1. 概述
1.1 测试内容
本次测试是对整个PC端的前台业务呈现和后台逻辑处理进行整体测试,由于网站是面向党建业务,所以保密性至关重要,本次测试也将对于网站保密性进行测试。
1.2 测试方法
本次具体测试包括但不限于使用使用XSS模拟攻击、CSRF攻击、SQL注入攻击等网页攻击手段进行性能和负载测试。
1.3 测试环境及工具
AppScan
Google Chrome浏览器78.0.3904.70
2. 测试
1. 登录
1. 中文,英文全角、英文半角、数字、空或者空格或者回车、特殊字符输入测试
登录测试
2. 输入特殊字符串(null,NULL, ,javascript,, ,,)、输入脚本函数()、doucment.write("abc")、hello、sql注入)测试
特殊字符测试
特殊字符测试
密码为 admin OR ‘1=1’ 的注入攻击
测试用例表
测试用例 | 预期结果 | 实际结果 |
---|---|---|
输入正确的用户名和正确的密码 | 登录成功 | 登录成功 |
输入正确的用户名和错误的密码 | 登录失败 | 登录失败 |
输入错误的用户名和正确的密码 | 登录失败 | 登录失败 |
输入错误的用户名和错误的密码 | 登录失败 | 登录失败 |
用户名是和密码是null | 登录失败 | 登录失败 |
输入超长字符串 | 登录失败 | 登录失败 |
用户名是admin密码是admin OR ‘1 = 1’ | 登录失败 | 登录失败 |
用户名和密码包括特殊字符 | 登录失败 | 登录失败 |
用户名和密码有HTML代码 | 登录失败 | 登录失败 |
2. 文件或者图片上传
1. 添加活动的标题的输入测试
活动标题超长测试
测试结果:插入数据库失败,测试成功
活动标题超长测试
2. 日期的输入测试
日期输入不规范测试
测试结果:插入数据库失败,测试成功
活动标题超长测试
3. 输入内容包含js语法测试
JS输入测试
测试结果:插入数据库失败,测试成功
活动标题超长测试
4. 测试上传的文件是JS文件
JS文件内容
JS输入测试
测试结果:无法上传js文件,测试成功
JS输入测试结果