測試數(shù)據(jù)

　　測試數(shù)據(jù) 　　測試數(shù)據(jù)是用來測試某一項功能的數(shù)據(jù)，比如這條數(shù)據(jù)就是管理員用來測試網(wǎng)站功能的。 　　1網(wǎng)頁安全檢查點 　　輸入的數(shù)據(jù)沒有進行有效的控制和驗證測試 　　1) 數(shù)據(jù)類型（字符串，整型，實數(shù)，等） 　　2) 允許的字符集 　　3) 最小和最大的長度 　　4) 是否允許空輸入 　　5) 參數(shù)是否是必須的 　　6) 重復(fù)是否允許 　　7) 數(shù)值范圍 　　8) 特定的值（枚舉型） 　　9) 特定的模式（正則表達式）（注：建議盡量采用白名單） 　　用戶名和密碼模塊測試 　　1) 檢測接口程序連接登錄時，是否需要輸入相應(yīng)的用戶 　　2) 是否設(shè)置密碼最小長度（密碼強度） 　　3) 用戶名和密碼中是否可以有空格或回車？ 　　4) 是否允許密碼和用戶名一致 　　5) 防惡意注冊：可否用自動填表工具自動注冊用戶？ （傲游等） 　　6) 遺忘密碼處理 　　7) 有無缺省的超級用戶?（admin等，關(guān)鍵字需屏蔽） 　　8) 有無超級密碼? 　　9) 是否有校驗碼？ 　　10) 密碼錯誤次數(shù)有無限制？ 　　11) 大小寫敏感？ 　　12) 口令不允許以明碼顯示在輸出設(shè)備上 　　13) 強制修改的時間間隔限制（初始默認密碼） 　　14) 口令的唯一性限制（看需求是否需要） 　　15) 口令過期失效后，是否可以不登陸而直接瀏覽某個頁面 　　16) 哪些頁面或者文件需要登錄后才能訪問/下載 　　17) cookie中或隱藏變量中是否含有用戶名、密碼、userid等關(guān)鍵信息 　　網(wǎng)址權(quán)限測試 　　直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問避免研發(fā)只是簡單的在客戶端不顯示權(quán)限高的功能項舉例Bug： 　　1) 沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址（含跳轉(zhuǎn)頁面），能直接打開頁面； 　　2) 注銷后，點瀏覽器上的后退，可以進行操作。 　　3) 正常登錄后，直接輸入自己沒有權(quán)限查看的頁面的網(wǎng)址，可以打開頁面。 　　4) 通過Http抓包的方式獲取Http請求信息包經(jīng)改裝后重新發(fā)送 5) 從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯誤的） 　　上傳文件沒有限制測試 　　1)上傳文件還要有大小的限制。查看更多>>