SAAS到底是什么?
SAAS到底是什么玩意儿?如果要你编写SAAS的测试用例,或者提供编写测试用例的指导思想,我们应该怎么做?取其共性,不同行业分别对待?过两天,我把我的想法发上来,大家一起讨论下 SAAS (Software as a service) 可以看做在线的应用程序,如Gmail、Google Doc、Google Map等。SAAS是web 2.0的延伸,适用于web 2.0的测试策略也适用于SAAS。
1. 测试至少分两层:服务端和客户端。
2. 客户端可能是Javascript+HTML、Flex、Silverlight等。攻击面在浏览器和服务器响应。
3. 服务端的实现技术很多,攻击面在客户端提交的请求(包括被篡改或伪造的请求)。
4. 连接客户端和服务端的协议一般是HTTP和HTTPs。来自服务端和客户端的响应都可能被篡改,可能包含攻击。
以上所说的攻击是导致软件不能正常工作的输入,包括功能缺陷、安全性缺陷、性能缺陷等。
SAAS的一些特色在于与用户数据绑定。
1. 用户的数据应该相互独立。那么恶意用户能否查看他无权查看的他人数据、甚至修改数据?
2. 内部用户能否绕过检查做权限提升,以至于获得本不属于他的权限?
3. 服务的容错性如何?如果有一台服务器不能响应,有多少用户会受影响?对于GMail这样的服务,恐怕是某个数据中心失去响应,也应该能继续服务。
4. 用户数据的备份策略如何?一块硬盘永久性的损坏,有多少影响?
单纯的谈SAAS好像没有尽头啊……我觉得可以假设自己是GMail的测试者,很多SAAS特有的问题就会自然浮现了。 刚接触SAAS,感觉有很多不懂的地方,求科普 求科普~~~~~
页:
[1]
