Lista de verificación para probar un sitio nuevo

Question

¿Cuáles son las cosas más comunes para probar en un sitio nuevo?

¿Por ejemplo, para evitar exploits por parte de bots, usuarios malintencionados, cargas masivas, etc.?

Y lo que es igualmente importante, ¿qué herramientas y enfoques debería utilizar?

(Algunas herramientas de prueba de estrés son realmente caras/tenían que usarse, ¿escribes las tuyas propias?etc)

Exploits comunes que se deben comprobar.

Editar:el motivo de esta pregunta se debe en parte a que estoy en SO beta, sin embargo, absténgase de discutir SO beta, SO beta me hizo pensar en mi propio sitio y algo bueno también.Esta pretende ser una lista de verificación de cosas en las que yo, usted o alguien más no hemos pensado antes.

Answer 1

Intente romper su propio sitio antes de que alguien más lo haga.Su sitio web es básicamente una API de acceso público que permite el acceso a una base de datos y otros sistemas backend.Pruebe las URL como si fueran cualquier otra API.Me gusta comenzar catalogando todas las URL que tienen algún tipo de efecto permanente en el estado del sistema; esto es fácil si estás desarrollando Ruby on Rails o intentas seguir un patrón de diseño RESTful.Para cada una de esas URL, intente ejecutar métodos HTTP GET, POST, PUT o DELETE con diferentes parámetros para asegurarse de que solo está dando acceso a lo que desea dar acceso.

Esto, por supuesto, es además obvio:Pruebas funcionales, pruebas de carga, inyección SQL, XSS, etc.

Answer 2

Desactive JavaScript y asegúrese de que aún se pueda navegar por su sitio.

Incluso si desea ignorar al pequeño pero significativo número de personas que lo tienen deshabilitado, esto también afectará a los motores de búsqueda.

Answer 3

Y lento puede brindarle un análisis rápido de diferentes métricas.

Answer 4

• ¿Qué ven los robots amigables (por ejemplo:Google);comprobar usando Herramientas para webmasters de Google;

Answer 5

Con respecto a las herramientas para ejecutar pruebas funcionales de páginas web, descubrí que IDE de selenio ser útil.

El complemento de Firefox (la versión 2 solo es compatible por el momento) le permite capturar casi todos los eventos web, guardarlos y reproducirlos en el mismo navegador.

Junto con otro Firefox https://addons.mozilla.org/en-us/firefox/addon/1843 "> Firebug, puede crear algunas pruebas muy poderosas.

Si quieres configurar Control remoto de selenioLuego puede convertir las pruebas de Selenium IDE en npruebas unitarias, que puedes ejecutar automáticamente.

yo suelo control de crucero y ejecute estas pruebas web como parte de una compilación diaria.

Lo bueno de usar el control remoto de Selenium es que puede ejecutar las mismas pruebas funcionales en múltiples navegadores y sistemas operativos, algo que no se puede hacer con el IDE.

Aunque las pruebas web tardarán mucho en ejecutarse, existe una versión de Selenium llamada Rejilla de selenio que le permite utilizar cualquier hardware antiguo que tenga disponible para ejecutar las pruebas en paralelo como parte de una red informática.No lo he probado yo mismo, pero suena interesante.

Todo lo anterior es de código abierto y gratuito, lo que me ayudó a convencer a la gerencia de utilizar if :-)

Answer 6

Para comprobar el aspecto multinavegador y multiplataforma de su sitio, browershots.org Es quizás la mejor herramienta gratuita que puede ahorrar mucho tiempo y dinero.

Answer 7

Hay etapas separadas para este.

En primer lugar están las pruebas técnicas, donde se comprueba toda la funcionalidad técnica:

• inyecciones SQL
• Secuencias de comandos entre sitios (XSS)
• tiempos de carga
• niveles de estres

Luego está la fase en la que alguien completamente analfabeto en informática se sienta y le pide que encuentre algo.No sólo le muestra dónde hay fallas en su lógica de navegación (encuentro que los desarrolladores ven las cosas de manera muy diferente a "otras personas") sino que también tienen la garantía de encontrar alguna manera de dañar su sitio.