在工作中常常测试Web系统,觉得Web系统比较脆弱,需要对系统整体进行测试,不然还真四处都是毛病。本文主要在Web测试的功能测试上容易遗忘的地方能够进行总结,也给新手提个醒。
1、表单的输入测试
输入框中输入的数据要好好的验证,而且最好是客户端和服务器端的双重测试。因为JSVASCRIPT有时候会因为各式各样的原因失效,而且红宝书里也对ASP.NET自带的客户端验证控件持怀疑态度。
需要测试的一般是对必填的文本框不输入,输入非法字符(如单引号),不符合输入要求的(如不符合YYYY-MM-DD、SFZ、邮箱)等等。著名的注入式攻击就是利用有些系统没有测试输入非法字符这一点做了文章。
2、状态测试
如果系统使用了COOKIE或者SESSION,在调用之前一定要注意客户端COOKIE是否启用。如果没有测试是否给了用户善意的提醒如果是SEESION,要测试客户端长时间无动作SESSION失效的情况(默认是20分钟)。
如果配置文件中延长了SEESION的时间,要测试是否和IIS一致:IIS默认是20分钟,SESSION实际保存时间取IIS和系统中短的一个。
3、测试F5刷新
当客户端进行了增加、删除操作后,直接按F5,会把上述步骤重复一次,会造成系统重复执行增加、删除。系统考虑到了吗?
4、URL直接访问
有些页面时需要一定权限才能访问的,是否考虑了屏蔽直接输入URL的访问?
在页面URL加后缀作为参数的,是否考虑了客户端修改参数后访问?
是否考虑了用户点击浏览器的“后退”按钮后进行的操作?
5、JAVASCIPT的失效测试
JAVASCRIPT很容易在某些应用环境失效,所以,还是测试一下用主要几个版本的IE,FIREFOX的浏览器访问系统吧。
推荐阅读:
