上周五小组内对Web的常见测试点进行了交流学习,虽然这些信息网上一搜都一大把,但整理的过程中自己脑袋瓜里又重新回顾了一遍,大家都很认真的在学习,互相补充着,现总结如下,欢迎同行留言 一.新增.修改 用例设计 正常情况:等价类和边界值,因果图.正交法.场景图: 异常情况:每个异常情况一个用例 1.输入限制:格式.长度.数据类型 (注意要添加和修改规则是否一致,有时在添加的时候有,在编辑的时候却没有) 2.保存 成功:检查数据表新增 / 修改数据,在数据库中保存的字段是否与页面字段一一对应,注意保存…

由于web端应用于用户直接相关,又通常需要承受长时间的大量操作,因此web项目的功能和性能都必须经过可靠的验证.web端测试常见的有界面测试.功能测试.性能测试.可用性(接口)测试.兼容性测试.安全性测试.链接测试. 界面测试 界面的风格.样式.颜色是否协调 界面窗口的最大化.最小化是否能正确切换 界面布局是否整齐,协调 界面操作是否符合人们的常规习惯,提示界面是否符合人们的常规习惯 界面是否有Tab键的支持,顺序要有调理不乱跳 操作有风险的界面时,是否有确认删除等提示 界面的特殊效果显示是否正…

web安全是我们测试组一直以来作为和性能测试并驾齐驱的两个重点.开发的过程中还需要着重注意,该转义的地方转义:该屏蔽的地方屏蔽,该过滤的地方过滤等等.年底又到了,势必又有大批的发号抽奖之类的活动开发.上线,在这个过程中,安全问题是我们每个人应该紧绷的神经,对于我们测试人员来说,每个活动需要做到手动安全测试加自动化安全测试相结合. 常见的web安全问题有: SQL注入.跨站点脚本攻击.跨站点伪造请求.目录遍历.邮件表头注入.页面错误信息等. 对于手动安全测试来说,一般常用的有三点: 1.URL有参…

Web页面的表格测试点: 1.表格列名 2.表格翻页.表格跳转到多少页.最后一页.首页 3.表格每页显示的数据, 数据的排序 4.表格无数据 5.表格支持的最大数据量 6.表格中数据内容超长时,显示是否正常 7.导出 :正常情况.无数据.最大的数据规格 8.浏览器的兼容性 9.国际化测试(多语言) 上面是一些常规性的测试, 表格最重要的测试是报表数据准确性测试, 需要明确每一列数据是来自哪里?统计数据的规则?哪些数据统计?哪些数据不统计?如果数据变化后怎么统计? 如果增删改查功能: 1.增加:…

SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞. 可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作, 甚至有可能获取数据库乃至系统用户最高权限. 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码, 程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变, 额外的执行了攻击者精心构造的恶意代码. SQL注入实例 很多Web开发者…

1.java.lang.IllegalStateException: Web app root system property already set to different value 错误原因:webAppRootKey是在java web项目的web.xml配置文件中表示项目的唯一标示,在Eclipse调试Web项目时,项目的路径是一个临时路径,不在真正的路径下,可以通过log4j日志的方式打印出属性值,来看看临时项目路径在哪里,可以用System.getProperty("web.sa…

DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. 为了进一步认识DoS攻击,下面举个简单的栗子来进行说明:  图1 TCP三次握手:数据段互换 Client发送连接请求报文,Server接受连接后回复ACK报文,并为这次连接分配资源.Client接收到ACK报文后也向Server发送ACK报文,并分配资源,这样TCP连接就建立…

前言 前面一篇文章讲解了app测试一些功能点.那么相应的也梳理一下web测试相关的功能的测试点吧,此篇文章只是给你们一个思路,如果要涉及web端每个测试点,基本不可能实现的,所以只是提供一个设计的思路,希望能够开阔你们的视野,使你们走的更远.来,直接上干货吧! 一.输入框 1.字符型输入框: (1)字符型输入框:中文,英文全角.英文半角.数字.空或者空格或者回车.特殊字符(~!@#￥%……&*?[]{}”(特别要注意单引号和&符号)).禁止直接输入特殊字符时,使用”复制+粘贴”功能尝试输入…

1.Sql注入 攻击者把sql命令插入到web表单的输入域或页面请求的查询字符串, 欺骗服务器执行恶意的sql命令 防御措施 前端: 1.正则验证字符串格式 2.过滤字符串的非法字符 后端: 1.不要直接拼接sql,要使用参数化查询 2.使用存储过程代替sql查询 2.XSS(Cross site Scripting,跨站脚本攻击) XSS本质是一种注入攻击,用户的输入或者URL的参数,总之就是客户端的输入,被接收后,又显示在了html中. 常见的有反射型(非持久性),存储型(持久性)等. (1…

一. Web攻击动机: 1.恶作剧: 2.关闭Web站点,拒绝正常服务: 3.篡改Web网页,损害企业名誉; 4.免费浏览收费内容; 5.盗窃用户隐私信息,例如手机号.Email等个人信息; 6.以用户身份登执行非法操作,从而获得暴利; 7.以此为跳板攻击企业内网其他系统; 8.网页挂木马,攻击访问网页的特定用户群; 9.仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等; 二. Web攻击常见的方式: 1.SQL注入 攻击者成功的向服务器提交恶意的SQL查询代码,…

DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. 为了进一步认识DoS攻击,下面举个简单的栗子来进行说明: 图1 TCP三次握手:数据段互换 Client发送连接请求报文,Server接受连接后回复ACK报文,并为这次连接分配资源.Client接收到ACK报文后也向Server发送ACK报文,并分配资源,这样TCP连接就建立了…

对于一个Web应用来说,可能会面临很多不同的攻击.下面的内容将介绍一些常见的攻击方法,以及面对这些攻击的防御手段. 一.跨站脚本攻击(XSS) 跨站脚本攻击的英文全称是Cross Site Script,为了和样式表区分,缩写为XSS.发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行. 跨站脚本攻击可以分为两种: 1). 反射型XSS 它是通过诱使用户打开一个恶意链接,服务端将链接中参数的恶意代码渲染到页面中,再传递给用户由浏览器执行,从而达到攻击的目的.如下…

在写web程序的时候,经常会出现一些网页错误的数字提示,如果能够明白这些提示的含义,那对于调试程序是有极大帮助的.网上有很多这方面的总结,但为了适应自己的阅读习惯,以及日后的查找方便,就做了一些修改并总结如下. HTTP 错误 400  400 请求出错  由于语法格式有误,服务器无法理解此请求.不作修改,客户程序就无法重复此请求.  HTTP 错误 401  401.1 未授权:登录失败  此错误表明传输给服务器的证书与登录服务器所需的证书不匹配.  请与 Web 服务器的管理员联系,以确认您…

常见的约定规范 (一)HTML约定规范 1,html属性顺序:id class name data-xxx (src for type href)(title alt)(aria-xxx role) 2,a 不允许嵌套 div 和 a 3,a 里不不可以嵌套交互式元素:a button select等 4,p里不可以嵌套块级元素 div p h1~h6 ul ol li dl dt dd form等 5,语义化:blockquote 大段引用: cite 一般引用: code 代码标识: abb…

轮播图的展示效果是显而易见: HTML代码如下 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title></title> </head> <body> <div id="container"> <div id="list" style="left: -600px…

本文参考整理于:https://imququ.com/post/four-ways-to-post-data-in-http.html 简介 这里介绍了,用 POST 方法提交数据时,常见的三种方式: application/x-www-form-urlencoded multipart/form-data application/json application/x-www-form-urlencoded(默认) <form> 默认是以 application/x-www-form-urle…

一.SQL注入修复建议 1.过滤危险字符,例如:采用正则表达式匹配union.sleep.and.select.load_file等关键字,如果匹配到则终止运行. 2.使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中,而是使用占位符实现对数据库的增删改查. 二.XSS修复建议 1.过滤输入的数据,例如:“ ‘ ”,“ “ ”,” < “,” > “,” on* “等危险字符. 2.对输出到页面的数据进行相应的编码转换,如HTML实体编码.JS编码等. 三.CSRF修复建议 1…

一.Web容器初始化过程 先初始化listener,然后是filter,然后是servlet. 二.Spring MVC项目中IOC容器关系 Web容器启动时通知ContextLoaderListener初始化根IOC容器,默认为WebApplicationContext实例,存放除Web层外Bean对象,然后DispatcherServlet初始化WebMVC上下文,建立自己的IOC容器,作为根IOC容器的子容器. 三.DispatherServlet的工作过程 流程 1.用户发送请求至前端控…

输入框 1.字符型输入框: 单行文本输入框:英文全角.英文半角.数字.空或者空格.特殊字符“~!@#￥%……&*?[]{}”,特别要注意单引号和&符号.如果禁止直接输入特殊字符时,使用“粘贴.拷贝”功能尝试输入. 长度检查:最小长度.最大长度.最小长度-1.最大长度+1.输入超过字符比如把整个文章拷贝过去. 空格检查:输入的字符间有空格.字符前有空格.字符后有空格.字符前后有空格 多行文本框输入:允许回车换行.保存后再显示能够保存输入的格式.仅输入回车换行,检查能否正确保存(若能,检查保存…

安装与卸载: ●应用是否可以在IOS不同系统版本或android不同系统版本上安装(有的系统版本过低,应用不能适配) ●软件安装后是否可以正常运行,安装后的文件夹及文件是否可以写到指定的目录里. ●安装过程中是否可以取消 ●安装空间不足时是否有相应提示 ●如果应用需要通过网络验证之类的安装,需要测试一下断网情况下是否有相应提示 ●是否可以删除应用(可通过桌面删除,也可以通过软件卸载安装.曾发现在IOS手相上有个应用安装时未完全安装,终止安装后,未完成安装的应用图标一直显示在手机上,并且无法成功删…

只能删除pid为整数的商品,32位的pid商品不能删除? 原因onclick="agree('${s.pid}')"  括号中需要加 ' ' 删除多余的工作空间? 使用preferences general startup and shutdown 数据库的更新语句"update product set pname=? market_price=? shop_price=? pimage=? pdesc=? where pid=?"不好用? 每一项要用",…

公司在i春秋上面报的一个课程.http://www.ichunqiu.com/course/55885,视频学习. OWASP (Open Web Application Secutiry Project)攻击类型排名 www.wooyun.com 中报的漏洞,大多是注入. XSS 原理是提交的内容中有恶意代码. 通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶意网页程序通常是JavaScript…

第一次测试微信小程序,整理了一些必要的测试点和原则,以此为参考去设计详细测试用例…

一.前提: 漏洞挖掘原则 所有变量 所有头 cookie中的变量 逐个变量删除 漏洞的本质 数据与指令的混淆 对用户输入信息过滤不严判断失误,误将数据当指令 二.经典漏洞: 1.身份认证 常用弱口令/基于字典的密码爆破 锁定账号 信息收集 手机号(通常有以手机号为用户名的) 密码错误提示信息(用户名正确,输入错误密码看返回什么,再输入错误用户名和密码看返回什么,如果返回信息不同则可以针对一个正确的用户名爆破) 密码嗅探 会话sessionID(Cookies) Xss/cookie import…

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/qq_24373725/article/details/79866766输入框 1.字符型输入框: (1)字符型输入框:英文全角.英文半角.数字.空或者空格.特殊字符“~!@#￥%……&*?[]{}”特别要注意单引号和&符号.禁止直接输入特殊字符时,使用“粘贴.拷贝”功能尝试输入. (2)长度检查:最小长度.最大长度.最小长度-1.最…

检测到目标URL存在http host头攻击漏洞 描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP_HOST"].但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入. 解决办法 web应用程序应该使用SERVER_NAME而不是host header. 在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header.在Ng…

#coding=utf-8 #识别字符序列变换算法,当前支持标准的MD5.SHA-1.Base64,及主流的URL编码.HTML编码 import re import sys #MD5判断函数 def checkMD5(inStr): MD5KeyStrs = '0123456789abcdefABCDEF' inStr = inStr.strip() #判断MD5的时候把输入两端的空格切掉 if (len(inStr) != 16) and (len(inStr) != 32): return…

javax.servlet.ServletException: javax/servlet/jsp/SkipPageException 重启tomcat, javax.servlet.ServletException: Connection reset 重启tomcat org.apache.jasper.JasperException: javax/transaction/Synchronization 将jta.jar复制到tomcat的lib目录下,再重启tomcat com.micros…

方法一: 用background制作小图标 像这样,拿到设计稿后把所有的图标放在一张图片上,利用background-position.width.height来控制图标的位置及大小. 代码: .icon{display:inline-block;background:url(../images/icon.png);} .icon1{background-position:0 0;width:16px;height:16px;background-repeat:no-repeat;positio…

方法一: 用background制作小图标 像这样,拿到设计稿后把所有的图标放在一张图片上,利用background-position.width.height来控制图标的位置及大小. 代码: .icon{display:inline-block;background:url(../images/icon.png);} .icon1{background-position:0 0;width:16px;height:16px;background-repeat:no-repeat;positio…