浅谈session测试

Session 是用于保持状态的基于 Web 服务器的方法,在 Web 服务器上保持用户的状态信息供在任何时间从任何页访问。Session 允许通过将对象存储在 Web 服务器的内存中在整个用户会话过程中保持任何对象。当我们使用用户名和密码登陆网站,系统会首先验证当前登陆用户是否合法,当合法后将用户名等相关信息保存在Session 中。登陆后点击进入某功能页面时,系统也会去判断当前你是否有访问权限,判断的方式是验证Session 中的内容是否正确。

 

  在测试的过程中,怎样去测试Session 是否正确呢?

1、直接访问需要登陆后才能访问的页面地址(包含弹出窗口),复制出URL地址直接在粘贴在地址栏访问,如果能正常访问表示当前页面未做Session验证处理。(有部分程序是判断你访问的页面是否在框架里面,这种方式不是Session问题)

2、登陆后就不再操作页面,等达到Session过期时间后点击页面任意一个链接,如果能正常访问表示Session实效时间设置不正确。(如何设置session的有效期)

3、登陆后点击[退出]或[重新登陆]按钮,系统返回到登出界面或者登陆界面后,点击浏览器的后退按钮,正常情况是不能返回到之前操作的界面直接跳转到登陆界面。如果能返回到之前操作的界面,或者是出现其它异常信息,表示系统未做Session删除处理或者系统处理不恰当。

 

Session测试

  (1)Session是客户端与服务器端建立的会话,总是放在服务器上的,服务器会为每次会话建立一个sessionId,每个客户会跟一个sessionID对应。

  并不是关闭浏览器就结束了本次会话,通常是用户执行“退出”操作或者会话超时时才会结束。

  (2)测试关注点:

  1)Session互窜

  Session互窜即是用户A的操作被用户B执行了。

  验证Session互窜,其原理还是基于权限控制,如某笔订单只能是A进行操作,或者只能是A才能看到的页面,但是B的session窜进来却能够获得A的订单详情等。

  Session互窜方法:

  多TAB浏览器,在两个TAB页中都保留的是用户A的session记录,然后在其中一个TAB页执行退出操作,登陆用户B, 此时两个TAB页都是B的session,然后在另一个A的页面执行操作,查看是否能成功。 预期结果:有权限控制的操作,B不能执行A页面的操作,应该报错,没有权限控制的操作,B执行了A页面 操作后,数据记录是B的而不是A的。

  2)Session超时

  基于Session原理,需要验证系统session是否有超时机制,还需要验证session超时后功能是否还能继续走下去。

  测试方法:

  1、打开一个页面,等着10分钟session超时时间到了,然后对页面进行操作,查看效果。

  2、多TAB浏览器,在两个TAB页中都保留的是用户A的session记录,然后在其中一个TAB页执行退出操作,马上在另外一个页面进行要验证的操作,查看是能继续到下一步还是到登录页面。

安全测试CheckList:

http://www.51testing.com/?83470/spacelist-blog-itemtypeid-8724.html

posted on 2014-11-21 18:03  blogsheng  阅读(5014)  评论(0编辑  收藏  举报