横向测试范围:
测试条件
- Web业务运行正常
- Web业务存在身份级别控制
- 已知某页面(假设为http://www.example.com/abc.jsp).提交的参数中存在着代表用户(假设为userA)身份的标志(假设为operator)
- 与userA同级别权限的用户userB
测试用机安装了WebScarab软件
执行步骤:
- 运行WebScarab
- 点击Proxy标签页->Manual Edit标签页
- 选中Intercept requests
- 打开浏览器,在代理地址中配置host为127.0.0.1,port为8008
- 使用userA的身份登陆到Web应用
- 进入http://www.example.com/abc.jsp页面,提交数据
- 在弹出的对话框中的URLEncoded页面中,更改operator参数的值为userB,再点击Accept Changes按钮提交
- 观察服务器处理
纵向测试:
测试条件:
- Web业务运行正常
- Web业务存在身份级别控制
- 拥有超级管理员及普通用户的帐号和密码
执行步骤:
- 以超级管理员身份登陆Web网站
- 单击鼠标右键,选择“查看源文件”
- 在网页“源文件”中查找重要的管理菜单(比如用户管理)的URL链接,并拷贝URL链接地址
- 退出登陆
- 以普通用户身份登陆Web网站
- 在浏览器地址栏中输入“用户管理”的URL地址(如http://www.example.com/usermanage.do),然后回车
- 观察普通用户是否能够顺利进入“用户管理”页面,并进行用户管理操作。