軟件測試中web測試的幾個隱藏點

軟件測試中web測試的幾個隱藏點
   
    雖然說開發和測試從某種意義上講是“對立”的關系，但是早在哲學課里我們就已經知道對立統一是結為一體的。所以我一直覺得開發和測試是一種互相補充，而開發人員和測試人員也傳承了這一關系，他們只是站在不同的角度去維護一個產品。于是我比較習慣測試前和測試后都會征求開發人員的意見。比如我會在測試前尋問開發人員他們認為程序中需要著重測試的要點以及測試的注意點，而在測試執行后我又會主動的向他們講述自己實際的測試情況并請他們判斷是否還存在遺漏。

實踐證明這樣的做法非常有意義，就拿最近一次項目組周會時的討論來說，考慮項目已經進行了測試用例的評審，而代碼也已完成了編寫，在接下去的時間里就要著手執行功能測試，我向項目組的所有成員詢問在執行測試階段對于測試人員還有哪些建議和要求，其中一位開發人員非常誠懇的說，他認為一個web網站測試的重點首先應該是安全性，其次是性能，最后才是功能，而他認為安全性測試在我的測試用例中只體現了部分內容，但仍有一些潛在的安全因素沒有在用例中很好的體現。坦白講真有種一語驚醒“夢中人”的感覺，雖然我也知道安全性測試的重要，但是在測試過程中我還是將功能放在第一位，多少還是忽略了安全性的測試，而這方面的知識也相對的匱乏。

會后我又找這位開發人員進行了安全性測試的討論?？偨Y有3點內容在平時的測試中需要注意起來。

1.權限的控制。這一點我相信大多數測試人員都很熟悉，并且會在測試用例中體現出來，但是需要提醒大家的是url作為開放的輸入，我們必須考慮在修改url的前提下會不會導致權限控制出現漏洞。

2.輸入代碼的過濾。這一點相信大家也不陌生。如果程序未對該種情況過濾，那么整個頁面的布局和安全都會受到破壞。

3.SQL注入。這一點至少對于我來說是一個比較新的概念，它通過在url中輸入sql語句來攻擊設計不健全的系統及其數據庫，具體涉及的內容網上有很多介紹的文章，感興趣的同學們都可以去搜索閱讀。

當然除了上述三點，安全性測試涉及的內容還是有很多很多，之前云齊的文章也有提到過一點，現在想想才發現測試就好比挖地雷，我們必須小心的將所有隱藏的“地雷”挖掘出來，才能讓所有人安全！

    很多時候，基于需求的測試和針對web特有的瀏覽器兼容性測試、cookie失效的驗證，對于測試人員并不陌生。但實際上，與瀏覽器相關的測試內容遠不止這些。
　　舉一個例子來說，很多時候我們都非常明確頁面上的所有入口，并對這些入口設計了大量的用例，而瀏覽器的地址欄卻常常會被我們忽略。實際上，url的輸入意義遠比我們意識中的重要，忽略了url的測試，很容易造成安全上的隱患。
　　再進一步的說，瀏覽器的前進、后退、刷新按鈕同樣是測試人員需要關注的點。前進、后退在用戶登錄、注銷信息的測試中應用最為頻繁。而刷新，往往容易被忽視，但其同樣是bug的“溫床”。在最近的一次測試中，我就遇到過在我刪除某條記錄系統提示刪除成功后，點擊“刷新”按鈕，頁面提示出錯的情況。出現該現象的原因就在于頁面試圖去取已刪除的內容，導致出現異常。其實這個問題應該隱藏了比較久的時間，但是卻一直未被發現，足可見我們都忽視了“刷新”的測試。
　　除了上述的內容外，我相信一定還存在很多我們在測試中忽視的內容，而這些點的補充，是我們每一個人的責任！

原文轉自：http://www.anti-gravitydesign.com