、msgTitle 和这样的 POST 数据,甚至某些 Cookie 值。所有这些都是我们感兴趣的重要测试内容
3.认真思考并列出测试用例
4.开始测试并注意输出结果
在查找漏洞的过程中,最重要的部分并不是您是否找到了漏洞。而是您是否真正知道究竟发生了哪些
事情。对于 XSS,只需检查 HTML 输出并看看您输入的内容在什么地方。它在一个 HREF 标记中吗?是否在 IFRAME 标记中?它在 CLSID 标记中吗?在 IMG SRC 中吗?某些 Flash 内容的 PARAM NAME 是怎样的?
我会检查所有这些情况,如果您对所输入内容的目的十分了解,可以调整您的测试来找出问题。这意味着您可能需要添加一个额外的封闭括号“>”来让某个标记变得完整,或者添加一个双引号来关闭标记内的一个元素。或者,您可能需要使用 URL 或 HTML 来编码您的字符,例如将双引号变为 %22 或 "。
5.这个站点看来防范比较严密。现在该怎么办呢?
那么,也许您的简单测试用例 <scrīpt>alert(?hi?)</scrīpt>并不能产生期望中的警告对话框。仔细想
想这个问题并在可能的情况下与开发人员进行交流。也许他们对输入中的尖括号、单引号或圆括号进行了过滤。也许他们会过滤“scrīpt”这个词。重新研究为何输入会产生这样的输出,并理解每个值(查
篇二:网页安全检查点学习总结
网页安全检查点
1 输入的数据没有进行有效的控制和验证
1) 数据类型(字符串,整型,实数,等)
2) 允许的字符集
3) 最小和最大的长度
4) 是否允许空输入
5) 参数是否是必须的
6) 重复是否允许
7) 数值范围
8) 特定的值(枚举型)
9) 特定的模式(正则表达式)(注:建议尽量采用白名单)
2 用户名和密码
1) 检测接口程序连接登录时,是否需要输入相应的用户
2) 是否设置密码最小长度(密码强度)
3) 用户名和密码中是否可以有空格或回车?
4) 是否允许密码和用户名一致
5) 防恶意注册:可否用自动填表工具自动注册用户?(傲游等)
6) 遗忘密码处理
7) 有无缺省的超级用户?(admin等,关键字需屏蔽)
8) 有无超级密码?
9) 是否有校验码?
10) 密码错误次数有无限制?
11) 大小写敏感?
12) 口令不允许以明码显示在输出设备上
13) 强制修改的时间间隔限制(初始默认密码)
14) 口令的唯一性限制(看需求是否需要)
15) 口令过期失效后,是否可以不登陆而直接浏览某个页面
16) 哪些页面或者文件需要登录后才能访问/下载
17) cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息 3 直接输入需要权限的网页地址可以访问
避免研发只是简单的在客户端不显示权限高的功能项
举例Bug:
1) 没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面;
2) 注销后,点浏览器上的后退,可以进行操作。
3) 正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。
4) 通过Http抓包的方式获取Http请求信息包经改装后重新发送
5) 从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面,这就是错误的)
4 上传文件没有限制
1) 上传文件还要有大小的限制。
2) 上传木马病毒等(往往与权限一起验证)
3) 上传文件最好要有格式的限制;
5 不安全的存储
1) 在页面输入密码,页面应显示“*****”;
2) 数据库中存的密码应经过加密;
3) 地址栏中不可以看到刚才填写的密码;
4) 右键查看源文件不能看见刚才输入的密码;
5) 帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号
6 操作时间的失效性
1) 检测系统是否支持操作失效时间的配置,同时达到所配置的时间内没有对界面进行任何操作时,检测系统是否会将用户自动失效,需要重新登录系统。
2) 支持操作失效时间的配置。
3) 支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。
如,用户登陆后在一定时间内(例如15 分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
7 日志完整性
1) 检测系统运行时是否会记录完整的日志
如进行详单查询,检测系统是否会记录相应的操作员、操作时间、系统状态、操作事项、IP地址等。
2) 检测对系统关键数据进行增加、修改和删除时,系统是否会记录相应的修改时间、操作人员和修改前的数据记录
系统服务器安全检查点
1)检查关闭不必要的服务
2)是否建立安全账号策略和安全日志
3)是否已设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置
4)Web站点目录的访问权限是否过大
5)服务器系统补丁是否打上,是否存在系统漏洞
6)扫描检测木马
数据库安全检查点
1.系统数据是否机密
1)尽量不要使用Sa账户,密码够复杂
2)严格控制数据库用户的权限,不要轻易给用户直接的查询、更改、插入、删除权限。可以只给用户以访问视图和执行存储过程的权限
3)数据库的帐号,密码(还有端口号)是不是直接写在配置文件里而没有进行加密
2.系统数据的完整性
3.系统数据可管理性
4.系统数据的独立性
5.系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)
1)服务器突然断电,这可能导致配置文件的错误导致无法访问或者数据的丢失;
2)重做日志发生损坏,这可能导致数据库管理员无法把数据恢复到故障发生时的点;
3)硬盘发生故障而导致数据丢失,这主要是要测试备份文件异地存放的有效性;
4)数据批量更新的错误处理,这主要是数据库备份测试数据库管理员在进行批量更新之前是否有先对数据库进行备份的习惯,等等。
支付宝接口检查点
1.支付的接口
2.支付的入口
3.与各个银行的数据接口安全
4.与支付宝的接口
网页安全测试工具
IBM AppScan
IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以WatchfireAppScan的名称享誉业界。Rational AppScan可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
HttpWatch
HttpWatch是强大的网页数据分析工具.集成在Internet Explorer工具栏.包括网页摘要.Cookies管理.缓存管理.消息头发送/接受.字符查询.POST 数据和目录管理功能.报告输出HttpWatch是一款能够收集并显示页页深层信息的软件。它不用代理服务器或一些复杂的网络监控工具,就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓存和IE之间的交换信息。集成在Internet Explorer工具栏。
Acunetix Web Vulnerability
Acunetix Web Vulnerability是通过缓慢运行该软件和运行诸如交叉站点脚本和SQL涌入这样的流行的攻击方式来测试网站的安全性。在黑客攻击之前识别出购物车、窗体、安全区域和网络应用软件的攻击弱点。通过构建HTTP和HTTPS请求扩展攻击并且分析响应。创建或者定制弱点攻击。支持所有主要的网络技术。
1.它将会扫描整个网站,它通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节信息。
2.在上述的发现阶段或扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程。WVS分析每一个页面中可以输入数据的地方,进而尝试所有的输入组合。这是一个自动扫描阶段。
3.在它发现漏洞之后,WVS就会在“Alerts Node(警告节点)”中报告这些漏洞。每一个警告都包含着漏洞信息和如何修复漏洞的建议。
4.在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较。使用报告工具,就可以创建一个专业的报告来总结这次扫描。
WVS自动地检查下面的漏洞和内容:
?版本检查,包括易受攻击的Web服务器,易受攻击的Web服务器技术?CGI测试,包括检查Web服务器的问题,主要是决定在服务器上是否启用了危险的HTTP方法,例如PUT,TRACE,DELETE等等。?参数操纵:主要包括跨站脚本攻击(XSS)、SQL注入攻击、代码执行、目录
遍历攻击、文件入侵、脚本源代码泄漏、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。?多请求参数操纵:主要是Blind SQL / XPath注入攻击
?文件检查:检查备份文件或目录,查找常见的文件(如日志文件、应用程序踪迹等),以及URL中的跨站脚本攻击,还要检查脚本错误等。?目录检查,主要查看常见的文件,发现敏感的文件和目录,发现路径中的跨站脚本攻击等。
?Web应用程序:检查特定Web应用程序的已知漏洞的大型数据库,例如论坛、Web入口、CMS系统、电子商务应用程序和PHP库等。?文本搜索:目录列表、源代码揭示、检查电子邮件地址、微软Office中可能的敏感信息、错误消息等。?GHDB Google攻击数据库:可以检查数据库中1400多条GHDB搜索项目。
?Web服务:主要是参数处理,其中包括SQL注入/Blind SQL注入(即盲注攻击)、代码执行、XPath注入、应用程序错误消息等。使用该软件所提供的手动工具,还可以执行其它的漏洞测试,包括输入合法检查、验证攻击、缓冲区溢出等。
信息安全入侵测试
1上传漏洞
利用上传漏洞可以直接得到网页管理员权限,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。“上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站,都存在上传漏洞。网站有上传页面,如果页面对上传文件扩展名过滤不严,导致黑客能直接上传带木马的文件,直接上传后即拥有网站的管理员控制权。
2暴库
暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。比如一个站的地址为/dispbbs.asp?boardID=7&ID=161,就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径。用迅雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径/后面加上 conn.asp 如果没有修改默认的数据库路径也可以得到数据库的路径。
3注入漏洞
注入漏洞是利用某些输入或者资料输入特性以导入某些资料或者代码,造成目标系统操作崩溃的电脑漏洞,通常这些漏洞安全隐患是由不充分的输入确认及其他种种因素造成的。我们需要使用到以下几种方式进行测试:
3.1 SQL攻击,简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。
测试方法:
某个网站的登录验证的SQL查询代码为
strSQL = "SELECT * FROM users WHERE (name = ""+ userName + "") and (pw = ""+ passWord +"");"恶意填入
userName = "" OR "1"="1";
与
passWord = "" OR "1"="1";
时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = "" OR "1"="1") and (pw = "" OR "1"="1");"也就是实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"
因此达到无帐号密码,亦可登录网站。
3.2 跨网站指令码(Cross-site scripting,通常简称为XSS)是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
测试方法:
通常有一些方式可以测试网站是否有正确处理特殊字符:
><script>alert(document.cookie)</script>
="><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
%3Cscript%3Ealert("XSS")%3C/script%3E
<script>alert("XSS")</script>
<imgsrc="javascript.:alert("XSS")">
<imgsrc="http://xxx.com/yyy.png">
<div style="height:expression(alert("XSS"),1)"/>(这个仅限 IE 有效)
使用者可做一个网页,试着用JavaScript把document.cookie当成参数丢过去,然后再把它记录下来,这即是偷 cookie。
XSS攻击方法有:
偷 cookie。
利用iframe.或 frame.存取管理页面或后台页面。
利用XMLHttpRequest存取管理页面或后台页面。
4旁注
我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。
篇三:WEB测试小结
WEB测试小结
一、输入框
1、字符型输入框:
(1)字符型输入框:英文全角、英文半角、数字、空或者空格、特殊字符“~!@#¥%??&*?[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时,使用“粘贴、拷贝”功能尝试输入。
(2)长度检查:最小长度、最大长度、最小长度-1、最大长度+1、输入超工字符比如把整个文章拷贝过去。
(3)空格检查:输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格
(4)多行文本框输入:允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行,检查能否正确保存(若能,检查保存结果,若不能,查看是否有正常提示)、
(5)安全性检查:输入特殊字符串(null,NULL,,javascript,<script>,</script>,<title>,<html>,<td>)、输入脚本函数(<script>alert("abc")</script>)、doucment.write("abc")、<b>hello</b>)
2、数值型输入框:
(1)边界值:最大值、最小值、最大值+1、最小值-1
(2)位数:最小位数、最大位数、最小位数-1最大位数+1、输入超长值、输入整数
(3)异常值、特殊字符:输入空白(NULL)、空格或"~!@#$%^&*()_+{}|[]\:"<>?;",./?;:"-=等可能导致系统错误的字符、禁止直接输入特殊字符时,尝试使用粘贴拷贝查看是否能正常提交、word中的特殊功能,通过剪贴板拷贝到输入框,分页符,分节符类似公式的上下标等、数值的特殊符号如∑,㏒,㏑,∏,+,-等、
输入负整数、负小数、分数、输入字母或汉字、小数(小数前0点舍去的情况,多个小数点的情况)、首位为0的数字如01、02、科学计数法是否支持1.0E2、全角数字与半角数字、数字与字母混合、16进制,8进制数值、货币型输入(允许小数点后面几位)、
(4)安全性检查:不能直接输入就copy
3、日期型输入框:
(1)合法性检查:(输入0日、1日、32日)、月输入[1、3、5、7、8、10、12]、日输入[31]、月输入[4、6、9、11]、日输入[30][31]、输入非闰年,月输入[2],日期输入[28、29]、输入闰年,月输入[2]、日期输入[29、30]、月输入[0、1、12、13]
(2)异常值、特殊字符:输入空白或NULL、输入~!@#¥%??&*(){}[]等可能导致系统错误的字符
(3)安全性检查:不能直接输入,就copy,是否数据检验出错?
4、信息重复:在一些需要命名,且名字应该唯一的信息输入重复的名字或ID,看系统有没有处理,会否报错,重名包括是否区分大小写,以及在输入内容的前后输入空格,系统是否作出正确处理.
二、搜索功能
若查询条件为输入框,则参考输入框对应类型的测试方法
1、功能实现:
(1)如果支持模糊查询,搜索名称中任意一个字符是否能搜索到
(2)比较长的名称是否能查到
(3)输入系统中不存在的与之匹配的条件
(4)用户进行查询操作时,一般情况是不进行查询条件的清空,除非需求特殊说明。
2、组合测试:
(1)不同查询条件之间来回选择,是否出现页面错误(单选框和多选框最容易出错)
(2)测试多个查询条件时,要注意查询条件的组合测试,可能不同组合的测试会报错。
三、添加、修改功能
1、特殊键:(1)是否支持Tab键 (2)是否支持回车键
2、提示信息:(1)不符合要求的地方是否有错误提示
3、唯一性:(1)字段唯一的,是否可以重复添加,添加后是否能修改为已存在的字段(字段包括区分大小写以及在输入的内容前后输入空格,保存后,数据是否真的插入到数据库中,注意保存后数据的正确性)
4、数据 正确性:
(1)对编辑页的每个编辑项进行修改,点击保存,是否可以保存成功,检查想关联的数据是否得到更新。
(2)进行必填项检查(即是否给出提示以及提示后是否依然把数据存到数据库中;是否提示后出现页码错乱等)
(3)是否能够连续添加(针对特殊情况)
(4)在编辑的时候,注意编辑项的长度限制,有时在添加的时候有,在编辑的时候却没有(注意要添加和修改规则是否一致)
(5)对于有图片上传功能的编辑框,若不上传图片,查看编辑页面时是否显示有默认的图片,若上传图片,查看是否显示为上传图片
(6)修改后增加数据后,特别要注意查询页面的数据是否及时更新,特别是在首页时要注意数据的更新。
(7)提交数据时,连续多次点击,查看系统会不会连续增加几条相同的数据或报错。
(8)若结果列表中没有记录或者没选择某条记录,点击修改按钮,系统会抛异常。
四、删除功能
1、特殊键:(1)是否支持Tab键 (2)是否支持回车键
2、提示信息:(1)不选择任何信息,直接点击删除按钮,是否有提示(2)删除某条信息时,应该有确认提示
3、数据 实现:(1)是否能连续删除多个产品(2)当只有一条数据时,是否可以删除成功 (3)删除一条数据后,是否可以添加相同的数据(4)如系统支持批量删除,注意删除的信息是否正确 (5)如有全选,注意是否把所有的数据删除(6)删除数据时,要注意相应查询页面的数据是否及时更新 (7)如删除的数据与其他业务数据关联,要注意其关联性(如删除部门信息时,部门下游员工,则应该给出提示)(8)如果结果列表中没有记录或没有选择任何一条记录,点击删除按钮系统会报错。
如:某一功能模块具有最基本的增删改查功能,则需要进行以下测试
单项功能测试(增加、修改、查询、删除)
增加——>增加——>增加 (连续增加测试)
增加——>删除
增加——>删除——>增加 (新增加的内容与删除内容一致)
增加——>修改——>删除
修改——>修改——>修改 (连续修改测试)
修改——>增加(新增加的内容与修改前内容一致)
修改——>删除
修改——>删除——>增加 (新增加的内容与删除内容一致)
删除——>删除——>删除 (连续删除测试)
五、注册、登陆模块
1、注册功能:
(1)注册时,设置密码为特殊版本号,检查登录时是否会报错
(2)注册成功后,页面应该以登陆状态跳转到首页或指定页面
(3)在注册信息中删除已输入的信息,检查是否可以注册成功。
2、登陆 功能:
(1)输入正确的用户名和正确的密码
(2)输入正确的用户名和错误的密码
(3)输入错误的用户名和正确的密码
(4)输入错误的用户名和错误的密码
(5)不输入用户名和密码(均为空格)
(6)只输入用户名,密码为空
(7)用户名为空,只输入密码
(8)输入正确的用户名和密码,但是不区分大小写
(9)用户名和密码包括特殊字符
(10)用户名和密码输入超长值
(11)已删除的用户名和密码
(12)登录时,当页面刷新或重新输入数据时,验证码是否更新
六、上传图片测试
1、功能 实现:
(1)文件类型正确、大小合适
(2)文件类型正确,大小不合适
(3)文件类型错误,大小合适
(4)文件类型和大小都合适,上传一个正在使用中的图片
(5)文件类型大小都合适,手动输入存在的图片地址来上传
(6)文件类型和大小都合适,输入不存在的图片地址来上传
(7)文件类型和大小都合适,输入图片名称来上传
(8)不选择文件直接点击上传,查看是否给出提示
(9)连续多次选择不同的文件,查看是否上传最后一次选择的文件
七、查询结果列表
1、功能 实现:
(1)列表、列宽是否合理
(2)列表数据太宽有没有提供横向滚动
(3)列表的列名有没有与内容对应
(4)列表的每列的列名是否描述的清晰
(5)列表是否把不必要的列都显示出来
(6)点击某列进行排序,是否会报错(点击查看每一页的排序是否正确)
(7)双击或单击某列信息,是否会报错
八、返回键检查
1、一条已经成功提交的记录,返回后再提交,是否做了处理
2、检查多次使用返回键的情况,在有返回键的地方,返回到原来的页面多次,查看是否会出错
九、回车键检查
1、在输入结果后,直接按回车键,看系统如何处理,是否会报错
十、刷新键检查
1、在Web系统中,使用刷新键,看系统如何处理,是否会报错
十一、直接URL链接检查
1、在Web系统中,在地址栏直接输入各个功能页面的URL地址,看系统如何处理,是否能够直接链接查看(匿名查看),是否有权限控制,是否直接执行,并返回相应结果页;
十二、界面和易用性测试
1、风格、样式、颜色是否协调
2、界面布局是否整齐、协调(保证全部显示出来的,尽量不要使用滚动条
3、界面操作、标题描述是否恰当(描述有歧义、注意是否有错别字)
4、操作是否符合人们的常规习惯(有没有把相似的功能的控件放在一起,方便操作)
5、提示界面是否符合规范(不应该显示英文的cancel、ok,应该显示中文的确定等)
6、界面中各个控件是否对齐
7、日期控件是否可编辑
8、日期控件的长度是否合理,以修改时可以把时间全部显示出来为准
9、查询结果列表列宽是否合理、标签描述是否合理
10、查询结果列表太宽没有横向滚动提示
11、对于信息比较长的文本,文本框有没有提供自动竖直滚动条
12、数据录入控件是否方便
13、有没有支持Tab键,键的顺序要有条理,不乱跳
14、有没有提供相关的热键
15、控件的提示语描述是否正确
16、模块调用是否统一,相同的模块是否调用同一个界面
17、用滚动条移动页面时,页面的控件是否显示正常
18、日期的正确格式应该是XXXX-XX-XX或XXXX-XX-XX XX:XX:XX
19、页面是否有多余按钮或标签
20、窗口标题或图标是否与菜单栏的统一
21、窗口的最大化、最小化是否能正确切换
22、对于正常的功能,用户可以不必阅读用户手册就能使用
23、执行风险操作时,有确认、删除等提示吗
24、操作顺序是否合理
25、正确性检查:检查页面上的form,button,table,header,footer,提示信息,还有其他文字拼写,句子的语法等是否正确。
26、系统应该在用户执行错误的操作之前提出警告,提示信息.
27、页面分辨率检查,在各种分辨率浏览系统检查系统界面友好性。
28、合理性检查:做delete,update,add,cancel,back等操作后,查看信息回到的页面是否合理。
29、检查本地化是否通过:英文版不应该有中文信息,英文翻译准确,专业。
十三、兼容性测试
兼容性测试不只是指界面在不同操作系统或浏览器下的兼容,有些功能方面的测试,也要考虑到兼容性,
包括操作系统兼容和应用软件兼容,可能还包括硬件兼容
比如涉及到ajax、jquery、javascript等技术的,都要考虑到不同浏览器下的兼容性问题。
十四、链接测试
主要是保证链接的可用性和正确性,它也是网站测试中比较重要的一个方面。可以使用特定的工具如XENU来进行链接测试。
1导航测试
导航描述了用户在一个页面内操作的方式,在不同的用户接口控制之间,例如按钮、对话框、列表和窗口等;或在不同的连接页面之间。通过考虑下列问题,可以决定一个Web应用系统是否易于导航:导航是否直观?Web系统的主要部分是否可通过主页存取?Web系统是否需要站点地图、搜索引擎或其他的导航帮助?
在一个页面上放太多的信息往往起到与预期相反的效果。Web应用系统的用户趋向于目的驱动,很快地扫描一个Web应用系统,看是否有满足自己需要的信息,如果没有,就会很快地离开。很少有用户愿意花时间去熟悉Web应用系统的结构,因此,Web应用系统导航帮助要尽可能地准确。
导航的另一个重要方面是Web应用系统的页面结构、导航、菜单、连接的风格是否一致。确保用户凭直觉就知道Web应用系统里面是否还有内容,内容在什么地方。
Web应用系统的层次一旦决定,就要着手测试用户导航功能,让最终用户参与这种测试,效果将更加明显。
2图形测试
以上就是这篇范文的详细内容,涉及到用户、是否、可以、访问、加密、服务器、信息、进行等方面,希望对网友有用。
相关热词搜索:工作总结 web web前端转正工作总结 web前端开发工作总结