列举其他类型测试
1.运用范围
一般校验输入框输入非法字符,密码安全,页面渗透性测试,尽可能获得软件最高权限,接口进行不间断的请求响应导致撞库等安全测试
2.测试方法
(1)密码框是否有在一次输入确认密码校验
(2)密码框输入次数是否有限制
解决方法:基于时间锁定和解锁、自服务解锁(发送一个解锁链接到用户注册的邮箱地址)
(3)账号密码任意输入错误是否提示信息一致
(4)计算机常用语言限制
解决方法:禁止输入如JS,HTML、JAVA、C等语言,需要对用户的输入进行校验,可以通过正则表达式,或限制长度;对以下关键字进行转换等;
(5)密码是否以明文传参,确保在Cookies中没有存储明文凭证,或使用的编码或加密方式容易被攻击者恢复出明文数据。
(6)敏感信息是否加密,404、400、500等页面
是否捕获异常统一指向错误页面并且有提示如:不好意思客户端出错了请检查网络或者拒绝访问
日志信息是否加密
(7)URL校验
是否敏感参数存在URL,账号、密码
(8)撞库,发送大量请求
绑定用户IP地址
(9)暴力破解
限制登录错误次数
(1)一般校验常用的主流游览器是否功能可用,UI界面是否正常,页面排班是否错误等
(2)针对Firefox、GoogleChrome、IE分别打开网站进行校验布局。字体等
(1)一般以用户的角度提出改进,优化页面常用功能,进行友好性提示优化模块
(2)针对页面设计,布局和功能进行更加完善提出建议
(1)一般用于检验前后端数据是否数据一致,修改数据是否及时更新,大并发请求数据检验数据库是否数据错乱
(2)一般查看数据库是否有做限制如类型,必填项等等,或者查看数据库跟前端数据是否存储正常(增删改查)
(3)当表不存在能否自动创建,当数据库表被删除能否在自建,数据是否还能自动从服务端获取
(4)在业务需要从服务端取回数据保存到客户端的时候,客户端还能否将数据保存到本地
(5)当业务需要从客户端取数据时,检查客户端数据存在时,App数据能否自动从客户端数据取出,还是仍然会从服务端获取
(6)检查客户端数据不存在时,App数据能否自动从服务端保存到客户端
(7)当业务对数据进行修改、删除后,客户端和服务能否会有相应的更新
(1)一般查看UI界面排版,图片,样式,文字
(2)保障页面不出现乱码,空链接等错误