一、測試范圍

管理系統(tǒng)：url、登錄框、搜索框、輸入框、文件上傳、文件下載
客戶端：搜索框、輸入框、文件上傳、系統(tǒng)功能

二、測試點

• 密碼安全

• XSS注入

• SQL注入

• 操作越權(quán)

• 上傳安全

• 下載安全

?三、工具

• fiddler

• sqlmap

同時，在這我為大家準備了一份軟件測試視頻教程（含面試、接口、自動化、性能測試等），就在下方，需要的可以直接去觀看，也可以直接【點擊文末小卡片免費領(lǐng)取資料文檔】

軟件測試視頻教程觀看處：

四、測試過程

1、密碼安全

（1）密碼輸入錯誤次數(shù)超限會鎖定賬號
（2）除了賬號密碼，需要圖形驗證碼或短信驗證碼
（3）用戶名不存在和密碼錯誤需提示用戶名或密碼錯誤
（4）密碼傳輸非明文傳輸，且加密類型不能太簡單（如僅通過md5加密），日志系統(tǒng)中也不能將明文密碼打印出來
（5）密碼加密存儲
（6）用系統(tǒng)默認賬號admin/123456、admin/admin、root/123456等是否可以登錄系統(tǒng)
（7）用fiddler攔截請求，將響應(yīng)報文改成登錄成功的報文無法登錄系統(tǒng)

2、XSS注入

（1）在輸入框中輸入XSS注入腳本，如

<script>alert("test")</script>
<img?src=""?onerror="console.log("test");">
<img?src=?onerror=alert("x")>

保存成功后看頁面是否有執(zhí)行

（2）若前端有攔截?zé)o法輸入，攔截請求，在請求報文中添加相應(yīng)腳本，是否能保存成功

3、SQL注入

（1）在url的參數(shù)后面改成xxx='1'or'1'='1'，能否跳轉(zhuǎn)相應(yīng)頁面
（2）通過sqlmap對url中存在的SQL注入進行測試（需python環(huán)境）
（3）在搜索框中輸入'1'or'1'='1'或者‘ and '%'='，是否能查詢出所有結(jié)果

4、操作越權(quán)

在進行查看賬單、查看xx記錄等處，通過攔截請求，修改查詢參數(shù)為非該用戶的數(shù)據(jù)，是否可查出、操作相關(guān)數(shù)據(jù)

5、文件上傳

（1）是否能上傳.jsp、.exe、.bat格式的文件
（2）文件上傳的目錄是否可執(zhí)行
（3）上傳時是否暴露文件的絕對路徑

6、文件下載

（1）文件下載是否可以通過修改路徑下載其它文件
（2）需權(quán)限下載的文件是否可以繞過鑒權(quán)直接訪問鏈接進行文件下載

五、彩蛋

測試搜索框時發(fā)現(xiàn)輸入包含'('的條件會報錯，輸入'()'時會返回所有數(shù)據(jù)，是搜索條件處理不當導(dǎo)致，需登記到典型問題，之后有搜索框的測試中補充相應(yīng)測試用例進行覆蓋。

最后感謝每一個認真閱讀我文章的人，禮尚往來總是要有的，雖然不是什么很值錢的東西，如果你用得到的話可以直接拿走：

這些資料，對于做【軟件測試】的朋友來說應(yīng)該是最全面最完整的備戰(zhàn)倉庫，這個倉庫也陪伴我走過了最艱難的路程，希望也能幫助到你！凡事要趁早，特別是技術(shù)行業(yè)，一定要提升技術(shù)功底。