1 链接测试:
页面是否有无法连接的内容;图片是否能正确显示,有无冗余图片,代码是否规范,页面是否存死链接(html link validator工具查找)
图片上是否有无用的链接;点击图片上的链接是否跳转到正确的页面;
首页点击logo下的一级栏目或二级栏目名称,是否可进入相应的栏目
点击首页或列表页的文章标题的链接,是否可进入相应的文章的详细页面
点击首页栏目名称后的 更多 链接,是否可进入相应的文章的详细页面
文章列表页,左侧的栏目链接,是否可正确跳转到相应的页面
导航链接的页面是否正确;是否可按栏目级别跳转到相应的页面;
导航链接的页面是否正确;是否可按栏目级别跳转到相应的页面
新闻、信息类内容通常用新开窗口方式打开
顶部导航、底部导航通常采取在本页打开
2 安全性测试:
特别的关键字,如 or 1=1; 这样的关键字若不被处理就直接用到数据库查询中去,造成严重后果
xss跨网站脚本攻击:程序或数据库没有对一些特殊字符进行过滤或处理,导致用户所输入的一些破坏性的脚本语句能够直接写进数据库中,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性
document.write('abc');<script>alert('abc');</script>
url地址后面随便输入一些符号,并尽量是动态参数靠后
验证码更新问题
现在的web应用系统基本采用先注册,后登陆的方式,因此必须测试有效和无效的用户名和密码,要注意到是否大小写敏感,可以试多少次的限制,是否可以不登陆而直接浏览某个页面等
web应用系统是否有超时的限制,也就是说,用户登陆后在一定时间内(如15分钟)没有点击任何页面,是否需要更新登陆才能正常使用
为了保证web应用系统的安全性,日志文件是至关重要的,需要测试相关信息是否写进了日志文件、是否可追踪
当使用了安全套接字时,还要测试加密是否正确,检查信息的完整性
服务器端的脚本常常构成安全漏洞,这些漏洞又常常被黑客利用,所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题