冲刺no.3
项目:ccsu小助手
角色:用户
访问链接:http://47.93.57.6:8888/login/
目的(Purpose)
首先,站在用户需求的角度对于本次系统进行相应地使用和评估,比如这个登录界面应该是弹出窗口式的,还是直接在网页里面。
对用户名的长度,和密码的强度(就是是不是必须多少位,大小写,特殊字符混搭)等。还有比如用户对界面的美观是不是有特殊的
要求?(即是否要进行UI测试)。剩下的就是设计用例了 ,等价类,边界值等等。
总之一点,任何项目,都需要从用户的需求开始。
功能测试(Function test)
0. 什么都不输入,点击提交按钮,看提示信息。
1.输入正确的用户名和密码,点击提交按钮,验证是否能正确登录。
2.输入错误的用户名或者密码, 验证登录会失败,并且提示相应的错误信息。
3.登录成功后能否能否跳转到正确的页面
4.用户名和密码,如果太短或者太长,应该怎么处理
5.用户名和密码,中有特殊字符(比如空格),和其他非英文的情况
6.记住用户名的功能
7.登陆失败后,不能记录密码的功能
8.用户名和密码前后有空格的处理
9.密码是否加密显示(星号圆点等)
10.牵扯到验证码的,还要考虑文字是否扭曲过度导致辨认难度大,考虑颜色(色盲使用者),刷新或换一个按钮是否好用
11.登录页面中的注册、忘记密码,登出用另一帐号登陆等链接是否正确
12.输入密码的时候,大写键盘开启的时候要有提示信息。
功能描述(Function description)
用户根据系统账号和口令登陆ccsu小助手,进行相应的长沙学院首页跳转,执行对应权限的操作功能(目前只有论坛访问功能)。
总结(Summary)
通过使用这个网页,进行我的需求比对,发现了些许的不足。登陆系统基本功能具备,但是安全性能不够高以及账号、密码的存储
方式仍需进一步完善。具体可以进行安全性测试的完善:
1.登录成功后生成的Cookie,是否是httponly (否则容易被脚本盗取)
2.用户名和密码是否通过加密的方式,发送给Web服务器
3.用户名和密码的验证,应该是用服务器端验证, 而不能单单是在客户端用javascript验证
4.用户名和密码的输入框,应该屏蔽SQL 注入攻击
5.用户名和密码的的输入框,应该禁止输入脚本 (防止XSS攻击)
6.错误登陆的次数限制(防止暴力破解)
7. 考虑是否支持多用户在同一机器上登录;
8. 考虑一用户在多台机器上登录