常见的功能点的测试思路:
  . 新增 或 创建(Add or Create)
  ) 操作后的页面指向
  )操作后所有绑定此数据源的控件数据更新,常见的排列顺序为栈Stack类型,后进先出
  ) 取消操作是否成功
  .编辑 或 更新 (Edit or Update)
  ) 操作后的页面指向
  ) 操作后所有绑定此数据源的控件数据更新
  ) 取消操作是否成功
  )编辑界面是否读取出正确、全部的数据源
  ) 记录在工作流中的编辑功能可用性
  )操作成功的生效时刻及生效范围
  .删除 或 移除 (Delete or Remove)
  ) 操作后的页面指向
  ) 操作后所有绑定此数据源的控件数据更新 (如下就是删除后,Tab数据没有立即刷新的bug)
) 取消操作是否成功
  ) 记录在工作流中的编辑功能可用性
  ) 操作成功的生效时刻及生效范围(比如:购物网站,店家商品下架后,并没有同时删除买家的购买记录)
  .选中 或 全选 (Check or Check all)
  ) 多页面中,全选对所有页面是否有效
  ) 支持多页面的个别选中,且返回查看时保留选中状态
  ) 界面上的按钮的操作范围是否均受选中功能控制
  ) 前一页选中状态,在翻页后,应保留原来状态
  ) 先全选-》移除某个单选-》全选按钮是否移除选中状态 常见的web安全问题有:
  SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。
  对于手动安全测试来说,一般常用的有三点:
  、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;
  、在登录输入框的地方输入‘ or =--或 “ or =--等看是否有SQL注入;
  、在注重SQL注入的同时,一般在有输入框的地方输入
  对于自动化安全测试来说:
  测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)
  、在使用之前务必确认自己绑定的Host;
  、配置URL、开发环境、错误显示类型;
  、结果保存后可根据提示的问题类型和解决建议进行分析。
  Web安全测试通常要考虑的测试点:
  、输入的数据没有进行有效的控制和验证
  、用户名和密码
  、直接输入需要权限的网页地址可以访问
  、认证和会话数据作为GET的一部分来发送
  、隐藏域与CGI参数
  、上传文件没有限制
  、把数据验证寄希望于客户端的验证
  、跨站脚本(XSS)
  、注入式漏洞(SQL注入)
  、不恰当的异常处理
  、不安全的存储
  、不安全的配置管理
  、传输中的密码没有加密
  、弱密码,默认密码
  、缓冲区溢出
  、拒绝服务
SQL注入:
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.(
(select * form 表 where id= or
or 1是输入框输入的
这样会导致满足 id= 或 的数据都查出来
而所有的数据都满足
这样就查出来了很多不该被查出来的数据
这就是sql注入)

常见的web测试功能点测试思路的更多相关文章

  1. 大牛浅谈Web测试基于实际测试的功能测试点总结

    今天跟大家讲解的是web测试在实际测试的功能测试点的一些小总结,希望对你们有帮助,有说的不好的地方,还请多多指教! 一.页面链接检查:测试每一个链接是否都有对应的页面,并且页面之前可以正确切换.   ...

  2. Web测试和App测试有什么区别

    WEB测试和App测试从流程上来说,没有区别.都需要经历测试计划方案,用例设计,测试执行,缺陷管理,测试报告等相关活动.从技术上来说,WEB测试和APP测试其测试类型也基本相似,都需要进行功能测试.性 ...

  3. Web应用程序完全测试指南

    随着Web技术和移动互联网的发展,越来越多的应用被迁移到了云端,这也使得用户可以随时随地使用它们.目前大量的优质应用,逐渐提升了用户的品味,也降低了用户的容忍度,如果你的Web应用无法使用户满意,那么 ...

  4. WEB测试和APP测试区别

    Web测试和App测试从流程上来说,没有区别.都需要经历测试计划方案,用例设计,测试执行,缺陷管理,测试报告等相关活动.从技术上来说,WEB测试和APP测试其测试类型也基本相似,都需要进行功能测试.性 ...

  5. 《Web安全攻防 渗透测试实战指南》 学习笔记 (四)

    Web安全攻防 渗透测试实战指南   学习笔记 (四) Nmap                                       Network  Mapper    是一款开放源代码的网 ...

  6. 渗透测试之信息收集(Web安全攻防渗透测试实战指南第1章)

    收集域名信息 获得对象域名之后,需要收集域名的注册信息,包括该域名的DNS服务器信息和注册人的联系方式等. whois查询 对于中小型站点而言,域名所有人往往就是管理员,因此得到注册人的姓名和邮箱信息 ...

  7. web测试与app测试的区别

    才开始做测试就接触的web端,后来也接触app端,所以在这里对于自己工作中所接触到的做一些总结(总要养成总结的好习惯). 对于web端和移动端app,功能方面的测试,例如测试设计方法这些都大同小异,都 ...

  8. Web应用程序整体测试基础——单元测试

    近年来,随着基于B/S结构的大型应用越来越多,Web应用程序测试问题也在逐步完善中.但Web应用程序测试既可以在系统开发中实施,也可以独立于系统单独完成,这取决于Web应用程序的复杂性和多样性.同时程 ...

  9. Web测试与APP测试有哪些异同?

    1.相同点 不管是传统行业的web测试,还是新兴的手机APP测试,都离不开测试的基础知识,即是不管怎么变,测试的原理依然会融入在这两者当中. 1)设计测试用例时,依然都是依据边界值分析法.等价类划分等 ...

随机推荐

  1. iOS监听模式系列之通知中心

    补充--通知中心 对于很多初学者往往会把iOS中的本地通知.推送通知和iOS通知中心的概念弄混.其实二者之间并没有任何关系,事实上它们都不属于一个框架,前者属于UIKit框架,后者属于Foundati ...

  2. android SurfaceView绘制实现原理解析

    在Android系统中,有一种特殊的视图,称为SurfaceView,它拥有独立的绘图表面,即它不与其宿主窗口共享同一个绘图表面.由于拥有独立的绘图表面,因此SurfaceView的UI就可以在一个独 ...

  3. Nginx的内部(进程)模型

    nginx是以多进程的方式来工作的,当然nginx也是支持多线程的方式的,只是我们主流的方式还是多进程的方式,也是nginx的默认方式.nginx采用多进程的方式有诸多好处. (1)nginx在启动后 ...

  4. SharePoint 2010 电子书下载网站推荐

    最近一直搜集SharePoint2010的资料,偶尔发现一个网站还不错,推荐给大家,皮皮书屋http://www.ppurl.com/tag/sharepoint,里面有很多SharePoint201 ...

  5. 恶补web之五:dhtml学习

    dhtml是一种使html页面具有动态特性的艺术.对于多数人来说dhtml意味着html(html DOM),样式表和javascript的组合. dhtml不是w3c标准.dhtml指动态html, ...

  6. asp.net core中写入自定义中间件

    首先要明确什么是中间件?微软官方解释:https://docs.microsoft.com/zh-cn/aspnet/core/fundamentals/middleware/?tabs=aspnet ...

  7. Https背景与证书在spring boot项目中的使用

    https背景(本人学习参考中觉得不错的几篇文章) https如何解决安全问题 HTTPS 理论基础及其在 Android 中的最佳实践 什么是https 关于https的个人总结 总所周知http是 ...

  8. WebLogic域配置策略

    WebLogic域配置策略--手动和模板选项,第一部分 域含有BEA WebLogic Server实例的配置信息.它包含有关服务器.集群和机器的配置信息.域还含有关于资源,例如Java数据库连接(J ...

  9. JVM笔记8-虚拟机性能监控与故障处理工具

    1.JDK命令行工具 Java开发人员肯定都知道JDK的bin目录有“java.exe”,"javac.exe"这两个命令行工具,但并非所有程序员都了解过JDK的bin目录之中其他 ...

  10. HttpContext未null处理

    public static HttpContext Current { get { if (instance.Value == null) { instance = new ThreadLocal&l ...