第9章 WEB应用测试
上一篇 /
下一篇 2009-12-23 16:52:16
/ 个人分类:软件评测师教程
- 文件版本: V1.0
- 开发商: 来源网络
- 文件来源: 网络
- 界面语言: 简体中文
- 授权方式: 免费
- 运行平台: Win9X/Win2000/WinXP
第9章WEB应用测试
1、WEB系统的测试分类
按系统架构分:客户端、服务器、网络上的测试
按职能分:应用功能、WEB应用服务、安全系统的测试
按软件质量特性分:功能、性能、安全性、兼容性、易用性测试
按开发阶段分:设计、编码、系统测试
2、总体架构设计的测试
1)、采用瘦客户端或胖客户端是否适合需求
2)、确定WEB架构的组成部分是否满足需求
3)、服务器的配置及分布是否满足需求
3、客户端设计的测试
1)、功能设置的测试
2)、信息组织结构设计的测试
3)、页面设计的测试
4、服务器端设计的测试
1)、容量规划的测试
估算点击率是否满足需求;估算延迟和流量是否满足需求;估算WEB应用系统所需服务器的资源消耗
2)、安全系统设计的测试
常识性安全策略;使用加密技术;构造防火墙;构建网络防毒系统
3)、数据库设计的测试
5、WEB应用开发测试
1)、代码测试
源代码规则分析;链接测试;框架测试;表格测试;图形测试
2)、组件测试
表单测试;Cookies测试;脚本测试;CGI测试;ASP测试;ActiveX控件测试
6、WEB应用运行测试
1)、功能测试
客户端的选择:包括操作系统、浏览器
客户端的浏览器的配置:Cookie设置、脚本设置、安全设置、显示设置
客户端显示设置:分辩率的设置
内容测试:
A、WEB应用链接质量保证技术
该链接将用户带到它所说明的地方;被链接页面是否存在;保证WEB应用系统上没有孤立页面,工具:WebCheck,Linkbot,TestPartner
B、WEB应用功能测试技术
2)、易用性测试
用户的计算机使用经验;用户对浏览器以及WEB的使用经验;用户的业务专业知识
分三个方面:界面测试;辅助功能测试;图形测试
3)、负载压力测试
4)、客户端配置与兼容性测试
5)、安全性测试
安全体系统测试:
A、部署与基础结构
B、输入验证
如何验证输入(是否清楚入口、信任边界、是否验证WEB页输入、是否对传递到组件或WEB服务的参数进行验证、是否验证从数据库中检索的数据、是否将方法集中起来、是否依赖客户端的验证)
如何处理输入(应用程序是否易受规范化问题的影响;应用程序是否易受SQL注入攻击、应用程序是否易受XSS攻击)
C、验证身份
是否区分公共方问和受限方问;
是否明确服务账户要求;
如何验证调用者身份;
如何验证数据库的身份;
是否强制使用强账户管理措施;
D、受权
如何向最终用户授权;
如何在数据库中授权应用程序;
如何将方问限定于系统资源;
D、配置管理
是否支持远程管理;
是否保证配置存储的安全;
是否隔离管理员特权;
E、敏感数据
是否存储机密信息;
如何存储敏感数据;
是否在网络中传递敏感数据;
是否记录敏感数据;
F、会话管理
如何交换会话标识符;
是否限制会话生存期;
如何确保会话状态存储的安全;
G、加密
为何使用特定的算法;
如何确何加密密钥的安全;
回收密钥的频率如何;
H、参数操作
是否验证所有的输入参数
是否在参数中传递敏感数据
是否为了安全问题而使用HTTP头数据
I、异常管理
是否使用结构化的异常处理
是否向客户端公开了太多的信息
J、审核和日记录
是否明确了要审核的关键活动
是否考虑过如何流动原始调用者身份
是否考虑过保护日文件管理策略
收藏
举报
TAG: