安全问题考虑
直接URL链接检查:
在Web系统中,匿名在地址栏直接输入各个功能页面的URL地址,检查系统是否处理了权限控制
测试:
越权访问,非登录访问该链接,获取所有系统url,在非登录情况下进行遍历截图,或关键字判断,验证非登录状态下无法访问具有访问权限限定的
【图示】是测试简书的一个例子说明:
输入判断问题:
1、所有键盘输入的特殊字符,均可以正常保存
2、需要特别处理英文单引号、英文双引号等引起程序错误的问题
3、需要处理“‹”、“/”和“\”等容易保存出错的字符
4、数字框只能输入数字的内容
5、日期框需要判断日期是否合法
6、文本框需要判断字段长是否限制了
7.文本框输入超长一段纯英文字符
8.文本框输入超长一段纯数字字符
9.文本框输入超长一段纯特殊字符
对于空格的处理,如果系统想trim掉字符串最开头和最后的空格,则需要整个儿系统都使用此策略,否则会造成数据传递不一致的问题
需要前台页面使用js来判断输入的合法性,同时后台逻辑也要添加判断输入合法性的判断。
预防方法:
开发:开发公共处理特殊字符的模块,在系统中进行规范应用
测试:对所有输入字段,进行输入判断测试,超长、空、特殊字符、utf8字符等,并验证其他页面输入有效性,验证前台和后台均加有输入判断逻辑。
这里提一下:我在实际测试过程中,在文本框中输入很长的一段字符不包含换行符,提交后页面出现横向滚动条,这是最常见的bug
多浏览器访问的情况:
用户可能打开不同的浏览器使用相同的用户登录后进行操作,程序处理的时候要考虑到数据的一致性和同步问题
多个浏览器使用不同用户,则cookie操作不会出现用户信息混乱的问题
预防方法:
开发:提前考虑到多个浏览器操作和多用户操作的使用场景,在使用cookie本地信息时需要做好针对性的程序处理,依据以往出现的问题设计开发规范
测试:按照多浏览器和多用户的使用情况,进行更多场景的测试
测试场景:
1.多个浏览器操作同一个用户(前后数据一致)
2.不同浏览器操作相同用户
3.不同浏览器操作不同用户
、
网友评论