web测试隐藏点(之二) [ 光影人像 东海陈光剑 的博客 ]
2015-01-26 20:38
246 查看
虽然说开发和测试从某种意义上讲是“对立”的关系,但是早在哲学课里我们就已经知道对立统一是结为一体的。所以我一直觉得开发和测试是一种互相补充,而开发人员和测试人员也传承了这一关系,他们只是站在不同的角度去维护一个产品。于是我比较习惯测试前和测试后都会征求开发人员的意见。比如我会在测试前寻问开发人员他们认为程序中需要着重测试的要点以及测试的注意点,而在测试执行后我又会主动的向他们讲述自己实际的测试情况并请他们判断是否还存在遗漏。实践证明这样的做法非常有意义,就拿最近一次项目组周会时的讨论来说,考虑项目已经进行了测试用例的评审,而代码也已完成了编写,在接下去的时间里就要着手执行功能测试,我向项目组的所有成员询问在执行测试阶段对于测试人员还有哪些建议和要求,其中一位开发人员非常诚恳的说,他认为一个web网站测试的重点首先应该是安全性,其次是性能,最后才是功能,而他认为安全性测试在我的测试用例中只体现了部分内容,但仍有一些潜在的安全因素没有在用例中很好的体现。坦白讲真有种一语惊醒“梦中人”的感觉,虽然我也知道安全性测试的重要,但是在测试过程中我还是将功能放在第一位,多少还是忽略了安全性的测试,而这方面的知识也相对的匮乏。会后我又找这位开发人员进行了安全性测试的讨论。总结有3点内容在平时的测试中需要注意起来。1.权限的控制。这一点我相信大多数测试人员都很熟悉,并且会在测试用例中体现出来,但是需要提醒大家的是url作为开放的输入,我们必须考虑在修改url的前提下会不会导致权限控制出现漏洞。2.输入代码的过滤。这一点相信大家也不陌生。如果程序未对该种情况过滤,那么整个页面的布局和安全都会受到破坏。3.SQL注入。这一点至少对于我来说是一个比较新的概念,它通过在url中输入sql语句来攻击设计不健全的系统及其数据库,具体涉及的内容网上有很多介绍的文章,感兴趣的同学们都可以去搜索阅读。当然除了上述三点,安全性测试涉及的内容还是有很多很多,之前云齐的文章也有提到过一点,现在想想才发现测试就好比挖地雷,我们必须小心的将所有隐藏的“地雷”挖掘出来,才能让所有人安全!
我们从来只做一件事,分享.
让美在这个世界流转
让倍感无趣的 受伤的 彷徨的 孤独的 或是心情忧郁的 人生黯淡的人们
能有一次机会
去再一次发现这个世界的美
并把美传递给他人
---光影人像(Follow WeChat public number with interest)
我们从来只做一件事,分享.
让美在这个世界流转
让倍感无趣的 受伤的 彷徨的 孤独的 或是心情忧郁的 人生黯淡的人们
能有一次机会
去再一次发现这个世界的美
并把美传递给他人
---光影人像(Follow WeChat public number with interest)
相关文章推荐
- web测试的几个隐藏点 [ 光影人像 东海陈光剑 的博客 ]
- loadrunner socket脚本的编写 [ 光影人像 东海陈光剑 的博客 ]
- 读者言论经典 [ 光影人像 东海陈光剑 的博客 ]
- 我遇到过的两类开发工程师 [ 光影人像 东海陈光剑 的博客 ]
- HTTP协议在测试中的应用(一) [ 光影人像 东海陈光剑 的博客 ]
- test [ 光影人像 东海陈光剑 的博客 ]
- 有感支付宝招聘制度之神速 [ 光影人像 东海陈光剑 的博客 ]
- 干一行爱一行&爱一行干一行 [ 光影人像 东海陈光剑 的博客 ]
- 技术支持可改进的地方 [ 光影人像 东海陈光剑 的博客 ]
- JAVA 比较两个日期相差的天数 [ 光影人像 东海陈光剑 的博客 ]
- 有关用描述性编程做脚本 [ 光影人像 东海陈光剑 的博客 ]
- 利用web_custom_request函数来替代传统http/html的性能脚本 [ 光影人像 东海陈光剑 的博客 ]
- 男厕所的小便斗 [ 光影人像 东海陈光剑 的博客 ]
- 渗水事件给我的感悟 [ 光影人像 东海陈光剑 的博客 ]
- IT技术的前景预测 [ 光影人像 东海陈光剑 的博客 ]
- ruby中几个类库文件的调用过程 [ 光影人像 东海陈光剑 的博客 ]
- lb引发的思考 [ 光影人像 东海陈光剑 的博客 ]
- 面对“现实”唯有“沟通” [ 光影人像 东海陈光剑 的博客 ]
- 吃火锅和测试的联想 [ 光影人像 东海陈光剑 的博客 ]
- 一步 [ 光影人像 东海陈光剑 的博客 ]