一、測(cè)試范圍

管理系統(tǒng)：url、登錄框、搜索框、輸入框、文件上傳、文件下載
客戶端：搜索框、輸入框、文件上傳、系統(tǒng)功能

二、測(cè)試點(diǎn)

• 密碼安全

• XSS注入

• SQL注入

• 操作越權(quán)

• 上傳安全

• 下載安全

?三、工具

• fiddler

• sqlmap

同時(shí)，在這我為大家準(zhǔn)備了一份軟件測(cè)試視頻教程（含面試、接口、自動(dòng)化、性能測(cè)試等），就在下方，需要的可以直接去觀看，也可以直接【點(diǎn)擊文末小卡片免費(fèi)領(lǐng)取資料文檔】

軟件測(cè)試視頻教程觀看處：

四、測(cè)試過(guò)程

1、密碼安全

（1）密碼輸入錯(cuò)誤次數(shù)超限會(huì)鎖定賬號(hào)
（2）除了賬號(hào)密碼，需要圖形驗(yàn)證碼或短信驗(yàn)證碼
（3）用戶名不存在和密碼錯(cuò)誤需提示用戶名或密碼錯(cuò)誤
（4）密碼傳輸非明文傳輸，且加密類型不能太簡(jiǎn)單（如僅通過(guò)md5加密），日志系統(tǒng)中也不能將明文密碼打印出來(lái)
（5）密碼加密存儲(chǔ)
（6）用系統(tǒng)默認(rèn)賬號(hào)admin/123456、admin/admin、root/123456等是否可以登錄系統(tǒng)
（7）用fiddler攔截請(qǐng)求，將響應(yīng)報(bào)文改成登錄成功的報(bào)文無(wú)法登錄系統(tǒng)

2、XSS注入

（1）在輸入框中輸入XSS注入腳本，如

<script>alert("test")</script>
<img?src=""?onerror="console.log("test");">
<img?src=?onerror=alert("x")>

保存成功后看頁(yè)面是否有執(zhí)行

（2）若前端有攔截?zé)o法輸入，攔截請(qǐng)求，在請(qǐng)求報(bào)文中添加相應(yīng)腳本，是否能保存成功

3、SQL注入

（1）在url的參數(shù)后面改成xxx='1'or'1'='1'，能否跳轉(zhuǎn)相應(yīng)頁(yè)面
（2）通過(guò)sqlmap對(duì)url中存在的SQL注入進(jìn)行測(cè)試（需python環(huán)境）
（3）在搜索框中輸入'1'or'1'='1'或者‘ and '%'='，是否能查詢出所有結(jié)果

4、操作越權(quán)

在進(jìn)行查看賬單、查看xx記錄等處，通過(guò)攔截請(qǐng)求，修改查詢參數(shù)為非該用戶的數(shù)據(jù)，是否可查出、操作相關(guān)數(shù)據(jù)

5、文件上傳

（1）是否能上傳.jsp、.exe、.bat格式的文件
（2）文件上傳的目錄是否可執(zhí)行
（3）上傳時(shí)是否暴露文件的絕對(duì)路徑

6、文件下載

（1）文件下載是否可以通過(guò)修改路徑下載其它文件
（2）需權(quán)限下載的文件是否可以繞過(guò)鑒權(quán)直接訪問(wèn)鏈接進(jìn)行文件下載

五、彩蛋

測(cè)試搜索框時(shí)發(fā)現(xiàn)輸入包含'('的條件會(huì)報(bào)錯(cuò)，輸入'()'時(shí)會(huì)返回所有數(shù)據(jù)，是搜索條件處理不當(dāng)導(dǎo)致，需登記到典型問(wèn)題，之后有搜索框的測(cè)試中補(bǔ)充相應(yīng)測(cè)試用例進(jìn)行覆蓋。

最后感謝每一個(gè)認(rèn)真閱讀我文章的人，禮尚往來(lái)總是要有的，雖然不是什么很值錢的東西，如果你用得到的話可以直接拿走：

這些資料，對(duì)于做【軟件測(cè)試】的朋友來(lái)說(shuō)應(yīng)該是最全面最完整的備戰(zhàn)倉(cāng)庫(kù)，這個(gè)倉(cāng)庫(kù)也陪伴我走過(guò)了最艱難的路程，希望也能幫助到你！凡事要趁早，特別是技術(shù)行業(yè)，一定要提升技術(shù)功底。