输入验证标准.docxVIP

输入验证标准什么是输入？输入指的是由环境产生的一种刺激，该刺激导致被测试的应用有所响应。具体的表现形式有输入框（新增、修改、查询等）、上传、导入等。输入可能会导致安全隐患，故需要建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误。输入验证标准客户端验证 服务器端验证(禁用脚本调试，禁用Cookies)。数据验证流程：一个好的web系统应该在IE端，server端，DB端都应该进行验证。但有不少程序偷工减料，scrīpt验证完了，就不管了；app server对数据长度和类型的验证与db server的不一样，这些都会引发问题。编号输入（表一）1输入框的表现形式是否合理，主要分下拉框、单复选框、文本框、弹出选择框。2UI： 输入框的样式，是否对齐，样式是否美观3输入框默认值：提示信息类系统数据：应该默认的是否默认了，默认的对不对（数据权限）4输入框之前的标题是否正确；5数据完整性测试，验证输入与输出的是否信息一致6对特殊字符的处理，尤其是输入信息徐需要发送到数据库的。特殊字符包括：（中英文单引号）、（中英文双引号）、[]（中括号）、()（小括号）、{}（大括号）、;（分号）、（大于小于号）、@、#、%、$ ……7空值验证8空格trim处理：字符串前后空格trim，中间的空格不处理9输入框本身的大小、长度；10对空格、TAB字符的处理机制；11半角、全角处理12字符本身显示的颜色；13密码输入窗口转换成星号或其它符号；且密码输入框对其中的信息进行加密，防止采用破解星号的方法破解；14按下ctrl和alt键对输入框的影响；15对于新增、修改、注册时用的输入框，有限制的，应该输入时作出提示，指出不允许的或者标出允许的；16对于有约束条件要求的输入框应当在条件满足时输入框的状态发生相应的改变，比如选了湖南就应该列出湖南下面的市，或者选了某些条件之后，一些输入框会关闭或转为只读状态；17输入类型：根据前面的栏位标题判断该输入框应该输入哪些内容算是合理的。例如，是否允许输入数字或字母，不允许输入其他字符等。18输入与要求不同类型的字符，如: 要求输入数字则检查正值,负值,零值（正零，负零）,小数,字母,空值; 要求输入字母则检查输入数字191、输入长度：数据库字段有长度定义，当输入过长时，提交数据是否会出错。2、对输入框输入超过限制的字符的处理，一般非特殊的没有作出限制的在255byte左右；3、如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应20输入状态：当处于某种状态下，输入框是否处于可写或非可写状态。例如，系统自动给予的编号等栏位作为唯一标识，当再次处于编辑状态下，输入框栏位应处于不可写状态，如果可写对其编辑的话，可能会造成数据重复引起冲突等。21是否允许复制粘贴，右键粘贴和ctrl+V等22关键字是valid，但是没有匹配搜索结果的情况；23输入正常字符串24输入特殊字符串NULL, null, 0x0d 0x0a25关键字有大小写混合的情况；26关键字中是否支持通配符的情况（视功能而定）；27对于像回答数这样需检验数字正确性的测试点，不仅对比其与问题最终页的回答数，还要对回答进行添加删除等操作后查看变化28原子输入29等价类输入30输入的组合31输入的光标处理，出错后光标处理32输入内容后，输入框的状态变化33输入html和javascript代码， 如【表二】所示。编号输入（表二）1输入html””gfhd/html,看是否出错；2输入input type=”text” name=”user”/,看是否出现文本框3输入script type=”text/javascript”alert(“提示”)/script看是否出现提示4input type=text/4input/5input/? 6scriptalert(hello);/script71.jpg onmouseover=alert(xss)8/ascriptalert(‘xss’);/script9http://xxx;alert(xss);var/ a=a10‘”xss 11a=”/” ; b=”;alert(/xss/);//”12img src=“输出内容” border=“0” alt=“logo” /13“’”14‘”’15“””16“ “ “17“”“18“‘ ”title=””关于上传：上传文件是否有格式限制,是否可以上传exe文件；上传文件是否有大小限制,上传太大的文件是否导致异常错误,上传0K的文件是否会导致异常错误,上传并不存在的文件是否会导致异常错误；通过修改扩展名的方式是否可以绕过格式限制，是否可以通过压包方式绕过格式限制；是否有上传空间的限制,是否可以超过空间所限制的大小,如将超过空间的大文