web System测试计划--(4)

5.安全测试

   5.1目录设置

测试目标：每个目录下应该有index.html或main.html页面，这样就不会显示该目录下的所有内容。

 测试方法：选中一幅图片，单击鼠标右键，是否找到该图片所在的路径。若找到，然后在浏览器地址栏中手工输入该路径，是否发现该站点的信息。

   5.2 SSL

测试方法：站点使用SSL进行安全传送。进入一个SSL站点是因为浏览器出现了警告消息，而且在地址栏中的HTTP变成HTTPS。开发部门使用了SSL，测试人员需要确定是否有相应的替代页面(适用于3.0以下版本的浏览器)，这些浏览器不支持SSL。当用户进入或离开安全站点的时候，请确认有相应的提示信息。是否有连接时间限制？超过限制时间后出现什么情况？

   5.3登录

测试目标：

验证系统阻止非法的用户名/口令登录，而能够通过有效登录。用户登录是否有次数限制?是否限制从某些IP地址登录?如果允许登录失败的次数为3，你在第三次登录的时候输入正确的用户名和口令，能通过验证吗?口令选择有规则限制吗?  是否可以不登陆而直接浏览某个页面？是否有超时的限制，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。

   5.4日志文件

测试方法：在后台，要注意验证服务器日志工作正常。日志是否记所有的事务处理?是否记录失败的注册企图?是否记录被盗信用卡的使用?是否在每次事务完成的时候都进行保存?记录IP地址吗?记录用户名吗?

   5.5脚本语言

6.接口测试

   6.1服务器接口

链接测试和表单测试都是此处的接口测试。

测试方法：测试人员提交事务，然后查看服务器记录，并验证在浏览器上看到的正好是服务器上发生的。测试人员还可以查询数据库，确认事务数据已正确保存。

   6.2外部接口

  测试方法：要使用web接口发送一些事务数据，分别对有效信用卡、无效信用卡和被盗信用卡进行验证。如果商店只使用Visa卡和Mastercard卡，可以尝试使用Discover卡的数据。(简单的客户端脚本能够在提交事务之前对代码进行识别，例如3表示American Express，4表示Visa，5表示Mastercard，6代表Discover。)通常，测试人员需要确认软件能够处理外部服务器返回的所有可能的消息。 

   6.3错误处理

测试目标：尝试在处理过程中中断事务，看看会发生什么情况？订单是否完成？尝试中断用户到服务器的网络连接。尝试中断web服务器到信用卡验证服务器的连接。在这些情况下，系统能否正确处理这些错误？是否已对信用卡进行收费？如果用户自己中断事务处理，在订单已保存而用户没有返回网站确认的时候，需要由客户代表致电用户进行订单确认。

七．测试工作计划