发表于 2005-6-15 10:04
有人说可以输入一大串字符就可以拿到所有的合法登陆用户名跟密码啊.这个我做不到,但我认同这个安全性的问题.在设计测试用例这方面是否应该考虑安全这方面呢?
安全性方面是应该考虑的,
很多时候可以注入一串sql语句进行登录的,如果没有做这类限制的话.
还是就错误登录时的返回提示是否合理?不能明确反馈登录者提示“用户名不存在”、“密码错误”这样的提示,以免登录者可多次去猜测用户名或密码。 有过经历,登录到某系统的页面后,将该页面地址复制,粘贴到登录框,有的情况可以登录 我不是大侠,想试着回答一下,大家共同学习。
1输入正确的用户名,正确的密码
2输入正确的用户名,错误的密码
3输入错误的用户名,已经存在的正确的密码
4输入错误的用户名,数据库中不存在的密码
5不输入用户名,只输入密码
6不输入密码,只输入用户名
7什么都不输入,直接登录
8如果有“取消”键的话,分别在输入用户名、密码和什么都不填的情况下点“取消”
9如果用户名和密码还有其他的要求如长度等,还要做相应的测试。
页:
1
[2]
