身份信息维护方式测试
编号 | Web _01 |
测试用例名称 | 身份信息维护方式测试 |
测试目的 | 发现目标系统是否采用参数来进行身份判断。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 用户登陆后,身份信息不再由客户端提交,而是以服务器端会话信息中保存的身份信息为准。 |
备注 | |
测试结果 |
Cookie存储方式测试
编号 | Web _02 |
测试用例名称 | Cookie存储方式测试 |
测试目的 | 某些Web应用将SesssionId放到了URL中进行传输,攻击者能够诱使被攻击者访问特定的资源,例如图片。在被攻击者查看资源时获取该SessionID(在HTTP协议中Referer标题头中携带了来源地址),从而导致身份盗用。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | URL中没有携带Session ID信息(可能是sid,JSESSIONID等形式)。 |
备注 | |
测试结果 |
用户注销登陆的方式测试
编号 | Web_ 03 |
测试用例名称 | 用户注销登陆的方式测试 |
测试目的 | 查看是否提供注销登陆功能 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 登陆后的页面中有明确的“退出”或“注销”按钮。 |
备注 | |
测试结果 |
注销时会话信息是否清除测试
编号 | Web_04 |
测试用例名称 | 注销时(logout),会话信息是否清除 |
测试目的 | 由于网站程序在编写上考虑不周,用户注销后会话信息没有清除,导致用户在点击注销按钮之后还能继续访问注销之前(也就是登陆之后)才能访问的页面。我们需要经过测试来判断是否存在此类问题。 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 在WebScarab的Response的“Raw”Tab页中显示“HTTP/1.1 302 Moved Temporarily”,不能够访问只有登陆才能访问的页面,不能完成只有登陆后才能完成的操作。 |
备注 | 如果存在多个注销功能的页面,要重复测试过程把所有有注销功能的页面测试完。 |
测试结果 |
会话超时时间测试
编号 | Web_05 |
测试用例名称 | 会话超时时间测试 |
测试目的 | 查看是否存在浏览器窗口闲置超时后需重新登录的机制 |
用例级别 | 一级 |
测试条件 |
|
执行步骤 |
备注:也可以登陆后台Web服务器,查看对应的szboadna-config.xml文件中的cook.expire.time参数值,该值表示会话的超时时间。 |
预期结果 | 会话超时时间不大于10分钟,刷新浏览器之后需要重新登录。 |
备注 | |
测试结果 |
会话定置测试
编号 | Web _06 |
测试用例名称 | 会话定置测试 |
测试目的 | 查看登录成功后会话标识是否变更。如果未变更,那么攻击者就可以通过一些手段(如构造URL)为受害着确定一个会话标识,当受害者登录成功后,攻击者也可以利用这个会话标识冒充受害者访问系统。 |
用例级别 | 三级 |
测试条件 |
|
执行步骤 |
|
预期结果 | 步骤4和步骤7(登录前后)查看到的会话标识的值不一样 |
备注 | 虽然会话定置的危害比较大,但由于要事先为受害者确定会话标识,并且让受害者根据此会话标识登录系统,其发生的概率很小,所以综合风险不高,测试时根据被测系统安全要求的高低,来确定是否执行该用例。 |
测试结果 |