建立整體的威脅模型,測試溢出漏洞、信息泄漏、錯誤處理、SQL 注入、身份驗證和授權錯誤.
客戶端驗證 服務器端驗證(禁用腳本調試,禁用Cookies)
1.輸入很大的數(如4,294,967,269),輸入很小的數(負數)
2.輸入超長字符,如對輸入文字長度有限制,則嘗試超過限制,剛好到達限制字數時有何反應
3.輸入特殊字符,如:~!@#$%^&*()_+<>:”{}|
4.輸入中英文空格,輸入字符串中間含空格,輸入首尾空格
5.輸入特殊字符串NULL,null,0x0d 0x0a
6.輸入正常字符串
7.輸入與要求不同類型的字符,如: 要求輸入數字則檢查正值,負值,零值(正零,負零),小數,字母,空值; 要求輸入字母則檢查輸入數字
8.輸入html和javascript代碼
9.對于像回答數這樣需檢驗數字正確性的測試點,不僅對比其與問題最終頁的回答數,還要對回答進行添加刪除等操作后查看變化
例如:
1.輸入<html”>”gfhd,看是否出錯;
2.輸入,看是否出現文本框;
3.輸入看是否出現提示。
注意:
加粗是ok的
劃橫線的是還沒做的
沒有標記的是不用檢測的。
1.輸入已注冊的用戶名和正確的密碼,驗證是否登錄成功;
2.輸入已注冊的用戶名和不正確的密碼,驗證是否登錄失敗,并且提示信息正確;
3.輸入未注冊的用戶名和任意密碼,驗證是否登錄失敗,并且提示信息正確;
4.用戶名和密碼兩者都為空,驗證是否登錄失敗,并且提示信息正確;
5.用戶名和密碼兩者之一為空,驗證是否登錄失敗,并且提示信息正確;
6.用戶名和密碼,如果太短或者太長,應該怎么處理(安全性,密碼太短時是否有提示)
7. 用戶名和密碼前后有空格的處理
用戶名和密碼是否大小寫敏感;**
頁面上的密碼框是否加密顯示;**
8.(不ok)輸入密碼的時候,大寫鍵盤開啟的時候要有提示信息。
9.登錄成功后生成的Cookie,是否是httponly (否則容易被腳本盜取)
10.用戶名和密碼是否通過加密的方式,發送給Web服務器
11.用戶名和密碼的驗證,應該是用服務器端驗證, 而不能單單是在客戶端用javascript驗證
12.用戶名和密碼的輸入框,應該屏蔽SQL注入攻擊
14.(不ok)用戶名和密碼的的輸入框,應該禁止輸入腳本 (防止XSS攻擊)
15.錯誤登陸的次數限制(防止暴力破解)
16. 考慮是否支持多用戶在同一機器上登錄;
17.如果登錄功能啟用了驗證碼功能,在用戶名和密碼正確的前提下,輸入正確的驗證碼,驗證是否登錄成功;
18.如果登錄功能啟用了驗證碼功能,在用戶名和密碼正確的前提下,輸入錯誤的驗證碼,驗證是否登錄失敗,并且提示信息正確。
19.后臺系統創建的用戶第一次登錄成功時,是否提示修改密碼;
20.忘記用戶名和忘記密碼的功能是否可用;
21.如果登錄功能需要驗證碼,點擊驗證碼圖片是否可以更換驗證碼,更換后的驗證碼是否可用;
22.刷新頁面是否會刷新驗證碼;
23.如果驗證碼具有時效性,需要分別驗證時效內和時效外驗證碼的有效性;
24.用戶登錄成功但是會話超時后,繼續操作是否會重定向到用戶登錄界面;
25.不同級別的用戶,比如管理員用戶和普通用戶,登錄系統后的權限是否正確;
(不ok)26.頁面默認焦點是否定位在用戶名的輸入框中;
27.快捷鍵 Tab 和 Enter 等,是否可以正常使用。
(不ok)1.用戶密碼后臺存儲是否加密;
2.用戶密碼在網絡傳輸過程中是否加密;
3.密碼是否具有有效期,密碼有效期到期后,是否提示需要修改密碼;
4.不登錄的情況下,在瀏覽器中直接輸入登錄后的 URL 地址,驗證是否會重新定向到用戶登錄界面;
不會。
5.密碼輸入框是否不支持復制和粘貼;
6.密碼輸入框內輸入的密碼是否都可以在頁面源碼模式下被查看;
7.用戶名和密碼的輸入框中分別輸入典型的“SQL 注入攻擊”字符串,驗證系統的返回頁面;
兩種方式驗證 都安全
8.用戶名和密碼的輸入框中分別輸入典型的“XSS 跨站腳本攻擊”字符串,驗證系統行為是否被篡改;
注:該網頁把用戶通過GET發送過來的表單數據,未經處理直接寫入返回的html流,這就是XSS漏洞所在。 這說是這篇文章的精髓所在。
9.連續多次登錄失敗情況下,系統是否會阻止后續的嘗試以應對暴力破解;
10.同一用戶在同一終端的多種瀏覽器上登錄,驗證登錄功能的互斥性是否符合設計預期;
11.同一用戶先后在多臺終端的瀏覽器上登錄,驗證登錄是否具有互斥性。
1.單用戶登錄的響應時間是否小于 3 秒;
2.單用戶登錄時,后臺請求數量是否過多;
3.高并發場景下用戶登錄的響應時間是否小于 5 秒;
4.高并發場景下服務端的監控指標是否符合預期;
5.高集合點并發場景下,是否存在資源死鎖和不合理的資源等待;
6.長時間大量用戶連續登錄和登出,服務器端是否存在內存泄漏。
1.不同瀏覽器下,驗證登錄頁面的顯示以及功能正確性;
2.相同瀏覽器的不同版本下,驗證登錄頁面的顯示以及功能正確性;
3.不同移動設備終端的不同瀏覽器下,驗證登錄頁面的顯示以及功能正確性;
4.不同分辨率的界面下,驗證登錄頁面的顯示以及功能正確性。
1.1.1、整個Web應用系統的所有頁面設計風格需保持一致。
1.1.2、整個Web應用系統頁面結構設計布局合理,主題和頁面排版合理,無頁面變形,無樣式丟失,背景顯示正常,背景顏色與字體顏色和背景色協調,信息顯示完整。界面的線條一致,每個界面中線條對齊且一致。
1.1.3、頁面文字格式統一,顏色統一,無錯別字。
1.1.4、頁面標點符號格式統一,所有字段后若存在冒號,需查看冒號為統一的中文冒號或英文冒號。
1.1.5、頁面所有的列表頁標題字是不會折行,標題字顯示需統一,統一居中,或統一居左,或統一居右。
1.1.6、頁面中的提示說明敘述需簡明,盡量簡化,并且字體顯示格式一致,顏色統一。
1.1.7、頁面能兼容不同的瀏覽器,檢查頁面在不同瀏覽器下不會發生異常。
1.1.8、頁面在不同分辨率,窗口大小中展示無變形。
1.1.9、頁面界面所有的展示圖片需樣式一致,圖片需顯示清晰。
1.1.10、導航菜單布局合理,導航直觀,且易于用戶操作。
1.1.11、頁面導航與頁面結構、菜單、連接頁面的風格一致。
1.1.12、頁面導航易于導航且直觀,若有導航幫助,導航幫助需準確直觀,當存在多級菜單時,菜單圖標需做區分,便于用戶導航,用戶當前操作頁面的導航菜單需高亮顯示提示用戶,當前操作頁面的導航路徑需要正確顯示。
1.1.13、頁面數據需要搜索欄時,搜索欄需有效直觀。
1.1.14、頁面按鈕格式及顏色需一致。
1.1.15、頁面存在必填項時,需有必填項標志。
1.1.16、頁面存在表格時,表格寬度需足夠,并顯示完整。當表格呈現內容過多時,需有效提示便于用戶操作查看,比如增加更多按鈕,點擊可查看更多內容,或有滾動條顯示。
1.1.17、頁面存在表格時,頁面表格中的內容超過最長字符限制用…顯示,鼠標放上去后顯示全部內容。
1.1.18、頁面存在列表時,當前列表若無數據時,需顯示紅色字體的提示語:“暫無相關記錄!”。
1.1.19、頁面能讀取需求中需要顯示數據源,且數據正確讀出,并完整顯示。
1.1.20、web應用系統頁面中公司圖標,所有權歸屬,系統圖標顯示正確,圖標在不同瀏覽器及分辨率均能正常顯。
1.2.1、頁面操作友好易用。
1.2.2、頁面導航菜單鏈接有效,點擊后不會出現404,500報錯。
1.2.3、頁面所有的輸入框都可以進行校驗,超出限制時需有提示。
1.2.4、頁面所有的按鈕點擊后有響應。
1.2.5、在對后臺進行數據添加時,查看前臺頁面是需隨后臺數據一起變化,頁面的數據不會溢出框外。后臺增加表格內容時,根據需求出現折行或者滾動條,顯示完整數據,頁面不會變形。
1.2.6、頁面所有的下拉框點擊后有響應,下拉框數據顯示正常且完整,取值正確,不會溢出框外。
1.2.7、必填項未填寫時需有提示框彈出,顯示提示語:xxx必填!
1.2.8、頁面列表存在多條數據時,需有顯示滾動或翻頁功能使用戶可查看完整數據。
1.2.9、頁面存在搜索項時,設置查詢條件,不點擊查詢按鈕,翻頁時不會改變用戶行為,不會自動根據查詢條件顯示數據。
1.2.10、頁面存在搜索項時,設置查詢條件,點擊查詢,翻頁時顯示符合查詢條件的數據。
1.2.11、在頁面點【退出】按鈕,成功退出到登錄界面。
1.2.12、點擊刪除按鈕時需有提示框彈出提示用戶確定刪除數據,避免誤操作丟失數據。
當存在批量刪除功能時,不選擇任何數據,點擊刪除按鈕需有提示。
1.2.13、頁面輸入項輸入異常字符時需處理,不會出現系統報錯,輸入中文字符時需處理不會出現亂碼或出錯。輸入非法數據時,需提示。
1.2.14、輸入項輸入正確數據時,輸入和輸出需保持一致。
1.2.15、取消操作可執行成功。
1.2.16、成功操作可根據需求在規定的時間及范圍內生效。
1.2.17、窗體測試
1),窗體大小,大小要合適,控件布局合理;
2),移動窗體.快速或慢速移動窗體,背景及窗體本身刷新必須正確;
3),縮放窗體,窗體上的控件應隨窗體的大小變化而變化;
1.2.18、用戶圖標若支持上傳顯示時,圖片上傳后顯示時需統一尺寸及格式,頁面不會變形,圖標顯示保持和其他同類圖標一致。
2、文件上傳測試
2.1、上傳文件大小在需求限制范圍內可成功上傳;
2.2、上傳文件大小超出需求限制范圍需提示超出限制,不可成功上傳;
2.3、上傳文件數量在需求限制范圍內可成功上傳;
2.4、上傳文件數量超出需求限制范圍需提示超出限制,不可成功上傳;
2.5、上傳文件格式在需求限制范圍內可成功上傳;
2.6、上傳文件格式超出需求限制范圍需提示超出限制,不可成功上傳;
2.7、上傳文件名長度超出需求限制長度的文件提示超出限制,不可成功上傳;
2.8、上傳文件無效文件時,舉例:大小為0kb的文件,不可成功上傳;
2.9、上傳成功的文件名稱顯示正確無異常;
2.10、在不同瀏覽器上傳符合要求的文件均可成功上傳;
2.11、根據需求,若上傳路徑支持手動輸入時,輸入正確的文件路徑可成功上傳;
2.12、根據需求,若上傳路徑支持手動輸入時,輸入錯誤的文件路徑不可成功上傳;
2.13、已被打開的文件上傳,根據用戶需求確定能否成功上傳;
2.14、修改非法格式文件的后綴名為支持文件格式的類型,文件上傳不成功;
2.15、修改合法格式文件的后綴名為不支持文件格式的類型,文件上傳不成功;
2.16、上傳同名文件,根據需求確定能否上傳成功;
2.17、上傳文件的過程中,若文件上傳未完成時,可取消上傳操作;
2.18、若上傳文件成功后,頁面存在數據保存或提交按鈕時,未點擊保存或提交按鈕,上傳文件則不顯示在頁面中;
2.19、上傳文件允許多個時,再次上傳文件,上傳頁面不可顯示上次文件的名稱,需刷新上傳頁面;
2.20、上傳為空時,點擊上傳按鈕,需彈出提示信息;
2.21、已損壞文件上傳時,需提示,不可成功上傳;
2.22、文件存儲位置路徑深度測試,當超出最大深度,需提示,上傳文件不可成功;
2.23、文件目標服務器已滿時,上傳文件需提示,文件上傳不成功;
3.1、可以下載成功,下載文件和上傳文件大小,文件名稱,格式一致;
3.2、下載文件打開內容正確,和上傳文件內容一致,無亂碼,無異常;
3.3、不同瀏覽器都可下載下載成功,文件大小,文件名稱,格式,內容一致;
3.4下載未完成時,可取消下載操作;
3.5、可下載文件后臺被刪除時,點擊下載需提示,根據用戶需求而定;
附:小栗子
具體需求: 有一個登錄頁面, (假如上面有2個textbox, 一個提交按鈕。 請針對這個頁面設計30個以上的testcase.)
此題的考察目的:面試者是否熟悉各種測試方法,是否有豐富的Web測試經驗, 是否了解Web開發,以及設計Test case的能力
這個題目還是相當有難度的, 一般的人很難把這個題目回答好。
首先,你要了解用戶的需求,比如這個登錄界面應該是彈出窗口式的,還是直接在網頁里面。對用戶名的長度,和密碼的強度(就是是不是必須多少位,大小寫,特殊字符混搭)等。還有比如用戶對界面的美觀是不是有特殊的要求?(即是否要進行UI測試)。剩下的就是設計用例了 ,等價類,邊界值等等。
請你記住一點,任何測試,不管測什么都是從了解需求開始的。
功能測試(Function test)
0. 什么都不輸入,點擊提交按鈕,看提示信息。(非空檢查)
1.輸入正確的用戶名和密碼,點擊提交按鈕,驗證是否能正確登錄。(正常輸入)
2.輸入錯誤的用戶名或者密碼, 驗證登錄會失敗,并且提示相應的錯誤信息。(錯誤校驗)
3.登錄成功后能否能否跳轉到正確的頁面(低)
4.用戶名和密碼,如果太短或者太長,應該怎么處理(安全性,密碼太短時是否有提示)
5.用戶名和密碼,中有特殊字符(比如空格),和其他非英文的情況(是否做了過濾)
6.記住用戶名的功能
7.登陸失敗后,不能記錄密碼的功能
8.用戶名和密碼前后有空格的處理
9.密碼是否加密顯示(星號圓點等)
10.牽扯到驗證碼的,還要考慮文字是否扭曲過度導致辨認難度大,考慮顏色(色盲使用者),刷新或換一個按鈕是否好用
11.登錄頁面中的注冊、忘記密碼,登出用另一帳號登陸等鏈接是否正確
12.輸入密碼的時候,大寫鍵盤開啟的時候要有提示信息。
界面測試(UI Test)
1.布局是否合理,2個testbox 和一個按鈕是否對齊
2.testbox和按鈕的長度,高度是否復合要求
3. 界面的設計風格是否與UI的設計風格統一
4. 界面中的文字簡潔易懂,沒有錯別字。
性能測試(performance test)
1.打開登錄頁面,需要幾秒
2.輸入正確的用戶名和密碼后,登錄成功跳轉到新頁面,不超過5秒
安全性測試(Security test)
1.登錄成功后生成的Cookie,是否是httponly (否則容易被腳本盜取)
2.用戶名和密碼是否通過加密的方式,發送給Web服務器
3.用戶名和密碼的驗證,應該是用服務器端驗證, 而不能單單是在客戶端用javascript驗證
4.用戶名和密碼的輸入框,應該屏蔽SQL注入攻擊
5.用戶名和密碼的的輸入框,應該禁止輸入腳本 (防止XSS攻擊)
6.錯誤登陸的次數限制(防止暴力破解)
7. 考慮是否支持多用戶在同一機器上登錄;
8. 考慮一用戶在多臺機器上登錄
可用性測試(Usability Test)
1. 是否可以全用鍵盤操作,是否有快捷鍵
2. 輸入用戶名,密碼后按回車,是否可以登陸
3. 輸入框能否可以以Tab鍵切換
兼容性測試(Compatibility Test)
1.主流的瀏覽器下能否顯示正常已經功能正常(IE,6,7,8,9, Firefox, Chrome, Safari,等)
2.不同的平臺是否能正常工作,比如Windows, Mac
3.移動設備上是否正常工作,比如Iphone, Andriod
4.不同的分辨率
本地化測試 (Localization test)
1. 不同語言環境下,頁面的顯示是否正確。
軟件輔助性測試 (Accessibility test)
軟件輔助功能測試是指測試軟件是否向殘疾用戶提供足夠的輔助功能
1. 高對比度下能否顯示正常 (視力不好的人使用)
