web测试

一些常用模块的测试用例

1、登录 2、添加 3、查询 4、删除 1、登录

①用户名和密码都符合要求（格式上的要求） ②用户名和密码都不符合要求（格式上的要求）

③用户名符合要求，密码不符合要求（格式上的要求） ④密码符合要求，用户名不符合要求（格式上的要求） ⑤用户名或密码为空

⑥数据库中不存在的用户名，不存在的密码 ⑦数据库中存在的用户名，错误的密码 ⑧数据库中不存在的用户名，存在的密码 ⑨输入的数据前存在空格 ⑩输入正确的用户名密码 以后按[enter]是否能登陆 2、添加

①要添加的数据项均合理，在界面保存成功后，检查数据库中是否添加了相应的数据：select查询

②留出一个必填数据为空

③按照边界值等价类设计测试用例的原则设计其他输入项的测试用例：数据组合测试 ④不符合要求的地方要有错误提示 ⑤是否支持table键 ⑥按enter是否能保存

⑦若提示不能保存，也要察看数据库里是否多了一条数据 3、删除

①删除一个数据库中存在的数据，然后查看数据库中是否删除（界面删除一条数据，查看数据库中是否删除）

②删除一个数据库中并不存在的数据，看是否有错误提示，并且数据库中没有数据被删除 ③输入一个格式错误的数据，看是否有错误提示，并且数据

主要简单介绍了Web测试方面需要注意的几条建议!!

在Web工程过程中，基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。基于Web的系统测试与传统的软件测试不同，它不但需要检查和验证是否按照设计的要求运行，而且还要测试系统在不同用户的浏览器端的显示是否合适。重要的是，还要从最终用户的角度进行安全性和可用性测试。然而，Internet和Web媒体的不可预见性使测试基于Web的系统变得困难。因此，我们必须为测试和评估复杂的基于Web的系统研究新的方法和技术。

本文将 web 测试分为 6 个部分：

1. 功能测试

2. 性能测试（包括负载/压力测试）

3. 用户界面测试

4. 兼容性测试

5. 安全测试

6. 接口测试

本文的目的是覆盖 web 测试的各个方面，未就某一主题进行深入说明。

1 功能测试

1.1 链接测试

链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先，测试所有链接是否按指示的那样确实链接到了该链接的页面；其次，测试所链接的页面是否存在；最后，保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

链接

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

WEB测试题

第一部分

选择填空题：全部为多选题，只有全部正确才能得分。

JDBC部分:

1. 典型的JDBC程序按( DBECFA)顺序编写。 A. 释放资源

B. 获得与数据库的物理连接 C. 执行SQL命令 D. 注册JDBC Driver

E. 创建不同类型的Statement F. 如果有结果集, 处理结果集

2. JDBC驱动程序的种类有____C___。 A. 两种 B. 三种 C. 四种 D. 五种

3. Oracle驱动程序类是oracle.jdbc.driver.OracleDriver, 通过类装载器(ClassLoader)加载的程序语句是__Class.forName (_\)___;实例化驱动程序后用DriverManager注册的程序语句是 DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver())__;在命令行指定系统属性的注册方式是 java -Djdbc.driver=oracle.jdbc.driver.OracleDriver。

4. 执行同构的SQL，用___C___; 执行异构的SQL, 用____B____;调用存

页面检查 合理布局

1、界面布局有序，简洁，符合用户使用习惯 2、界面元素是否在水平或者垂直方向对齐 3、界面元素的尺寸是否合理 4、行列间距是否保持一致

5、是否恰当地利用窗体和控件的空白，以及分割线条 6、窗口切换、移动、改变大小时，界面显示是否正常 7、刷新后界面是否正常显示

8、不同分辨率页面布局显示是否合理，整齐，分辨率一般为1024*768 >1280*1024 >800*600

弹出窗口

1、弹出的窗口应垂直居中对齐

2、对于弹出窗口界面内容较多，须提供自动全屏功能 3、弹出窗口时应禁用主界面，保证用户使用的焦点 4、活动窗体是否能够被反显加亮

页面正确性

1、界面元素是否有错别字，或者措词含糊、逻辑混乱

2、当用户选中了页面中的一个复选框，之后回退一个页面，再前进一个页面，复选框是否还处于选中状态 3、导航显示正确 4、title显示正确 5、页面显示无乱码

6、需要必填的控件，有必填提醒，如 *

7、适时禁用功能按钮（如权限控制时无权限操作时按钮灰掉或不显示；无法输入的输入框disable掉） 8、页面无js错

9、鼠标无规则点击时是否会产生无法预料的结果

10、鼠标有多个形状时

WEB测试题

第一部分

选择填空题：全部为多选题，只有全部正确才能得分。

JDBC部分:

1. 典型的JDBC程序按( DBECFA)顺序编写。 A. 释放资源

B. 获得与数据库的物理连接 C. 执行SQL命令 D. 注册JDBC Driver

E. 创建不同类型的Statement F. 如果有结果集, 处理结果集

2. JDBC驱动程序的种类有____C___。 A. 两种 B. 三种 C. 四种 D. 五种

3. Oracle驱动程序类是oracle.jdbc.driver.OracleDriver, 通过类装载器(ClassLoader)加载的程序语句是__Class.forName (_\)___;实例化驱动程序后用DriverManager注册的程序语句是 DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver())__;在命令行指定系统属性的注册方式是 java -Djdbc.driver=oracle.jdbc.driver.OracleDriver。

4. 执行同构的SQL，用___C___; 执行异构的SQL, 用____B____;调用存

一些常用模块的测试用例

1、登录 2、添加 3、查询 4、删除 1、登录

①用户名和密码都符合要求（格式上的要求） ②用户名和密码都不符合要求（格式上的要求）

③用户名符合要求，密码不符合要求（格式上的要求） ④密码符合要求，用户名不符合要求（格式上的要求） ⑤用户名或密码为空

⑥数据库中不存在的用户名，不存在的密码 ⑦数据库中存在的用户名，错误的密码 ⑧数据库中不存在的用户名，存在的密码 ⑨输入的数据前存在空格 ⑩输入正确的用户名密码 以后按[enter]是否能登陆 2、添加

①要添加的数据项均合理，在界面保存成功后，检查数据库中是否添加了相应的数据：select查询

②留出一个必填数据为空

③按照边界值等价类设计测试用例的原则设计其他输入项的测试用例：数据组合测试 ④不符合要求的地方要有错误提示 ⑤是否支持table键 ⑥按enter是否能保存

⑦若提示不能保存，也要察看数据库里是否多了一条数据 3、删除

①删除一个数据库中存在的数据，然后查看数据库中是否删除（界面删除一条数据，查看数据库中是否删除）

②删除一个数据库中并不存在的数据，看是否有错误提示，并且数据库中没有数据被删除 ③输入一个格式错误的数据，看是否有错误提示，并且数据

测试总结报告 第1页

1 Web安全测试技术方案

1.1 测试的目标

? 更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件 ? 更好的为今后系统建设提供指导和有价值的意见及建议

1.2 测试的范围

本期测试服务范围包含如下各个系统：

? Web系统：

1.3 测试的内容

1.3.1 WEB应用

针对网站及WEB系统的安全测试，我们将进行以下方面的测试：

? Web 服务器安全漏洞 ? Web 服务器错误配置 ? SQL 注入 ? XSS（跨站脚本） ? CRLF 注入 ? 目录遍历 ? 文件包含 ? 输入验证 ? 认证 ? 逻辑错误 ? Google Hacking ? 密码保护区域猜测 ? 字典攻击

? 特定的错误页面检测 ? 脆弱权限的目录

? 危险的 HTTP 方法（如：PUT、DELETE）

1.4 测试的流程

方案制定部分：

测试总结报告

测试规范文档

性能测试方案模板

VERSION 1.0

xxxx年x月

文档修订记录

文档信息

目录

1.测试目的 (1)

2.测试范围 (1)

2.1. 测试背景 (1)

2.2. 需要测试的特性 (1)

2.3. 不需要测试的特性 (1)

3.准则 (1)

3.1. 启动准则 (1)

3.2. 结束准则 (1)

3.3. 暂停/再启动准则 (2)

4.模型 (2)

4.1. 业务模型 (2)

4.2. 业务指标 (2)

4.3. 测试模型 (2)

4.4. 测试指标 (2)

5.测试策略 (2)

5.1. 测试发起策略 (2)

5.2. 测试执行策略 (2)

5.3. 测试监控策略 (3)

6.测试内容 (3)

6.1. 基准测试 (3)

6.2. 单交易负载测试 (3)

6.3. 综合场景负载测试 (3)

6.4. 接口测试 (3)

6.5. 稳定性测试 (3)

7.测试实施准备 (3)

7.1. 测试环境准备 (3)

7.2. 测试工具准备 (3)

7.3. 测试挡板准备 (4)

7.4. 测试数据准备 (4)

7.5. 测试脚本准备 (4)

8.测试组织结构 (4)

9.测试环境及工具需求 (4)

9.1. 总体网络拓扑图 (4)

9.2. 测试环境机器配置表 (4)

9.3. 软件配置 (5)

10.测试输出 (