Web测试方法总结--业务流程测试、安全性测试【8】

一、业务流程测试
业务流程，一般会涉及到多个模块的数据，所以在对业务流程测试时，首先要保证单个模块功能的正确性，其次就要对各个模块间传递的数据进行测试，这往往是容易出现问题的地方，测试时一定要设计不同的数据进行测试
二、安全性测试
（1）SQL注入（比如登录页面）
（2）XSS跨网站脚本攻击：程序或数据库没有对一些特殊字符进行过滤或处理，导致用户所输入的一些破坏性的脚本语句能够直接写进数据库中，浏览器会直接执行这些脚本语句，破坏网站的正常显示，或网站用户的信息被盗，构造脚本语句时，要保证脚本的完整性。document.write（“abc”）<script>alter("abc")</script>
（3）URL地址后面随便输入一些符号，并尽量是动态参数靠后
（4）验证码更新问题
（5）现在web应用系统基本采用先**，后登录的方式。因此必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登录而直接浏览某个页面等
（6）web应用系统是否有超时的限制，用户登录后一定时间内（如10min）没有点击任何页面，是否需要重新登录才能正常使用
（7）为了保证web应用系统的安全性，日志文件是至关重要的，需要测试相关信息是否写进日志文件、是否可追踪
（8）当使用了安全套接字时，还要测试**是否正确，检查信息的完整性
（9）服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以还要测试没有经过授权，就不能再服务器端放置和编辑脚本的问题。