[說明]
某企業想開發一套B2C系統,其主要目的是在線銷售商品和服務,使顧客可以在線瀏覽和購買商品和服務,系統的用戶的IT技能,訪問系統的方式差異較大,因此係統的易用性、安全性、兼容性等方面的測試至關重要。
系統要求:
(1)所有鏈接都要正確;
(2)支持不同移動設備,操作系統和瀏覽器;
(3)系統需通過SSL進行訪問,沒有登錄的用戶不能訪問應用內部的內容。
【問題1】(5分)
簡要敘述鏈接測試的目的以及測試的主要內容。
【問題2】(4分)
簡要敘述爲了達到系統要求(2),要測試哪些方面的兼容性。
【問題3】(4分)
本系統強調安全性,簡要敘述Web應用安全性測試應考慮哪些方面。
【問題4】(4分)
針對系統要求(3),涉及測試用例以測試Web應用的安全性。
分析
本題考查web應用測試相關內容。web應用測試除了類似傳統軟件系統測試性能測試、壓力測試等之外,還需要測試鏈接、瀏覽器和安全性等多個方面。
【問題1】
本題考查鏈接測試的主要內容。鏈接是使用戶從一個頁面瀏覽到另一個頁面的重要手段,其質量決定着功能是否能夠成功實現。鏈接測試是Web應用功能測試的重要內容,測試時需要測試所有頁面的外向鏈接、內部鏈接、頁面中鏈接跳轉、發送E-mail等功能性鏈接、是否存在孤立頁面、鏈接的目標是否存在等等,鏈接測試主要測試如下3分方面:
- 鏈接是否能夠鏈接到該鏈接到的目標頁面;
- 被鏈接的頁面存在;
- 測試是否存在孤立頁面。即只有通過特定URL才能訪問到的頁面。
【問題2】
本題考查Web應用對不同環境的兼容性測試。Web應用的兼容性是測試的重要方面,主要包括:瀏覽器兼容性測試、操作系統兼容性測試、移動終端瀏覽測試、打印測試等。本系統用戶可以通過不同的移動配置進行訪問,測試顯示速度和流量等。
不同的瀏覽器有不同的配置需要Web應用兼容。Web應用中的代碼應該跨瀏覽器平臺兼容。Web應用中如果使用JavaScript或AJAX調用UI功能,完成安全檢查或驗證,那麼就需要在瀏覽器兼容性方面進行更多測試,如,Chrome、Internet Explorer、Edge、Firefox、Netscape Navigator、AOL、Safari、和Opera等各種瀏覽器及其不同版本。
Web應用的有些功能可能並非兼容所有的操作系統,Web應用開發中用到的圖形設計、API接口等技術可能並非在所有操作系統平臺上支持。因此需要在Windows、Unix、Mac、Linux和Solaris等不同操作系統上對Web應用進行測試。
移動設備越來越普及,新技術層出不窮,不同移動設備上的不同瀏覽器的兼容性也需要進行測試。
如果Web應用支持打印功能,需要測試字體、頁面佈局、頁面圖片和圖片大小等是否正常打印。
【問題3】
Web應用的安全性測試的體系結構和設計可以想出很多與設計有關的漏洞,從而提高應用程序的整體安全性。設計時修復漏洞要比在開發後期解決問題更爲簡單,也更經濟,因爲開發後期可能要進行大量的再工程處理。開發時如果考慮一些與目標部署環境相關的設計程序已創建完畢,安全測試可修復漏洞並完善未來的設計。
一個完整的Web應用安全體系測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密、參數操作、異常管理、審覈和日誌記錄等多個方面進行。
【問題4】
本題考查Web應用安全性測試方面。Web應用的安全性測試是一項重要而龐大的工作,需要測試內部和外部的安全性威脅。Web應用的安全性測試需要很好地進行規劃。
SQL注入測試用例: 用戶名:name'or 'a'='a,password' or 'a'='a;或用戶名:name'--,密碼:password(name爲系統內有或者無的用戶名)。
如果登錄是採用SQL拼接而沒有正常進行轉義處理,則會出現將SQL語句篡改成非達到預定目標,並不管用戶名密碼是否正確,均可正常登錄,造成安全隱患。
測試SSL:某鏈接URL的https://換成http://.
內容訪問:https://domain/foo/bar/content.doc(注:域名和路徑爲應用的域名和路徑)。
內部URL拷貝:將登錄後的某URL拷貝出來,關閉瀏覽器並重啓後將URL粘貼在地址欄訪問內部內容。