度量是改进过程的有效途径之一。通过对测试过程的度量，可以使测试过程规范化、可视化;对度量数据的分析，可以测量出测试过程的有效性及存在的问题，明确测试过程的改进方向，从而保证软件的质量。因此，对软件测试过程的度量研究具有十分重要的意义。请问如何证明或者度量测试工作的有效性？如果你也有问题想提出来和大家一起讨论，请点击此处>>说不定下期讨论的问题就是由你提出的哦，请快快参与吧！获奖名单奖项获奖名单奖励答案链接一等奖kuailederen当当购物卡50元2#二等奖qinxiaocang1202300论坛积分7#三等奖archon.

背景描述：一个测试团队花费好几周时间测试并发现很多缺陷，只是为了看着管理层决定发布一个有已知严重缺陷的产品。测试团队经常会感到士气受挫，置疑他们测试的目的．测试人员不需要为产品质量负责吗？请各位发表自己的见解。感谢会员月野幻儿提供此精彩话题！如果你也有矛盾的问题想提出来和大家一起讨论，请点击此处>>说不定下期PK的话题就是由你提出的哦，请快快参与吧！奖项获奖名单奖励答案连接最佳话题PK手wssgily当当购物卡50元+最佳PK手勋章5#

转 自http://cs.phontol.com/20081017_330516.html1. 不登录系统，直接输入登录后的页面的url是否可以访问2. 不登录系统，直接输入下载文件的url是否可以下载，如输入http://url/download?name=file是否可以下载文件file3. 退出登录后按后退按钮能否访问之前的页面4. ID/密码验证方式中能否使用简单密码。如密码标准为6位以上，字母和数字混合，不能包含ID，连续的字母或数字不能超过n位5. 重要信息（如密码，身份证号码，信用卡号等）在输入或查询时是否用明文显示；在浏览器地址栏里输入命令javascrīpt:alert(dou.

非法输入 Unvalidated Input　　在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查，非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。　　失效的访问控制　Broken Access Control　　大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。　　失效的账户和线程管理　Broken Authentication and Session Management　　有良好的访问控制并不意味着万事大吉，企业还应该保护用户的密码、.

再次强烈推荐，文章虽长了点，看完受益；如果一个程序有错误，并且只在某些特殊的情况下面出现，它并不是什么大问题。通常，你能够避开这些特殊的情况，使得程序中的错误故障不会发生危害。你甚至可以按照你的意愿，在你的程序中加入这些小小的“臭虫”。　　但是，有时有些程序处于安全界限的边缘位置。他们从另外的程序作为输入，但不是按照程序本来的存取方法。　　我们常见的一些例子：你从的邮件阅读器读取任何人给你发的邮件，然后显示在你的显示器上，而它们本不应当这样做的。任何被接在因特网上的计算机的TCP/IP栈都从.

SQL注入漏洞全接触--入门篇http://blog.csdn.net/Test_sunny/archive/2008/08/03/2760396.aspxSQL注入漏洞全接触--进阶篇http://blog.csdn.net/Test_sunny/archive/2008/08/03/2760399.aspxSQL注入漏洞全接触--高级篇http://blog.csdn.net/Test_sunny/archive/2008/08/03/2760404.aspx

－－说明：下文是从其他地方看到的关于WEB安全测试所需的基础知识纲要，大家可以结合本版面的其他WEB安全测试帖子一起学习第一章：B/S架构体系安全渗透测试基础1. HTTP协议基本概念（1）介绍HTTP标示URL（2）HTTP响应状态码（3）HTTP协议传输内容2. WEB应用认证基本概念（1）HTTP常见认证机制（2）BASE64编码介绍3. B/S架构常见安全问题（1）拒绝服务攻击基础（2）Smurf攻击模型（3）Fraggle攻击模型（4）SynFlooding攻击模型（5）碎片攻击4. 嗅探理论基础（1）网络嗅探原理（2）密码.