ava width nbsp 退出 註入攻擊 做到 httponly 用例 大量

2018-08-20 09:08:12

登錄

1）空白 用戶名和密碼均為空/用戶名填寫，密碼為空/用戶名為空，密碼填寫 2）錯誤校驗 輸入錯誤的用戶名和密碼/用戶名錯誤密碼正確/用戶名正確密碼錯誤 3）大小寫區分（如：用戶名和密碼都為小寫時） 用戶名和密碼均大寫/用戶名大寫，密碼小寫/用戶名小寫，密碼大寫 4）存在空格 合法的用戶名或密碼前插入空格/合法的用戶名或密碼中間插入空格/合法的用戶名或密碼後插入空格 5）已註銷的用戶名登錄 6）已禁止/鎖住的用戶名登錄 7）長短校驗 在給定的用戶名和密碼規則下，超出或少於指定的長度登錄（測試臨界值） 8）非法字符校驗（如@#￥%等字符） 9）多次錯誤登錄，是否鎖住 用戶名或者密碼在連續輸錯3次或者5次的情況下，賬號要被鎖定 10）是否支持tab和enter鍵 輸入框是否支持tab鍵或支持Enter鍵登錄 11）多點登錄/提示信息 同一個用戶不能同一時間在不同的位置登錄 12）登錄是否記住用戶名和密碼 13）密碼明文 14）切換用戶，是否顯示前一用戶信息 15）登陸後前進後退操作 16）查看密碼轉碼是否有規律，是否每次都是一樣 17）密碼是否可以用MD5解密 18）登錄超時（經過一段時間自動退出） 19）SQL註入 20）跨站 21）COOKIE註入 22）COOKIE加密檢查 23）提交用get方法（不安全） 24）如果用戶未註冊，提示請先註冊，然後進行登錄 25）密碼為一些簡單常用字符串時，是否提示修改？如：123456 26）密碼存儲方式？是否加密？ 27）登錄功能是否需要輸入驗證碼？ 28）驗證碼有效時間？ 　　驗證碼輸入錯誤，登錄失敗，提示信息是否友好？ 　　輸入過期的驗證碼能否登錄成功？ 　　驗證碼是否容易識別？ 　　驗證碼換一張功能是否可用？點擊驗證碼圖片是否可以更換驗證碼？ 　　用戶體系：比如系統分普通用戶、高級用戶，不同用戶登錄系統後可的權限不同。 　　如果使用第三方賬號(QQ,微博賬號)登錄，那麽第三方賬號與本系統的賬號體系對應關系如何保存？首次登錄需要極權等 二、頁面測試： 　　登錄頁面顯示是否正常？文字和圖片能否正常顯示，相應的提示信息是否正確，按鈕的設置和排列是否正常，頁面是否簡潔壯觀等。 　　頁面默認焦點是否定位在用戶名的輸入框中 首次登錄時相應的輸入框是否為空？或者如果有默認文案，當點擊輸入框時默認方案是否消失？ 　　相應的按鈕如登錄、重置等，是否可用;頁面的前進、後退、刷新按鈕是否可用？ 　　快捷鍵Tab,Esc,Enter 等，能否控制使用 　　兼容性測試：不同瀏覽器，不同操作系統，不同分辨率下界面是否正常 三 、安全測試： 　不登錄：瀏覽器中直接輸入登錄後的地址，看是否可以直接進入 　登錄成功後生成的Cookie，是否是httponly (否則容易被腳本盜取) 　　用戶名和密碼是否通過加密的方式，發送給Web服務器 　　用戶名和密碼的驗證，應該是用服務器端驗證， 而不能單單是在客戶端用javascript驗證 　　用戶名和密碼的輸入框，應該屏蔽SQL註入攻擊 　　用戶名和密碼的的輸入框，應該禁止輸入腳本 （防止XSS攻擊） 　　錯誤登陸的次數限制（防止暴力破解） 　考慮是否支持多用戶在同一機器上登錄； 　考慮一用戶在多臺機器上登錄 四、性能測試： 　　單用戶登錄系統的響應時間是否符合"1-3-5"原則，所謂1-3-5原則為：網站響應時間1-3-5原則，1秒是很好，3s是好，超過5秒用戶就容易跳失 　　用戶數在臨界點時並發登錄是否還能符合"3-5-8"原則 　　壓力：大量並發用戶登錄，系統的響應時間是多少？系統會出現宕機、內存泄露、cpu飽和、無法登錄嗎? 　　穩定性： 系統能否處理並發用戶數在臨界點以內連續登錄N個時的場景？ 五、其它測試： 　　連續輸入3次或以上錯誤密碼，用記是否被鎖一定時間（如：15分鐘）？時間內不允許登錄，超出時間點是否可以繼續登錄。 　　用戶session過期後，重新登錄是否還能重新返回這前session過期的頁面？ 　　用戶名和密碼輸入框是事支持鍵盤快捷鍵？如：撤銷、復制、粘貼等等 　　是否允許同名用戶同時登錄進行操作？考慮web和app同時登錄 　　手機登錄時，是否先判斷網絡可用？ 　　手機登錄時，是否先判斷app存在新版本？ 　　是否支持單點登錄？ 　　是否有埋點接口
　　

WEB網站測試

一、輸入框： 1）復制粘貼操作（如密碼需二次確認驗證，此時復制粘貼不可生效，其余的情況應該生效）； 2）全/半角的符號是否區分；（正常使用，半角輸入） 3）若輸入 * 是否能搜索出全部的內容； 二、提交/確定按鈕： 1）連續點擊提交/確定按鈕頁面如何處理，註意連續提交時操作要快，達到簽個提交尚未處理完成，點擊下一個提交，程序如何處理，是否報錯；

三、後退按鈕，返回鍵：

1、對於頁面的操作，大家要註意測試下瀏覽器上的後退按鈕操作，查看下做完操作後點擊後退按鈕後，之前的操作是否會撤銷？

2、連續點擊後退按鈕，查看頁面會做何種處理，是否會報錯；

3、比如已經退出登錄的頁面，點擊後退按鈕，頁面是否仍是登錄狀態？

4、對於有返回鍵的頁面，對於已經成功提交的記錄，點擊返回鍵後，看如何處理之前的操作；

5、對於有連續返回鍵的頁面，連續點擊返回鍵，頁面如何處理，是否報錯。

四、鏈接測試：

1、首先，測試所有鏈接是否按指示的那樣確實鏈接到了該鏈接的頁面;

2、其次，測試所鏈接的頁面是否存在;

3、最後，保證Web應用系統上沒有孤立的頁面，所謂孤立頁面是指沒有鏈接指向該頁面，只有知道正確的URL地址才能訪問。

要註意的是：未登錄時各功能跳轉頁面的測試；對於網站測試各個頁面的跳轉都是需要點擊測試的，以及需要登錄的操作，在未登錄的情況下去操作，跳轉是否正常都需要驗證；

五、session超時/失效：

1、登錄後長時間不操作，session超時，查看頁面跳轉；

2、這涉及所有需要登錄的才能操作的頁面；

3、測試這種情況的簡便方法：登錄網站，將需要測試的頁面Page1在另一個標簽中打開，然後再在原來的頁面中退出登錄，此時session已經失效；這樣再去操作Page1，即可達到session失效或超時的條件。

九、頁面提示語測試：

頁面提示語不僅要友好，還要做到整個網站風格（字體大小，字體顏色，提示的排版，背景，提示語氣等）要統一；對於這種提示語的測

試，在測試的過程分別提出來 可能會比較繁瑣，而且浪費時間和體力；對於這一類問題，最好是統一提出，統一總結，因為此類情況大部

分會是比較類似的情況，可統一整理出文檔，反饋給開發 人員，統一修改，這樣能夠提高雙方的工作效率。

十、瀏覽器兼容性：

對於其他IE的測試可以通過IETester工具，這個並不是完全精準的，但是鑒於一個電腦只能安裝一個IE瀏覽器，只能退求其次了；當然也可以用其他同事的瀏覽器確認測試。

十二、頁面title測試：

一個網站的頁面title是最好要統一的；

要驗證頁面title的顯示是否正確；

風格是否統一；

類似操作的不同頁面的title是否與對應的頁面相一致。

十三、刷新鍵：點擊瀏覽器上的刷新鍵，檢查頁面如何處理，是否報錯？

十四、滾動條測試：對於滾動條的測試，要註意測試拉動滾動條是否異常

測試用例（二）