2021-09-14

web测试
Web功能测试包括哪些测试？（链接测试、表单测试、Cookies测试、设计语言测试、数据库测试）
链接测试的测试点？测试目的？
链接测试的目的是确保Web应用功能能够成功实现，测试点：
1、链接是否能正确跳转到目标页面；
2、链接的页面是否存在；
3、测试是否存在孤立页面。即只有通过特定URL才能访问到的地址
表单测试的测试点？
1、每个字段的验证；
2、字段的缺省值；
3、表单中的输入；
4、提交操作的完整性。
图形测试的测试点？
（1）颜色饱和度和对比度是否合适；
（2）需要突出的链接的颜色是否容易识别；
（3）是否正确加载所有的图像
对页面设计的测试可以从以下几个方面进行？
（1）页面的一致性如何；
（2）在每个页面上是否设计友好的用户界面和直观的导航系统；
（3）是否考虑多种浏览器的需要；
（4）是否建立了页面文件的命名体系；
（5）是否充分考虑了合适的页面布局技术，如层叠样式表、表格和帧结构等。
Web兼容性测试包括哪些？（平台（操作系统）兼容性、浏览器兼容、移动终端浏览测试、打印测试等）
Web应用安全性测试方面应该考虑哪些？
Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理，审核和日志记录等多个方面进行
SQL注入？
例如：判断 "SELECT * FROM Users WHERE User_Name = ’ " + strUserName + " ’ AND Password = ’ " + strPassword + " ‘; "
①如果输入strUserName：‘Zhang’–，strPassword：San 则SQL变为：
SELECT * FROM Users WHERE User_Name=‘Zhang’-- AND Password=‘San’;
“–”是SQL中注释符号，其后的内容为注释
②strUserName：Zhang’or’a’=‘a，strPassword：San’or’a’=‘a 则SQL变为：
SELECT * FROM Users WHERE User_Name=’ Zhang’ or ‘a’=‘a’ AND Password=‘San’ or ‘a’=‘a’;
因为’a’=‘a’条件总是成了，因此，SQL执行结果包括用户表中所有行。
③strUserName：Zhang’;DROP table users_details;’-- 则SQL变为：
SELECT * FROM Users WHERE User_Name=‘Zhang’; DROP table users_details; ‘–’ AND Password=‘San’;
这就造成数据库中users_details表被永久删除。
防止SQL注入的方法主要？拼接SQL之前对特殊符号进行转义，使其不作为SQL语句的功能符号。

XSS攻击？
跨站点脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
1：< IMG SRC=“javascript:alert(‘XSS攻击’);” >;
2：< IMG SRC="javascrip\r\nt:alert(‘XSS攻击’);“ >(说明：在javascript中的每个字符间加入回车换行符)
3：
防御XSS攻击方法？
1.验证所有输入数据，有效检测攻击；
2.对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。
防御规则？
1.不要在允许位置插入不可信数据；
2.在向HTML元素内容插入不可信数据前对HTML解码；
3.在向HTML常见属性插入不可信数据前进行属性解码；
4.在向HTML JavaScript DATA Values插入不可信数据前，进行JavaScript解码；
5.在向HTML样式属性插入不可信数据前，进行CSS解码；
6.在向HTML URL属性插入不可信数据前，进行URL解码。