|
WEB测试Checklist
"No.
序号" "Checklist
检查项" 审计标准说明 "Priority
优先级" "Status
执行情况" "Remarks
说明"
基本功能
1 输入框对输入参数的检查 输入框是否对错误的数据进行了过滤?
输入框是否不允许输入非法字符?(常见的非法字符有:< > & # | ! “ ‘ \ % space)
空格是否被自动过滤
文本输入框输入0开头的数字,处理是否正确?
2 输出信息的展示 输出的字符中,包含<a href="www.baidu.com">bai du</a>这样的形式,能界面展示
如果展示的是xml,xml中包含转义字符>等,能正确转义和界面展示。
3 表格操作 表格分页后功能正常,点击上一页下一页,能正确展示。
对表格的某条记录进行的操作,不会影响表格的正常展示。
4 批量操作 批量操作的返回结果是否以成功多少、失败多少、跳过多少的形式返回?
批量操作是否有最大值限制?一次操作最大允许的数据是否可以正常处理?响应速度是否可以接受?多人进行批量操作是否会造成锁表?
5 查询 根据不同的查询条件,查询的数据是否正确?
查询结果为空、小于一批的最大返回数、大于一批的最大返回数,结果显示是否正确?
查询是否允许模糊查询?
查询中不小心输入的空格或复制进来的空格,是否会被过滤?
查询是是否有角色权限控制?是否有数据范围权限控制?
是否对查询返回的数据量有限制?如果没有,查询结果超大时(比如10万),响应速度、处理是否合理?如果有限制,边界值处理是否正确?
6 导入功能(含批量) 导入文档是否有文档格式校验,是否有对模板字段名校验,是否对必填字段的值进行校验?基于导出的文档再次导入是否有重复性校验?导入是否有对数据文件的大小校验?导入数据的处理上限是多少?性能要求是怎样?
7 金额千分位 财务类数据中,超过1000的金额会展示位1,000,注意这只是展示方式,不能存入数据库中,在计算的时候使用具体的值,但在界面展示时要做转换处理。
8 数据精度 金额类精度与币种精度保持一致,单价精度与ERP扩展精度保持一致
9 金额四舍五入与汇总 数据四舍五入后汇总金额数据与原始总金额是否会出现不一致的情况
10 查询导出 导出的数据是否与查询条件一致?是否有角色和数据范围限制?导出数据的上限范围是多少?性能要求是怎样?
11 上载文档 对文档的格式是否有校验?对上载的文档个数是否有校验?对上载文档的总大小是否有限制?
12 按钮功能 界面上的按钮是否实现了相应的功能?原则上所有的按钮都要考虑并发操作的性能
13 并发性 多个不同用户对同一条数据进行操作(增删改查),系统处理是否正确?
同一个用户在不同的机器上登陆,对自己的数据进行操作(增删改查),系统处理是否正确?
2 在同一台机器上打开多个浏览器,用不同的用户(不同级别、不同名字等)进行操作,是否不存在Session混乱的情况?
14 互操作 在同一台机器上打开多个浏览器或一个浏览器上针对同一条数据打开多个页面,分先后进行操作,是否会存在一条数据被重复操作的情况?程序是否未有效控制数据状态?例如:已提交的数据是否可被重复提交?已提交在途的数据是否仍可被编辑?已被另一角色审批的数据,是否仍可撤回?
15 帮助文件 界面的帮助文件链接是否可以链接到正确的页面?
3 帮助文件中的链接是否正确?
16 链接测试(可借助工具) 链接是否存在?
是否链接到正确页面?
是否存在孤立页面?
17 异常测试 当网络中断恢复、或者网络很慢时,处理是否正确?
用户的应用正在进行中,关闭浏览器或退出程序,处理是否正确?
18 关联性 涉及到多个模块或功能的操作,在操作成功或失败后,是否在所有涉及到的模块和功能之间保持一致?
19 场景测试 根据用户的使用习惯,设置的一些场景测试,功能是否正确?
cookies测试
1 Cookies Cookies是否起作用
是否按预定的时间进行保存
刷新对Cookies有什么影响
如果在 cookies 中保存了注册信息,请确认该 cookie能够正常工作而且已对这些信息已经加密
数据库测试
1 数据一致性错误 新增记录:界面显示和数据库是否一致
修改记录:界面显示和数据库是否一致
删除记录:界面显示和数据库是否一致
安全性
1 鉴权机制 WEB应用系统是否采用先注册,后登陆的方式
是否安装SSL协议
输入无效的用户名,无法登陆
输入无效密码,无法登陆
输入无效密码多次后,记入黑名单
直接通过URL浏览某个网页,无法成功
各日志中密码信息不能是明文
检查HTTP消息,密码信息不能是明文
修改自己的密码时,必须输入原始的密码,并且新密码不能与用户名相同,不能重复使用最近使用过的12个密码
登录时是否必须输入验证码
密码是否可以输入特殊字符、空格等。
2 业务数据安全性 系统是否考虑了数据安全性?(A用户不能操作没有受权的B用户的数据)
3 超时机制 用户登陆后在一定时间内(例如20分钟)没有进行任何操作,需要重新登陆才能正常使用。
用户因为超时被登出系统后,不能通过直接输入URL或者通过前进后退按钮进入系统
4 日志 为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。(平台的文件日志)
界面上所有涉及到数据库修改的操作是否记录了日志
5 安全套接口控制 当使用了安全套接字时,还要测试加密是否正确,检查信息的完整性。
6 限制在服务端的修改 是否对文件上传的权限进行限制
文件上传功能是否导致对系统目录进行破坏,例如覆盖服务器JSP代码,自动执行非法程序等。
7 限制用户破坏性输入测试 涉及数据库操作的输入编辑框,输入数据库操作的语句是否不会对数据库产生影响?通过在输入框中输入SQL语句,是否不可以直接操作数据库?例如:update user_info set address=‘xxx’; delete from table --’ where id=$id
8 脚本语言 输入脚本语言的转义字符是否不会出现系统异常?
9 HTTP信任问题 检查是否可以通过cookies信息来攻击系统,cookies是否加密
检查是否可以通过 隐藏字段 (input type=hidden)来攻击系统
代理服务器
23 HTTP信任问题 检查是否可以通过 session 信息来攻击系统
性能
1 性能指标 "WEB应用软件的性能指标在特定的用户模型下,是否符合要求?
除了基础配置外,所有的操作按钮(含查询、提交、审批、批量操作)、服务调用、数据集成都要考虑性能测试,根据具体场景设置并发值、数据值"
2 稳定性测试 在一定压力下进行长时间测试,系统是否存在内存泄漏、CoreDump,进程是否不存在僵死、停掉等异常情况?
3 压力测试 在特定的压力下,甚至超过系统本身允许的压力下测试,系统是否不存在CoreDump、进程僵死、停掉、系统无法处理等异常情况?
兼容性
1 分辨率兼容性 界面在不同的分辨率(600x800、 1024x768等)下显示是否正常?在不同的分辨率下是否不存在显示不完全、比例失调等异常情况?
2 网速兼容性 WEB界面在不同的网速下的处理速度是否合理?
3 浏览器兼容性 是否需要支持多种浏览器(IE6,IE8,FireFox)?在需要支持的浏览器上使用是否正常?是否支持不同版本的浏览器
4 平台兼容性 是否需要在Windows、Unix、Macintosh、Linux上使用?运行是否正确?
5 打印机兼容性 WEB界面是否可以通过不同的打印机打印?打印的质量是否可以接受?
6 不同平台、浏览器和分辨率的组合兼容性 WEB界面在不同的平台、浏览器和分辨率的组合下,使用是否正确?
|
|