[转]解决自动测试中验证码问题的非技术方法
下面以处理xbm格式的验证码为例,介绍对其进行识别的算法。
本文的2.1节对xbm文件格式进行了深入的探讨,用xbm实现验证码的方法在ASP和dotNET平台上非常常见,由于xbm文件格式的规则性,因此很容易通过程序对其进行识别。一般的识别过程如下:
- <!--[if !supportLists]-->多次访问带有验证码的页面,分析每次获得的xbm文件和显示的图片之间的对应关系,获得验证码中所有符号对应的十六进制串;
- <!--[if !supportLists]-->编写识别验证码的代码,识别代码根据获得的xbm文件,将其按照编码方式分组,然后与上一步骤中获得的对应的十六进制串进行比较,这样就可以识别出该xbm文件对应的验证码的实际数据。
下面这段代码是用于将xbm图片文件识别为相应的验证码内容的C语言代码:
{
const?char?orgdig[10][10]?=?{
{0x3c,0x66,0xc3,0xc3,0xc3,0xc3,0xc3,0xc3,0x66,0x7e},?//0
{0x18,0x1c,0x18,0x18,0x18,0x18,0x18,0x18,0x18,0x00},?//1
{0x3c,0x66,0x60,0x60,0x30,0x18,0x0c,0x06,0x06,0x7e},?//2
{0x3c,0x66,0xc0,0x60,0x1c,0x60,0xc0,0xc0,0x66,0x38},?//3
{0x38,0x3c,0x36,0x33,0x33,0x33,0xff,0x30,0x30,0xfe},??//4
{0xfe,0xfe,0x06,0x06,0x3e,0x60,0xc0,0xc3,0x66,0x3c},??//5
{0x60,0x30,0x18,0x0c,0x3e,0x63,0xc3,0xc3,0x66,0x3c},?//6
{0xff,0xc0,0x60,0x30,0x18,0x18,0x18,0x18,0x18,0x18},??//7
{0x3c,0x66,0xc3,0x66,0x3c,0x66,0xc3,0xc3,0x66,0x3c},?//8
{0x3c,0x66,0xc3,0xc3,0x66,0x3c,0x18,0x0c,0x06,0x03}??//9
};
int?i=0,?j=0;
int?ret?=?1;
for(i=0;?i <10;?i++)
{
ret?=?1;
for(j=0;?j <10;?j++)
{
if(orgdig[i][j]!=?dig[j])
{
ret?=?0;
break;
}
}
if(ret)
return?i;
}
return?-1;
}
主函数:
char?picc[500],?t[40],?od[10];
char?separators[]?=?",";
char?*token,?*endstr;
int?i=0,?j=0;
//获取需要识别的图片中的数据描述部分,内容为
//0x3c,?0x3c,?0x18,?0x3c,?0x66?…
//将其存放在字符串picc中
…………
//分解获得的串
token?=?(char?*)strtok(picc,?separators);?/*?Get?the?first?token?*/
if(!token)
{
return(?-1?);
}
while(?token?!=?NULL?)
{
if(!strcmp(token?,? ""))//处理为“空”的内容,将其替换成0x00
t[i]?=?0x00;
else
t[i]?=?strtol(token,? &endstr,?16);
i++;
token?=?(char?*)strtok(NULL,?separators);
}
for(i=0;?i<4;?i++)//一共4个数字,分别调用getDigital函数进行处理
{
for(j=0;?j <10;?j++)
{
od[j]?=?t[j*4+i];
}
lr_output_message( "%d",?getDigital(od));
}
其他通过服务器代码绘图方式实现的识别码识别相对麻烦一些,但原理上都差不多,无非是将获取到的图片进行分析,通过识别方法判断其对应的符号。
<!--[if !supportLists]-->1.2<!--[endif]-->服务端插入法
如果可以控制和修改服务端代码,就可以使用服务端插入法。该方法在服务端提供一个可被客户端使用的接口,只要客户端传递过来自己的SessionID,该接口就返回此时正确的Session,这种方法就可以很容易地让自动测试工具直接获取到正确的应该提交的验证码内容。从测试的角度来说,这种方法就等于是在系统上增加了一个测试接口,从而提高了系统的可测试性。
服务端插入法的实现并不复杂,在任何一个平台上都能很容易实现,在此就不再赘述了。服务端插入法可以针对任何类型的应用使用,但这种方法也有明显的不足:
<!--[if !supportLists]-->1、<!--[endif]-->如果是已经上线的应用,网站不太可能会允许保留一个这样的接口,因此,该方法一般用于还未上线的WEB系统,如果要在已上线的WEB系统上使用该方法,则必须通过管理上的方法提高该方面的安全性;
<!--[if !supportLists]-->2、<!--[endif]-->采用这种方法,在性能测试时,由于该方法需要额外请求一次才能获得实际的验证码,相对于实际的用户操作来说,访问带有验证码页面的请求会多一次,因此在获得的测试结果上会有些许的差异。
<!--[if !supportLists]-->1.3<!--[endif]-->解决自动测试中验证码问题的非技术方法
其实,测试并不只是单单的技术问题,除了上面给出的识别法和服务端插入法,其实,通过非技术的方式也能让自动化测试在具有验证码的系统上成功应用。当然,这些非技术方法应用的前提是,测试团队必须具有足够的能力和机会影响系统的实现。如果完全没有方法接触到服务端代码或是完全不能修改服务端代码,以下的方法就都不能应用了。
下面,让我们跳出技术的范围,换个角度来看看如何解决验证码的问题:
<!--[if !supportLists]-->1、<!--[endif]-->屏蔽法
屏蔽法是最容易想到的一种方法,方法的核心就是:在被测系统中暂时屏蔽验证功能。这种方法最容易实现,对测试结果也不会有太大的影响(当然,这种方式去掉了“验证验证码”这个环节,如果该环节本身存在功能上的问题,或是本身就是性能的瓶颈,那就一定会对测试结果造成影响了)。但这种方法也有一个问题:如果被测系统是一个实际已上线的系统,屏蔽验证功能会对已经在运行的业务造成非常大的安全性的风险,因此,对于已上线的系统来说,用这种方式就不合适了。
<!--[if !supportLists]-->2、<!--[endif]-->后门法
后门法不屏蔽验证码,但在其中留一个后门,在代码中设定一个所谓的“万能验证码”,只要用户输入这个“万能验证码”,就能通过验证,否则,还是按照正常的验证方式进行验证。这种方式仍然存在安全性的问题,但由于我们可以通过管理手段将“万能验证码”控制在一个小的范围内,而且只在测试期间保留这个小小的后门,相对第一种方法来说,在安全性方面有了较大的提高。
<!--[if !supportLists]-->1.4<!--[endif]-->各种方法的比较
本文提供了多种用于解决具有验证码的WEB系统在自动测试时遇到问题的方法,这些方法既包含技术性的方法,也包含非技术性的方法。但由于每种方法的出发点不同,因此这些方法也就具有各自不同的优缺点和适用场合。本节我们对本文提到的各种方法进行比较,分别给出其优缺点和适用的场合。
<!--[if !supportLists]-->2<!--[endif]-->小结
针对WEB系统的验证码对自动化测试带来的挑战,本文详细分析了WEB验证码常见的实现方法,并根据分析提出了几种不同的解决方案:识别法、服务端插入法、屏蔽法和后门法。这几种方法各有其优缺点和适用场合,因此本文也给出了这几种方法之间的对比,并给出了各种方法的应用建议。
当然,本文的重点是介绍解决WEB系统的验证码对自动化测试带来问题的方法,在实际的自动化测试过程中,除了需要了解本文所介绍的方法外,还需要了解相应的自动化测试工具的具体应用方法,虽然不同的测试工具在提供的功能上大同小异,但在具体的使用层面上,不同的工具还是有较大差异性的,请读者自行查阅相应的测试工具文档,从工具的文档中获取相应信息。
相关阅读:
- 图片验证码性能测试解决方案 (蓝宇伊人, 2007-10-18)
TAG: 验证码
