外包测试学习经验分享.pptVIP

外包测试学习经验分享 分享人：李 凤 2012年4月11日 界面测试 ►界面不友好 良好的界面能够为用户起到向导作用 ►文字、图片重叠或字体显示不全 ►Tool tip（不同浏览器对比） 有的浏览器有tooltip、有的没有 ，tooltip书写错误 ►跨平台浏览器显示不同 同时用不同的浏览器打开相同的页面 ►表单元素没有对齐 功能测试 ►邮箱没有经过验证 功能测试 ►网页链接 空链接、页面无法显示、错误链接、404错误、500错误、JS error（IE，Firefox上被屏蔽了） ►按钮不工作 提交信息、取消操作页面无反应 功能测试 功能测试 ►国际化问题 英文系统中输入中文出现乱码、页面翻译错误 ►特殊字符检查 @#$%%^*!等 ►输入字符没有经过检查 功能测试 功能测试 ►删除信息没有提示 误删，错删 ►回车键检查 输入结束后直接按回车键 ►退格键检查 光标定格在下拉列表上按Backspace键 ►使用浏览的刷新键 按F5键，看页面是否报错 功能测试 ►输入法半全角检查 “。”或“.”，如4.5 ►单项选择没有默认值 比如选择性别 ►下拉列表被选中按Backspace键页面返回上一页面 安全性测试 ►XSS攻击 攻击者使用站点脚本来发送恶意代码给没有发觉的用户，窃取他人机器上的任意资料 html标签：.../... 转义字符：();();() 脚本语言 E.g: script language=javascriptalert( )/script 摆脱h1标记来注入代码： E.g:/page.asp?pageid=10lang=entitle=section%20Title /page.asp?pageid=10lang=entitle=section%20 Title/h1scriptalert(XSS)/script 利用redirect参数来执行攻击 E.g:/somepage?redirect=scriptalert(XSS)/script 安全性测试 scriptalert(...)/script {script}alert[...]{/script} 安全性测试 ►SQL语句注入 1.一个验证用户登陆的页面， 如果使用的SQL语句为：Select * from table A where username＝’’ + username+’’ and pass word …..SQL 输入 ‘ or 1＝1 ―― 就可以不输入任何password进行攻击 2.如果存在网页像：/news.asp?id=1 可尝试把网址修改为： /news.asp?id=1and1=1 和 /news.asp?id=1and1=2 如果第一次返回正确内容，第二次返回不同页面或者不同内容的话表明news.asp文件存在SQL INJETION 安全性测试 ►对文件操作相关模块的漏洞测试 上传asp、php格式的木马程序网页、修改文件后缀名后上传 安全性测试 ►没有验证的输入 数据类型（字符串，整型，实数） 允许的字符集 最小和最大的长度 是否允许空输入 重复是否允许 数值范围 特定的值 特定的模式 安全性测试 ►有问题的访问控制 复制该页面的URL地址，关闭页面后，查看是否可以直接进入该复制的地址 退出登录系统后，按回退键，看是否能返回先前成功登录的页面 登录系统后按返回键退出登录页面，然后再按前进键看能否返回先前成功登录的页面 安全性测试 ►错误的认证和回话管理 对Gird、Label、Tree view类的输入未作验证， 输入的内容按照html语法解析出来 ►文本框的长度输入限制 输入框没有长度限制可能会造成页面出现错误或数据库出错 安全性测试 ►缓冲区溢出 view-source:http地址可以查看源代码 安全性测试 ►密码检查 有些系统的加密方法采用对字符串ASCіі移位的方式。尝试采用“uvwxyz”这些码值较大的字符作为密码，并且尽可能长 XSS代码攻击 32个触发事件的XSS攻击语句 总结 安全性测试 谢谢大家