真题三(17分):阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
说明:某企业想开发一套B2C系统,其主要的目的是在线销售商品和服务,使顾客可以在线浏览和购买商品服务。系统的用户IT技能和访问系统的方式差异较大,因此系统的易用性、安全性、兼容性等当面测试至关重要。
系统要求:
(1)所有链接都要正确;
(2)支持不同移动设备、操作系统和浏览器;
(3)系统需要通过SSL进行访问,没有登录的用户不能访问应用内部的内容。
问题1(5分):简要叙述链接测试的目的以及测试的主要内容。
问题2(4分):简要叙述为了达到系统要求(2),要测试哪些方面的兼容性。
问题3(4分):本系统强调安全性,简要叙述Web应用安全性测试应考虑哪些方面。
问题4(4分):针对系统要求(3),设计测试用例以测试Web应用的安全性。
解答分析:
本题考考查Web应用测试相关的内容。Web应用测试除了类似传统软件系统测试性能测试、压力测试等之外,还需要测试链接、浏览器和安全性等多个方面。
问题1答案:
链接测试的母的是确保Web应用功能能够成功实现。链接测试主要测试如下3个方面:
(1)链接是否能够链接到该链接到的页面;
(2)被链接的页面存在;
(3)测试是否存在孤立页面。即只有通过特定URL才能访问到的页面。
问题2答案:
浏览器兼容性测试、操作系统兼容性测试、移动终端浏览器测试、打印测试等。
问题3答案:
Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。
问题4答案:
1、SQL注入测试用例:输入正确的用户名,在密码输入框中输入:在密码栏输入‘ or ‘1‘=‘1,点击登录。
2、跨站脚本攻击测试用例:执行新增操作时候,要在所有输入框中输入<script>alert(“hello”);</script>,然后执行新增或者保存。
3、测试SSL:某链接的URL的https://换成http://。
4、内容访问:https://domain/foo/bar/content.doc(注域名和路径为应用的域名和路径)。
5、内容URL拷贝:将登录的某URL拷贝出来,关闭浏览器并重启后将URL粘贴在地址访问栏内访问内部内容。