session测试关注点
1、不登录系统,直接输入登录后的页面的url是否可以访问。
2、不登录系统,直接输入下载文件的url是否可以下载,如输入http://url/download?name=file是否可以下载文件file。
3、退出登录后按后退按钮能否访问之前的页面。
4、登陆后就不再操作页面,等达到Session过期时间后点击页面任意一个链接,如果能正常访问,表示Session实效时间设置不正确。
5、登录系统账号1,在同一个浏览器子窗口里或同个浏览器新窗口再登录系统账号2,最终登录用户都为系统账号2。
cookie测试关注点
1、打开WEB系统后,在浏览器默认存储cookies的目录下看此cookies目录是否存在。
2、已知cookies的保存时间,测试时间范围之内和之外的cookies文件是否正常,即,在时间范围内,再次打开
WEB系统时,默认信息是否会自动显示;在时间范围外,再次打开WEB系统时,默认信息是否不再显示.cookies是否失效。
3、将浏览器下的所有cookies文件全部删除。若再次能登陆WEB系统,会有两种情况,其一,系统未使用cookies技术,其二,cookies为保存在IE设置的默认路径;若再次不能默认登陆WEB系统,则系统的cookies文件时放在IE的默认目录下的。
4、重要信息(如密码,身份证号码,信用卡号、手机号码等)在输入或查询时是否用明文显示;在浏览器地址栏里输入命令javascrīpt:alert(doucument.cookie)时是否有重要信息;在html源码中能否看到重要信息。
5、屏蔽 Cookie(用例1)
目的:这是最简单的Cookie 测试方法,检查当Cookie 被屏蔽时Web 系统会出现什么问题。
步骤1:首先关闭所有浏览器实例,删除测试机器上的所有cookie。设置IE 屏蔽Cookie,可通过把 IE 的“隐私”设置为 “阻止所有Cookie”。
步骤2:然后运行Web系统的所有主要功能,很多时候会出现功能不能正常运行的情况。这时系统就会提示用户必须激活Cookie 使用设置才能正常运行web系统,这时检查系统提示的cookie内容和需求说明书上的cookie种植点是否一致?
6、有选择性地拒绝Cookie(用例2)
目的:测试如果某些Cookie 被接受,某些Cookie 被拒绝,Web 系统会发生什么事情?
步骤1:首先删除测试机器上的所有Cookie,然后设置IE的Cookie 选项,当Web 系统试图设置一个Cookie 时弹出提示。
步骤2:然后运行Web系统的所有主要功能。在弹出的Cookie 提示中,接受某些Cookie,拒绝某些Cookie。
步骤3:检查Web系统的工作情况,看Web 服务器是否能检测出某些Cookie 被拒绝了,是否出现正确的提示信息。有可能Web 系统会因为这样而出现错误、崩溃、数据错乱,或其他不正常的行为。
7、Cookie 加密测试(用例3)
目的:检查存储的Cookie 文件内容,看是否有用户名、密码等敏感信息存储,并且未被加密处理。某些类型的数据即使是加密了也绝对不能存储在Cookie 文件中的,例如:网银交易中的信用卡号和交易密码。
测试方法:可以手工地打开所有Cookie 文件来查看,也可以利用一些Cookie 编辑工具来查看。
8、Cookie 安全内容检查
Cookie 安全内容检查包括前面讲的存储内容的检查,还包括以下方面:
Cookie 过期日期设置的合理性:检查是否把Cookie 的过期日期设置得过长。
HttpOnly 属性的设置:把Cookie 的HttpOnly 属性设置为True 有助于缓解跨站点脚本威胁,防止Cookie 被窃取。
Secure 属性的设置:把Cookie 的Secure 属性设置为True,在传输Cookie 时使用SSL连接,能保护数据在传输过程中不被篡改。
其他安全性测试关注点
1、手动更改参数值能否访URL中的问没有权限访问的页面。如普通用户对应的url中的参数为l=e,高级用户对应的url中的参数为l=s,以普通用户的身份登录系统后将url中的参数e改为s来访问本没有权限访问的页面
2、url里不可修改的参数是否可以被修改
3、上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行
4、注册用户时是否可以以’–,’ or 1=1 --等做为用户名
5、传送给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符(’,‘and 1=1 --,’ and 1=0 --,'or 1=0 --)时是否可以正常处理
6、执行新增操作时,在所有的输入框中输入脚本标签(<scrīpt>alert("")</scrīpt>)后能否保存
7、在url中输入下面的地址是否可以下载:http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd
8、错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等
9、ID/密码验证方式中能否使用简单密码。如密码标准为6位以上,字母和数字混合,不能包含ID,连续的字母或数字不能超过n位,必须含有特殊字符等。
10、ID/密码验证方式中,同一个账号在不同的机器上不能同时登录
11、ID/密码验证方式中,连续数次输入错误密码后该账户是否被锁定
12、新增或修改重要信息(密码、身份证号码、信用卡号等)时是否有自动完成功能(在form标签中使用autocomplete=off来关闭自动完成功能)
