匯總整理一些日常工作中用到點測試點,積累經驗...PS:部分用例摘自網絡,稍作補充
一 注冊、登錄或其他頁面,手機短信驗證碼獲取
驗證碼功能的實現可以分為三個步驟:
(1)UI點擊獲取驗證碼,同步顯示驗證碼有效時間
(2)后端獲得指令后通過代理平台發送驗證短信
(3)用戶收到短信,在UI上提交驗證碼,后台做邏輯判斷
功能性驗證:
1⃣️手機號輸入格式:區號(中國為86)+號碼、號碼格式校驗(3-4-4展現形式)、長度校驗(11位)、只能輸入數字、輸入除數字以外的字符串,特殊字符的等、必輸項、不輸入或輸入錯誤的提示message、輸入已經驗證過的號碼、空格(首位空格自動過濾)
2⃣️發送button:正常點擊、點擊后成功發送、發送后button置灰並倒計時展示再次啟用時間、倒計時結束再次發送、發送次數限制(一天內同一號碼發送次數,次內、次外發送驗證)
3⃣️短信文案確認:與程序標題一致、內容參考短信模版、code(驗證碼)多次無重復、無規律及相應隨機數
4⃣️驗證碼輸入格式:輸入正確的驗證碼(正常情況驗證)、不輸入、輸入不符合格式的驗證碼(如6位輸入5或7位)、輸入特殊符號或字符串漢字等、輸入錯誤的code、輸入超時的code、A號碼輸入B號碼的code、code長度校驗、空格輸入檢測(在開頭或結尾應自動過濾、空格在中間時的情況)
安全性驗證:
1⃣️無效驗證:獲取驗證碼后隨意輸入驗證碼,輸入兩次,點擊下一步 、 進行驗證下一步、通過抓包篡改手機號
2⃣️客戶端驗證繞行:點擊發送驗證碼后通過抓包獲取驗證碼、返回客戶端的驗證碼是經過加密的,可否成功解密、正常修改密碼,獲取驗證碼,通過服務器返回數據,報存該信息(使用抓包工具攔截錯誤信息並修改為正確信息提交服務器,可否成功修改密碼)
3⃣️短信轟炸:無限制任意下發、有一定時間間隔,任意下發(每隔一定時間下發一次,任意下發)
4⃣️驗證碼與手機號未綁定:A的驗證碼,B可以使用
還有驗證碼爆破(暴力破解驗證碼)、sql注入測試(or.and1=1.等)
安全性參考:https://www.cnblogs.com/xiaozi/p/7691344.html