外包测试学习研究经验分享.pptVIP

外包测试学习经验分享 分享人：李 凤 2012年4月11日 界面测试 ?界面不友好 良好的界面能够为用户起到向导作用 ?文字、图片重叠或字体显示不全 ?Tool tip（不同浏览器对比） 有的浏览器有tooltip、有的没有 ，tooltip书写错误 ?跨平台浏览器显示不同 同时用不同的浏览器打开相同的页面 ?表单元素没有对齐 功能测试 ?邮箱没有经过验证 功能测试 ?网页链接 空链接、页面无法显示、错误链接、404错误、500错误、JS error（IE，Firefox上被屏蔽了） ?按钮不工作 提交信息、取消操作页面无反应 功能测试 功能测试 ?删除信息没有提示 误删，错删 ?回车键检查 输入结束后直接按回车键 ?退格键检查 光标定格在下拉列表上按Backspace键 ?使用浏览的刷新键 按F5键，看页面是否报错 功能测试 ?输入法半全角检查 “。”或“.”，如4.5 ?单项选择没有默认值 比如选择性别 ?下拉列表被选中按Backspace键页面返回上一页面 安全性测试 ?XSS攻击 攻击者使用站点脚本来发送恶意代码给没有发觉的用户，窃取他人机器上的任意资料 html标签：.../... 转义字符：();();() 脚本语言 E.g: script language=javascriptalert( )/script 摆脱h1标记来注入代码： E.g:/page.asp?pageid=10lang=entitle=section%20Title /page.asp?pageid=10lang=entitle=section%20 Title/h1scriptalert(XSS)/script 利用redirect参数来执行攻击 E.g:/somepage?redirect=scriptalert(XSS)/script 安全性测试 scriptalert(...)/script {script}alert[...]{/script} 安全性测试 ?SQL语句注入 1.一个验证用户登陆的页面， 如果使用的SQL语句为：Select * from table A where username＝’’ + username+’’ and pass word …..SQL 输入 ‘ or 1＝1 ―― 就可以不输入任何password进行攻击 2.如果存在网页像：/news.asp?id=1 可尝试把网址修改为： /news.asp?id=1and1=1 和 /news.asp?id=1and1=2 如果第一次返回正确内容，第二次返回不同页面或者不同内容的话表明news.asp文件存在SQL INJETION 安全性测试 ?对文件操作相关模块的漏洞测试 上传asp、php格式的木马程序网页、修改文件后缀名后上传 安全性测试 ?没有验证的输入 数据类型（字符串，整型，实数） 允许的字符集 最小和最大的长度 是否允许空输入 重复是否允许 数值范围 特定的值 特定的模式