常见的web测试功能点测试思路

常见的功能点的测试思路：

　　. 新增 或 创建（Add or Create）

　　） 操作后的页面指向

　　）操作后所有绑定此数据源的控件数据更新，常见的排列顺序为栈Stack类型，后进先出

　　） 取消操作是否成功

　　.编辑 或 更新 (Edit or Update)

　　） 操作后的页面指向

　　） 操作后所有绑定此数据源的控件数据更新

　　） 取消操作是否成功

　　）编辑界面是否读取出正确、全部的数据源

　　） 记录在工作流中的编辑功能可用性

　　）操作成功的生效时刻及生效范围

　　.删除 或 移除 (Delete or Remove)

　　） 操作后的页面指向

　　） 操作后所有绑定此数据源的控件数据更新 (如下就是删除后，Tab数据没有立即刷新的bug)

      ） 取消操作是否成功

　　） 记录在工作流中的编辑功能可用性

　　） 操作成功的生效时刻及生效范围（比如：购物网站，店家商品下架后，并没有同时删除买家的购买记录）

　　.选中 或 全选 (Check or Check all)

　　） 多页面中，全选对所有页面是否有效

　　） 支持多页面的个别选中，且返回查看时保留选中状态

　　） 界面上的按钮的操作范围是否均受选中功能控制

　　） 前一页选中状态，在翻页后，应保留原来状态

　　） 先全选-》移除某个单选-》全选按钮是否移除选中状态    

常见的web安全问题有：

　　SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。

　　对于手动安全测试来说，一般常用的有三点：

　　、URL有参数的，手动修改参数，看是否得到其他用户的信息和相关页面；

　　、在登录输入框的地方输入‘ or =--或 “ or =--等看是否有SQL注入；

　　、在注重SQL注入的同时，一般在有输入框的地方输入

　　对于自动化安全测试来说：

　　测试组目前使用的安全测试工具为IBM的AppScan（当然，是破解版,34上已经放过该工具的安装包）

　　、在使用之前务必确认自己绑定的Host；

　　、配置URL、开发环境、错误显示类型；

　　、结果保存后可根据提示的问题类型和解决建议进行分析。

　　Web安全测试通常要考虑的测试点：

　　、输入的数据没有进行有效的控制和验证

　　、用户名和密码

　　、直接输入需要权限的网页地址可以访问

　　、认证和会话数据作为GET的一部分来发送

　　、隐藏域与CGI参数

　　、上传文件没有限制

　　、把数据验证寄希望于客户端的验证

　　、跨站脚本（XSS）

　　、注入式漏洞（SQL注入）

　　、不恰当的异常处理

　　、不安全的存储

　　、不安全的配置管理

　　、传输中的密码没有加密

　　、弱密码，默认密码

　　、缓冲区溢出

　　、拒绝服务

SQL注入：

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．（

（select * form 表 where id= or

 or 1是输入框输入的

这样会导致满足 id= 或  的数据都查出来

而所有的数据都满足

这样就查出来了很多不该被查出来的数据

这就是sql注入）

常见的web测试功能点测试思路的相关教程结束。