Web系统测试 典型的Web应用结构.ppt

(4)安全测试 在安全测试中，测试者扮演着试图攻击系统的角色： 尝试去通过外部的手段来获取系统的密码 使用可以瓦解任何防守的客户软件来攻击系统 使系统“瘫痪”，其他用户无法访问 有目的地引发系统错误，期望在恢复过程中侵入系统 通过浏览非保密的数据，从中找到进入系统的钥匙 –系统的安全测试要设置一些测试用例试图突破系统的安全保密措施，检验系统是否有安全保密的漏洞。 (4)安全测试内容 目录 登录 日志文件 数据加密 脚本语言 SSL 网络抓包：httpwatch 目录设置 Web 安全的第一步就是正确设置目录。目录安全是Web安全性测试中不可忽略的问题。 如果Web程序或Web服务器的处理不当，通过简单的URL替换和推测，会将整个Web目录暴露给用户，这样会造成Web的安全性隐患。 每个目录下应该有 index.html 或 main.html 页面，或者严格设置Web服务器的目录访问权限，这样就不会显示该目录下的所有内容，从而提高安全性。 登录 很多站点都需要用户先注册后登录使用，从而校验用户名和匹配的密码，以验证他们的身份，阻止非法用户登录。 登录角色权限 用户名唯一性 口令强度和加密强度 最大口令时效 最小口令时效 最小口令长度 口令复杂度 口令锁定 日志文件 日志文件对保证Web应用系统的安全性是至关重要的。 需要测试相关信息是否写进了日志文件、是否可追踪。 在后台，要注意验证服务器日志工作正常。 加密 当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。 SSL 很多站点使用 SSL（Security Socket Layer）安全协议进行传送。 SSL表示安全套接字协议层，是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术，在位于HTTP层和TCP层之间，建立用户和服务器之间的加密通信，从而确保所传送信息的安全性。 跨站点脚本攻击（1） 恶意的用户会在发出的邮件中，附带一个图标或是使用HTML文本；当用户点击的使用，隐藏的脚本就会被激活，并在用户的浏览器中被执行。 跨站点脚本攻击（2） 利用跨站点脚本执行… 如果我能让你运行我写的JavaScript，我就能… 从你正在浏览的域中偷到你的 完全修改你所看到的页面内容 从现在开始，跟踪你在浏览器中的每一个动作 把你重定向到一个恶意的站点 利用浏览器脆弱点控制你的机器 –XSS 是目前最大的安全风险(most exploited) 跨站点脚本执行过程 4. 易用性测试 导航测试 图形测试 图形用户界面（GUI）测试 可靠性测试 导航测试 导航描述了用户在一个页面内操作的方式，在不同的用户接口控制之间，或在不同的连接页面之间。 Web应用系统导航帮助要尽可能地准确。 导航的页面结构、导航、菜单、连接的风格要一致。 图形测试 在Web应用系统中，适当的图片和动画既能起到广告宣传的作用，又能起到美化页面的功能。 一个Web应用系统的图形可以包括图片、动画、边框、颜色、字体、背景、按钮等。 图形用户界面（GUI）测试 整体界面测试 界面测试要素 界面内容测试 （a）整体界面测试 整体界面是指整个Web应用系统的页面结构设计，是给用户的一个整体感。 对最终用户进行调查的过程。 一般Web应用系统采取在主页上做一个调查问卷的形式，来得到最终用户的反馈信息。 （b）界面测试要素 界面测试要素主要包括： 符合标准和规范 灵活性 正确性 直观性 舒适性 实用性 一致性 (c)界面测试内容 站点地图和导航条 测试站点地图和导航条位置是否合理、是否可以导航等。内容布局是否合理，滚动条等简介说明。 确认测试的站点是否有地图。站点地图和/或导航条可以引导用户进行浏览。需要验证站点地图是否正确。确认地图上的链接是否确实存。地图有没有包括站点上的所有链接。 5.数据库测试 数据库为Web应用系统的管理、运行、查询和实现用户对数据存储的请求等提供空间。 在Web应用中，常用的数据库类型是关系型数据库，可以使用SQL对信息进行处理。 数据库测试是Web网站测试的一个基本组成部分。 对于测试人员，要真正了解后台数据库的内部结构和设计概念，制定详细的数据库测试计划，至少能在程序的某个流程点上并发地查询数据库。 数据库测试的主要因素 数据的完整性 测试的重点是检测数据损坏程度。设定适当的检查点可以减轻数据损坏的程度。比如，检查事务日志以便及时掌握数据库的变化情况。 数据有效性 数据有效性能确保信息的正确性，使得前台用户和数据库之间传送的数据是准确的。在工作流上的变化点上检测数据库，跟踪变化的数据库，判断其正确性。 数据操作和更新，根据数据库的特性，数据库管理员可以对数据进行各种不受限制的管理操作。具体包括： 增加记录； 删除记录； 更新某些特定的