Web測試的主要內容和測試方法有哪些?(4)

　　4.6組合測試

　　最后需要進行組合測試。600x800的分辨率在MAC機上可能不錯，但是在IBM兼容機上卻很難看。在IBM機器上使用Netscape能正常顯示，但卻無法使用Lynx來瀏覽。如果是內部使用的web站點，測試可能會輕松一些。如果公司指定使用某個類型的瀏覽器，那么只需在該瀏覽器上進行測試。如果所有的人都使用T1專線，可能不需要測試下載施加。(但需要注意的是，可能會有員工從家里撥號進入系統) 有些內部應用程序，開發部門可能在系統需求中聲明不支持某些系統而只支持一些那些已設置的系統。但是，理想的情況是，系統能在所有機器上運行，這樣就不會限制將來的發展和變動。

　　采取措施：根據實際情況，采取等價劃分的方法，列出兼容性矩陣

　　B\DS XP VISTA

　　5安全測試

　　即使站點不接受信用卡支付，安全問題也是非常重要的。Web站點收集的用戶資料只能在公司內部使用。如果用戶信息被黑客泄露，客戶在進行交易時，就不會有安全感。

　　5.1目錄設置

　　Web安全的第一步就是正確設置目錄。每個目錄下應該有index.html或main.html頁面，這樣就不會顯示該目錄下的所有內容。我服務的一個公司沒有執行這條規則。我選中一幅圖片，單擊鼠標右鍵，找到該圖片所在的路徑”…com/objects/images”。然后在瀏覽器地址欄中手工輸入該路徑，發現該站點所有圖片的列表。這可能沒什么關系。我進入下一級目錄 “…com/objects” ，點擊jackpot。在該目錄下有很多資料，其中引起我注意的是已過期頁面。該公司每個月都要更改產品價格，并且保存過期頁面。我翻看了一下這些記錄，就可以估計他們的邊際利潤以及他們為了爭取一個合同還有多大的降價空間。如果某個客戶在談判之前查看了這些信息，他們在談判桌上肯定處于上風。

　　5.2 SSL

　　很多站點使用SSL進行安全傳送。你知道你進入一個SSL站點是因為瀏覽器出現了警告消息，而且在地址欄中的HTTP變成HTTPS。如果開發部門使用了SSL，測試人員需要確定是否有相應的替代頁面(適用于3.0以下版本的瀏覽器，這些瀏覽器不支持SSL。當用戶進入或離開安全站點的時候，請確認有相應的提示信息。是否有連接時間限制?超過限制時間后出現什么情況?

　　SSL的英文全稱是 “Secure Sockets Layer” ，中文名為 “ 安全套接層協議層 ” ，它是網景( Netscape )公司提出的基于WEB應用的安全協議。 SSL協議指定了一種在應用程序協議(如HTTP 、 Telenet 、 NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。

　　VPN SSL 200設備網關適合應用于中小企業規模，滿足其企業移動用戶、分支機構、供應商、合作伙伴等企業資源(如基于Web的應用、企業郵件系統、文件服務器、 C/S應用系統等)安全接入服務。企業利用自身的網絡平臺，創建一個增強安全性的企業私有網絡。 SSL VPN客戶端的應用是基于標準Web瀏覽器內置的加密套件與服務器協議出相應的加密方法，即經過授權用戶只要能上網就能夠通過瀏覽器接入服務器建立SSL安全隧道。

　　5.3登錄

　　有些站點需要用戶進行登錄，以驗證他們的身份。這樣對用戶是方便的，他們不需要每次都輸入個人資料。你需要驗證系統阻止非法的用戶名/口令登錄，而能夠通過有效登錄。用戶登錄是否有次數限制? 是否限制從某些IP地址登錄? 如果允許登錄失敗的次數為3，你在第三次登錄的時候輸入正確的用戶名和口令，能通過驗證嗎? 口令選擇有規則限制嗎? 是否可以不登陸而直接瀏覽某個頁面?

　　Web應用系統是否有超時的限制，也就是說，用戶登陸后在一定時間內(例如15分鐘)沒有點擊任何頁面，是否需要重新登陸才能正常使用。(超時的限制是安全性機制)

　　5.4日志文件

　　在后臺，要注意驗證服務器日志工作正常。日志是否記所有的事務處理? 是否記錄失敗的注冊企圖? 是否記錄被盜信用卡的使用? 是否在每次事務完成的時候都進行保存? 記錄IP地址嗎? 記錄用戶名嗎?

　　5.5腳本語言

　　腳本語言是常見的安全隱患。每種語言的細節有所不同。有些腳本允許訪問根目錄。其他只允許訪問郵件服務器，但是經驗豐富的黑客可以將服務器用戶名和口令發送給他們自己。找出站點使用了哪些腳本語言，并研究該語言的缺陷。還要需要測試沒有經過授權，就不能在服務器端放置和編輯腳本的問題。最好的辦法是訂閱一個討論站點使用的腳本語言安全性的新聞組。

　　6接口測試

　　在很多情況下，web站點不是孤立。Web站點可能會與外部服務器通訊，請求數據、驗證數據或提交訂單。

　　6.1服務器接口

　　第一個需要測試的接口是瀏覽器與服務器的接口。測試人員提交事務，然后查看服務器記錄，并驗證在瀏覽器上看到的正好是服務器上發生的。測試人員還可以查詢數據庫，確認事務數據已正確保存。

　　這種測試可以歸到功能測試中的表單測試和數據校驗測試中

　　6.2外部接口

　　有些web系統有外部接口。例如，網上商店可能要實時驗證信用卡數據以減少欺詐行為的發生。測試的時候，要使用web接口發送一些事務數據，分別對有效信用卡、無效信用卡和被盜信用卡進行驗證。如果商店只使用Visa卡和Mastercard卡， 可以嘗試使用Discover卡的數據。(簡單的客戶端腳本能夠在提交事務之前對代碼進行識別，例如3表示American Express，4表示Visa，5表示Mastercard，6代表Discover。)通常，測試人員需要確認軟件能夠處理外部服務器返回的所有可能的消息。

　　這種情況在遠程抄表中可能會體現到

　　6.3錯誤處理

　　最容易被測試人員忽略的地方是接口錯誤處理。通常我們試圖確認系統能夠處理所有錯誤，但卻無法預期系統所有可能的錯誤。嘗試在處理過程中中斷事務，看看會發生什么情況?訂單是否完成?嘗試中斷用戶到服務器的網絡連接。嘗試中斷web服務器到信用卡驗證服務器的連接。在這些情況下，系統能否正確處理這些錯誤?是否已對信用卡進行收費?如果用戶自己中斷事務處理，在訂單已保存而用戶沒有返回網站確認的時候，需要由客戶代表致電用戶進行訂單確認。

原文轉自：http://www.kjueaiud.com