平時工作總結:
1)空白 用戶名和密碼均為空/用戶名填寫,密碼為空/用戶名為空,密碼填寫 2)錯誤校驗 輸入錯誤的用戶名和密碼/用戶名錯誤密碼正確/用戶名正確密碼錯誤 3)大小寫區分(如:用戶名和密碼都為小寫時) 用戶名和密碼均大寫/用戶名大寫,密碼小寫/用戶名小寫,密碼大寫 4)存在空格 合法的用戶名或密碼前插入空格/合法的用戶名或密碼中間插入空格/合法的用戶名或密碼后插入空格 5)已注銷的用戶名登錄 6)已禁止/鎖住的用戶名登錄 7)長短校驗 在給定的用戶名和密碼規則下,超出或少於指定的長度登錄(測試臨界值) 8)非法字符校驗(如@#¥%等字符) 9)多次錯誤登錄,是否鎖住 用戶名或者密碼在連續輸錯3次或者5次的情況下,賬號要被鎖定 10)是否支持tab和enter鍵 輸入框是否支持tab鍵或支持Enter鍵登錄 11)多點登錄/提示信息 同一個用戶不能同一時間在不同的位置登錄 12)登錄是否記住用戶名和密碼 13)密碼明文 14)切換用戶,是否顯示前一用戶信息 15)登陸后前進后退操作 16)查看密碼轉碼是否有規律,是否每次都是一樣 17)密碼是否可以用MD5解密 18)登錄超時(經過一段時間自動退出) 19)SQL注入 20)跨站 21)COOKIE注入 22)COOKIE加密檢查 23)提交用get方法(不安全)
網上查找資料總結:
一、基本功能測試: 輸入正確的用戶名和密碼登錄成功 輸入錯誤的用戶名密碼登錄失敗 用戶名正確,密碼錯誤,是否提示輸入密碼錯誤? 用戶名錯誤,密碼正常,是否提示輸入用戶名錯誤? 用戶名和密碼都錯誤,是否有相應提示? 用戶名密碼為空時,是否有相應提示? 如果用戶未注冊,提示請先注冊,然后進行登錄 已經注銷的用戶登錄失敗,提示信息友好? 密碼框是否加密顯示? 用戶名是否支持中文、特殊字符? 用戶名是否有長度限制? 密碼是否支持中文,特殊字符? 密碼是否有長度限制? 密碼是否區分大小寫? 密碼為一些簡單常用字符串時,是否提示修改?如:123456 密碼存儲方式?是否加密? 登錄功能是否需要輸入驗證碼? 驗證碼有效時間? 驗證碼輸入錯誤,登錄失敗,提示信息是否友好? 輸入過期的驗證碼能否登錄成功? 驗證碼是否容易識別? 驗證碼換一張功能是否可用?點擊驗證碼圖片是否可以更換驗證碼? 用戶體系:比如系統分普通用戶、高級用戶,不同用戶登錄系統后可的權限不同。 如果使用第三方賬號(QQ,微博賬號)登錄,那么第三方賬號與本系統的賬號體系對應關系如何保存?首次登錄需要極權等 二、頁面測試: 登錄頁面顯示是否正常?文字和圖片能否正常顯示,相應的提示信息是否正確,按鈕的設置和排列是否正常,頁面是否簡潔壯觀等。 頁面默認焦點是否定位在用戶名的輸入框中 首次登錄時相應的輸入框是否為空?或者如果有默認文案,當點擊輸入框時默認方案是否消失? 相應的按鈕如登錄、重置等,是否可用;頁面的前進、后退、刷新按鈕是否可用? 快捷鍵Tab,Esc,Enter 等,能否控制使用 兼容性測試:不同瀏覽器,不同操作系統,不同分辨率下界面是否正常 三 、安全測試: 不登錄:瀏覽器中直接輸入登錄后的地址,看是否可以直接進入 登錄成功后生成的Cookie,是否是httponly (否則容易被腳本盜取) 用戶名和密碼是否通過加密的方式,發送給Web服務器 用戶名和密碼的驗證,應該是用服務器端驗證, 而不能單單是在客戶端用javascript驗證 用戶名和密碼的輸入框,應該屏蔽SQL注入攻擊 用戶名和密碼的的輸入框,應該禁止輸入腳本 (防止XSS攻擊) 錯誤登陸的次數限制(防止暴力破解) 考慮是否支持多用戶在同一機器上登錄; 考慮一用戶在多台機器上登錄 四、性能測試: 單用戶登錄系統的響應時間是否符合"1-3-5"原則,所謂1-3-5原則為:網站響應時間1-3-5原則,1秒是很好,3s是好,超過5秒用戶就容易跳失 用戶數在臨界點時並發登錄是否還能符合"3-5-8"原則 壓力:大量並發用戶登錄,系統的響應時間是多少?系統會出現宕機、內存泄露、cpu飽和、無法登錄嗎? 穩定性: 系統能否處理並發用戶數在臨界點以內連續登錄N個時的場景? 五、其它測試: 連續輸入3次或以上錯誤密碼,用記是否被鎖一定時間(如:15分鍾)?時間內不允許登錄,超出時間點是否可以繼續登錄。 用戶session過期后,重新登錄是否還能重新返回這前session過期的頁面? 用戶名和密碼輸入框是事支持鍵盤快捷鍵?如:撤銷、復制、粘貼等等 是否允許同名用戶同時登錄進行操作?考慮web和app同時登錄 手機登錄時,是否先判斷網絡可用? 手機登錄時,是否先判斷app存在新版本? 是否支持單點登錄? 是否有埋點接口