1、表单输入的测试探索
表单测试场景:成为某个网站的会员,就要注册一些个人信息,然后通过表单页面上的【提交】按钮,存储到数据库中
对表单元素输入的测试经常考虑以下两点:
- 对超长字符或不符合格式的字符(如:电话号码、Email)输入的测试。
- 对保留字符的输入测试。(XSS注入)
1-1、XSS注入举例
输出的方法是用HTML语言显示的,HTML保留字符有:<、>、"、'、&、空格、回车等(参见附录A)。HTML显示这些字符时可以用其他字符进行替换。一个正常的操作是从数据库中输出保留字符以后,程序对这些保留字符通过正则替换转码为HTML中对应的可以显示的字符串,如'<'转为<;,空格转为 …….如果在表单中输入了这些字符,或者输入一段含有这些字符的HTML代码或者JavaScript代码,如<a href="http://www.sina.com.cn">进入新浪</a>,然后在显示页面中查看输出的格式是否正确,如果不正确,或者出现显示页面错乱,甚至执行了JavaScript语句,这属于XSS注入,肯定是一个Bug。
2、模糊查询输入框输入数据的测试探索
正确查询、空格处理、SQL注入(“%”)、长度限制、什么都不输入等
2-1、SQL注入举例
输出的方法是用HTML语言显示的,HTML保留字符有:<、>、"、'、&、空格、回车等(参见附录A)。HTML显示这些字符时可以用其他字符进行替换。一个正常的操作是从数据库中输出保留字符以后,程序对这些保留字符通过正则替换转码为HTML中对应的可以显示的字符串,如'<'转为<;,空格转为 …….如果在表单中输入了这些字符,或者输入一段含有这些字符的HTML代码或者JavaScript代码,如<a href="http://www.sina.com.cn">进入新浪</a>,然后在显示页面中查看输出的格式是否正确,如果不正确,或者出现显示页面错乱,甚至执行了JavaScript语句,这属于XSS注入,肯定是一个Bug。
3、对文件的探索
系统中需要上传文件,有如下两种情形。
(1)选择文件直接上传。
(2)选择文件,按【上传】键,然后完成上传任务,该情况的用例举例如下:
- 选择的文件被删除;
- 选择的文件被破坏(文件后缀名被修改等);
- 上传空文件;
- 被选择的文件正在被其他软件打开;
4、登录界面的测试探索:SQL注入测试
5、通过查看Log日志探索
通信系统、嵌入式系统等是没有用户界面的,对这类系统进行探索式测试时,查看系统日志是一种最好的选择。在Linux/UNIX系统中,可以对日志文件进行以下操作(假设log日志为a.log):
- >tail a.log | grep error;
- >tail a.log | grep fail。
6、在开头/结尾处进行探索
- 文章结尾的输入。
- 移动记录到第一条
7、 多次执行同样操作进行探索
软件可以打开任意多个窗口,你试图打开这样的10个、20个、50个,甚至100个窗口,然后进行操作,看系统会有什么反应。这样的问题往往会导致响应速度变慢,甚至系统宕机。
- ERP软件多窗口操作。
8、通过复制/粘贴进行探索
有些文本框不允许通过鼠标进行复制和粘贴,必须使用Ctrl+C、Ctrl+V。对于这种情形,需要认真测试。另外,这种情况下,从安全性角度考虑:可以输入简单的HTML标记符,如<a href="…">、<b>、</b>、<br>、<font size="1">、</font>…,但是不允许输入存在安全风险性的标记,如<script>、</script>、docment.cookie、alert…等。
注:摘自《软件测试技术实战 设计、工具及管理》