测试登录页面的好方法是什么?
-
23-10-2019 - |
题
在采访中,我经常被问到这个问题。他们绘制用户名和密码文本字段,并问我可以提出哪些测试用例,以确保此页面正常工作。出于某种原因,我对此的回答似乎从未满足于他们。那么,除了下面提到的内容外,我们还能确保该页面运行良好?
我的答案通常包括:
- 检查登录是否可与正确的凭据一起使用
- 检查它是否与错误的凭证无效
- 检查文本字段限制 - 浏览器是否接受超过允许的数据库限制
- 检查密码文本是否隐藏
解决方案
我不会在这里给您具体的建议:您已经有一些。相反,我将提出一种可以用于此类问题的一般策略。 (下一次访谈可能不是登录对话。这可能是注册表格。)
我在访谈中不使用这个特定的问题,但是当我问这种类型的问题时,我通常在寻找什么,因为人们将能够提出各种测试想法,并且他们不关注特定类型的测试 也 很多。进行一些滚动并在主题上抛出很多变化是可以的,如果稍后再切换到另一个主题并执行同样的话 - 但是,如果您似乎只能提出一种测试想法在测试中,您可能会很快用完,我可能会担心您对测试仪有点狭窄。
当您这样做时,能够在广泛区域中产生很多测试想法和范围,这是我的一个好测试仪的关键指标:我想与既有创造力又分析的人一起工作 - 即,你们俩都可以来提出很多想法,也向我解释了它们的基本模型:安全性,可用性等。
退后一步,屏住呼吸,当您用完想法时,请他们再问几个有关上下文的问题 - 登录对话是什么样的系统?它在哪个平台上运行?它是用于公开可用的Web应用程序吗?还是仅在公司内部到达此页面?这可能会触发更多的测试想法 - 例如,您可能会开始考虑可以重试的登录名来进行多少次 - 如果用户帐户重试了太多次,是否应该锁定?如果是,错误消息是否应该给他们有关如何重置密码的指示?
我建议您尝试查找一些测试启发式方法,并在不同情况下使用它们:例如测试登录对话框,测试注册表格,购物车等。
这是一个很好的开始 - 尝试坐下来,只是在上面所有示例中记录的快速列表。然后与朋友重做,并比较列表:http://www.satisfice.com/articles/sfdpo.shtml
要进一步阅读,我建议使用此资源页面: http://www.developsense.com/resources.html
这种练习将在您承受压力时会有所帮助:您可以退后一步,问自己:一种测试吗?”。
其他提示
功能测试
1)检查页面是否已加载2)检查输入的密码是否被掩盖了3)如果记住登录,请检查关闭浏览器并重新处理是否不需要登录页4)如果不记忆记忆记录登录,请检查Cookie是否有助于记住会话是否会记住会话在期间5)检查用户ID和密码是否已进行身份验证6)如果有两个步骤身份验证检查是否有效7)如果禁用JavaScript,请检查是否符合'sign on'on'on'提交触发器8)检查登录页面是否为“签名”后重新加载9)检查输入不正确的输入IE无效的用户ID或PWD 10)检查是否显示错误消息或PWD 10)检查是否在未输入密码或用户ID时显示错误密码11)检查是否在登录后,检查是否在新的选项卡中打开网站时,它不会返回登录页面。 13)签名尝试限制
可用性测试
1)用户ID和密码选项卡的可用性2)检查用户ID和密码表单字段是否足够长3)如果有验证码,请检查字符是否可见并且可读4)如果有“记住我”选项,请检查是否是否tick框5)检查是否可用“登录”按钮,可单击6)检查是否可用“签名”按钮,然后单击7)检查显示的消息是否可见,即无效的用户ID和密码'没有截断
兼容性:
1)检查一切是否在不同的浏览器中工作
一体化:
1)如果清洁了cookie或历史记录,则应重新加载登录页面2)如果登录后关闭浏览器,请检查是否在打开时不重新加载登录器3)检查是否登录页面以浏览器隐身模式工作。 4)在会话期间检查浏览器是否在cookie中存储密码。
表现:
1)与多个用户帐户同时登录应用程序并捕获身份验证的延迟
外貌:
1)在请求页面时检查图像和favicon是否已加载2)检查更改浏览器大小时是否重新尺寸
检查基础查询是否安全。您不希望黑客使用注射掉桌子。
http://sqlzoo.net/hack/ 。此页面描述了可以以登录形式使用SQL注入的一种方法。
- 检查无效的字符并正确逃脱。如果您尝试登录为
Mugen'; drop database; --
(不要在生产服务器上测试)。
如果对于网站:
- 检查密码是发送或加密的
- 而不是(也)纯文本。
- 检查它是否在没有JavaScript的情况下工作