Web应用测试

测试总结报告 第1页

1 Web安全测试技术方案

1.1 测试的目标

? 更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件 ? 更好的为今后系统建设提供指导和有价值的意见及建议

1.2 测试的范围

本期测试服务范围包含如下各个系统：

? Web系统：

1.3 测试的内容

1.3.1 WEB应用

针对网站及WEB系统的安全测试，我们将进行以下方面的测试：

? Web 服务器安全漏洞 ? Web 服务器错误配置 ? SQL 注入 ? XSS（跨站脚本） ? CRLF 注入 ? 目录遍历 ? 文件包含 ? 输入验证 ? 认证 ? 逻辑错误 ? Google Hacking ? 密码保护区域猜测 ? 字典攻击

? 特定的错误页面检测 ? 脆弱权限的目录

? 危险的 HTTP 方法（如：PUT、DELETE）

1.4 测试的流程

方案制定部分：

测试总结报告

第9章 WEB应用测试 一、WEB系统构成

WEB构成： ▲ 客户端 ▲ WEB服务器 ▲ 数据库

▲ 网络及中间件 ▲ 防火墙与CA认证

大型WEB系统，为了承受较大的访问压力，会采用负载均衡器技术，使用多个WEB应用服务器，分担来自客户端的访问压力。

运行Web 浏览器的计算机与网页所在的计算机首先要建立TCP连接，采用HTTP协议传输网页文件。HTTP是Hyper Text Transportation Protocol（超文本传输协议）的缩写，是计算机之间交换数据的方式。HTTP应用的相当广泛，其主要任务是用来浏览网页，但也能用来下载。用户是按照一定的规则（协议）和提供文件的服务器取得联系，并将相关文件传输到用户端的计算机中来。

二、WEB系统设计技术 1、静态页面及动态页面 2、网络开发技术

3、CGI（通用网关接口）程序 4、J2EE 5、。NET

6、WEBSERVICES

三、WEB系统的测试策略

1、WEB系统的测试分类

按系统架构分：客户端、服务器、网络上的测试

按职能分：应用功能、WEB应用服务、安全系统的测试

按软件质量特性分：功能、性能、安全性、兼容性、易用性测试 按开发阶段分：设计、编码、系统测试 2、总体架

学期作业：Web应用系统自动化功能测试和性能测试一、目的

应用Web测试工具QTP和LoadRunner对基于Web的应用系统进行功能和性能测试。

二、内容

自行选定一个Web网站系统，编写测试用例，对其进行功能测试和性能测试。完成以下操作：

1．测试网站功能

对其进行功能测试。然后用QuickTest Professional自动化测试工具对该网站进行测试。（QuickTest Professional使用方法请参阅实验指导书）2．测试网站性能

对其进行性能测试。要求使用LoadRunner进行性能测试。（LoadRunner使用方法请参阅实验指导书）

三、步骤

1.功能测试：

（1）拟定测试计划；

（2）设计测试用例；

（3）录制测试脚本；

（4）根据录制的脚本和测试用例创建页面检查点、对象检查点、文本检查点或者表格检查点（至少其中两项）；根据测试脚本和测试用例，进行参数化测试；

（5）分析测试结果。

2.性能测试：

（1）计划一个压力会话；

（2）创建测试议程；

（3）创建压力模板；

（4）设计测试用例，增强性能测试脚本，实现事务、参数化、内容检查、集合点等操作；

（5）运行负载测试；

（6）编制测试报告并分析测试结果。

3.完成系统测试报告

四、报告

附件：软件测试报告模板

五、结

一些常用模块的测试用例

1、登录 2、添加 3、查询 4、删除 1、登录

①用户名和密码都符合要求（格式上的要求） ②用户名和密码都不符合要求（格式上的要求）

③用户名符合要求，密码不符合要求（格式上的要求） ④密码符合要求，用户名不符合要求（格式上的要求） ⑤用户名或密码为空

⑥数据库中不存在的用户名，不存在的密码 ⑦数据库中存在的用户名，错误的密码 ⑧数据库中不存在的用户名，存在的密码 ⑨输入的数据前存在空格 ⑩输入正确的用户名密码 以后按[enter]是否能登陆 2、添加

①要添加的数据项均合理，在界面保存成功后，检查数据库中是否添加了相应的数据：select查询

②留出一个必填数据为空

③按照边界值等价类设计测试用例的原则设计其他输入项的测试用例：数据组合测试 ④不符合要求的地方要有错误提示 ⑤是否支持table键 ⑥按enter是否能保存

⑦若提示不能保存，也要察看数据库里是否多了一条数据 3、删除

①删除一个数据库中存在的数据，然后查看数据库中是否删除（界面删除一条数据，查看数据库中是否删除）

②删除一个数据库中并不存在的数据，看是否有错误提示，并且数据库中没有数据被删除 ③输入一个格式错误的数据，看是否有错误提示，并且数据

主要简单介绍了Web测试方面需要注意的几条建议!!

在Web工程过程中，基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。基于Web的系统测试与传统的软件测试不同，它不但需要检查和验证是否按照设计的要求运行，而且还要测试系统在不同用户的浏览器端的显示是否合适。重要的是，还要从最终用户的角度进行安全性和可用性测试。然而，Internet和Web媒体的不可预见性使测试基于Web的系统变得困难。因此，我们必须为测试和评估复杂的基于Web的系统研究新的方法和技术。

本文将 web 测试分为 6 个部分：

1. 功能测试

2. 性能测试（包括负载/压力测试）

3. 用户界面测试

4. 兼容性测试

5. 安全测试

6. 接口测试

本文的目的是覆盖 web 测试的各个方面，未就某一主题进行深入说明。

1 功能测试

1.1 链接测试

链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先，测试所有链接是否按指示的那样确实链接到了该链接的页面；其次，测试所链接的页面是否存在；最后，保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

链接

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

WEB测试题

第一部分

选择填空题：全部为多选题，只有全部正确才能得分。

JDBC部分:

1. 典型的JDBC程序按( DBECFA)顺序编写。 A. 释放资源

B. 获得与数据库的物理连接 C. 执行SQL命令 D. 注册JDBC Driver

E. 创建不同类型的Statement F. 如果有结果集, 处理结果集

2. JDBC驱动程序的种类有____C___。 A. 两种 B. 三种 C. 四种 D. 五种

3. Oracle驱动程序类是oracle.jdbc.driver.OracleDriver, 通过类装载器(ClassLoader)加载的程序语句是__Class.forName (_\)___;实例化驱动程序后用DriverManager注册的程序语句是 DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver())__;在命令行指定系统属性的注册方式是 java -Djdbc.driver=oracle.jdbc.driver.OracleDriver。

4. 执行同构的SQL，用___C___; 执行异构的SQL, 用____B____;调用存

页面检查 合理布局

1、界面布局有序，简洁，符合用户使用习惯 2、界面元素是否在水平或者垂直方向对齐 3、界面元素的尺寸是否合理 4、行列间距是否保持一致

5、是否恰当地利用窗体和控件的空白，以及分割线条 6、窗口切换、移动、改变大小时，界面显示是否正常 7、刷新后界面是否正常显示

8、不同分辨率页面布局显示是否合理，整齐，分辨率一般为1024*768 >1280*1024 >800*600

弹出窗口

1、弹出的窗口应垂直居中对齐

2、对于弹出窗口界面内容较多，须提供自动全屏功能 3、弹出窗口时应禁用主界面，保证用户使用的焦点 4、活动窗体是否能够被反显加亮

页面正确性

1、界面元素是否有错别字，或者措词含糊、逻辑混乱

2、当用户选中了页面中的一个复选框，之后回退一个页面，再前进一个页面，复选框是否还处于选中状态 3、导航显示正确 4、title显示正确 5、页面显示无乱码

6、需要必填的控件，有必填提醒，如 *

7、适时禁用功能按钮（如权限控制时无权限操作时按钮灰掉或不显示；无法输入的输入框disable掉） 8、页面无js错

9、鼠标无规则点击时是否会产生无法预料的结果

10、鼠标有多个形状时

WEB测试题

第一部分

选择填空题：全部为多选题，只有全部正确才能得分。

JDBC部分:

1. 典型的JDBC程序按( DBECFA)顺序编写。 A. 释放资源

B. 获得与数据库的物理连接 C. 执行SQL命令 D. 注册JDBC Driver

E. 创建不同类型的Statement F. 如果有结果集, 处理结果集

2. JDBC驱动程序的种类有____C___。 A. 两种 B. 三种 C. 四种 D. 五种

3. Oracle驱动程序类是oracle.jdbc.driver.OracleDriver, 通过类装载器(ClassLoader)加载的程序语句是__Class.forName (_\)___;实例化驱动程序后用DriverManager注册的程序语句是 DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver())__;在命令行指定系统属性的注册方式是 java -Djdbc.driver=oracle.jdbc.driver.OracleDriver。

4. 执行同构的SQL，用___C___; 执行异构的SQL, 用____B____;调用存