第9章 WEB应用测试

第9章WEB应用测试

1、WEB系统的测试分类

按系统架构分：客户端、服务器、网络上的测试

按职能分：应用功能、WEB应用服务、安全系统的测试

按软件质量特性分：功能、性能、安全性、兼容性、易用性测试

按开发阶段分：设计、编码、系统测试

2、总体架构设计的测试

1）、采用瘦客户端或胖客户端是否适合需求

2）、确定WEB架构的组成部分是否满足需求

3）、服务器的配置及分布是否满足需求

3、客户端设计的测试

1）、功能设置的测试

2）、信息组织结构设计的测试

3）、页面设计的测试

4、服务器端设计的测试

1）、容量规划的测试

估算点击率是否满足需求；估算延迟和流量是否满足需求；估算WEB应用系统所需服务器的资源消耗

2）、安全系统设计的测试

常识性安全策略；使用加密技术；构造防火墙；构建网络防毒系统

3）、数据库设计的测试

5、WEB应用开发测试

1）、代码测试

源代码规则分析；链接测试；框架测试；表格测试；图形测试

2）、组件测试

表单测试；Cookies测试；脚本测试；CGI测试；ASP测试；ActiveX控件测试

6、WEB应用运行测试

1）、功能测试

客户端的选择：包括操作系统、浏览器

客户端的浏览器的配置：Cookie设置、脚本设置、安全设置、显示设置

客户端显示设置：分辩率的设置

内容测试：

A、WEB应用链接质量保证技术

该链接将用户带到它所说明的地方；被链接页面是否存在；保证WEB应用系统上没有孤立页面，工具：WebCheck,Linkbot,TestPartner

B、WEB应用功能测试技术

2）、易用性测试

用户的计算机使用经验；用户对浏览器以及WEB的使用经验；用户的业务专业知识

分三个方面：界面测试；辅助功能测试；图形测试

3）、负载压力测试

4）、客户端配置与兼容性测试

5）、安全性测试

安全体系统测试：

A、部署与基础结构

B、输入验证

如何验证输入（是否清楚入口、信任边界、是否验证WEB页输入、是否对传递到组件或WEB服务的参数进行验证、是否验证从数据库中检索的数据、是否将方法集中起来、是否依赖客户端的验证）

如何处理输入（应用程序是否易受规范化问题的影响；应用程序是否易受SQL注入攻击、应用程序是否易受XSS攻击）

C、验证身份

是否区分公共方问和受限方问；

是否明确服务账户要求；

如何验证调用者身份；

如何验证数据库的身份；

是否强制使用强账户管理措施；

D、受权

如何向最终用户授权；

如何在数据库中授权应用程序；

如何将方问限定于系统资源；

D、配置管理

是否支持远程管理；

是否保证配置存储的安全；

是否隔离管理员特权；

E、敏感数据

是否存储机密信息；

如何存储敏感数据；

是否在网络中传递敏感数据；

是否记录敏感数据；

F、会话管理

如何交换会话标识符；

是否限制会话生存期；

如何确保会话状态存储的安全；

G、加密

为何使用特定的算法；

如何确何加密密钥的安全；

回收密钥的频率如何；

H、参数操作

是否验证所有的输入参数

是否在参数中传递敏感数据

是否为了安全问题而使用HTTP头数据

I、异常管理

是否使用结构化的异常处理

是否向客户端公开了太多的信息

J、审核和日记录

是否明确了要审核的关键活动

是否考虑过如何流动原始调用者身份

是否考虑过保护日文件管理策略