自动化测试培训.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12306用户数据在互联网疯传,内容包括用户帐号、 明文密码、身份证号码、手机号码和电子邮箱等码
安全测试
测试经理以及领导对安全测试要足够重视 安全测试也要有测试计划 安全测试是一个体系,需要从需求/设计/开发规范/编
码到测试一起努力。 从测试的角度,必须有部分手工安全性验证的case,有
必要在发布之前建立安全checklist 代码扫描只是安全测试的一部分工作 开发团队要有专人解决安全性问题
Automation Test Training
刘万红 2015-08-15
课程安排
时间安排 2015/08/22 9:30am—12:00am 2015/08/22 13:00pm—18:00pm 2015/08/23 9:30am—12:00am 2015/08/23 13:00pm—18:00pm
测试方法:在输入框中输入下列字符,可直接输入脚本来看 HTML标签:<…>…</…> 转义字符:&(&);<(<);>(>); (空格) ; 脚本语言:<script>alert(document.cookie);</script> 特殊字符:‘ ’ <>/ 最小和最大的长度 是否允许空输入 对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解
敏感页面要采用https访问 不要选择记住密码
XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意脚本代码,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被 执行,从而达到恶意攻击用户的特殊目的。最常见就是钓鱼网站(在有漏洞的正规 网站上嵌入登陆框套取账户和密码)
安全测试case分层
从测试工程师角度去设计Testcase: 应用程序安全测试 (密码/权限划分/超时/代码扫描) 操作系统安全测试(帐号/文件服务/日志) 数据库安全测试(账户/口令/IP限制/定期备份/演练
方案) 服务器安全测试(日志/补丁/身份验证/超时设置/跳
板机) 网络环境安全测试(防火墙/网段/异地备份)
析出来,要控制脚本注入的语法要素。比如:javascript离不开:“<”、“>”、“(”、 “)”、“;”. 在输入或输出时对其进行字符过滤或转义处理
SQL Injection
SQL注入是描述一个利用写入特殊SQL程序码攻击应用程序的动作,用户可以提交一段数据库查询代码,根据 程序返回的结果,获得某些他想得知的数据.只要是带有参数的动态网页且此网页访问了数据库,那么就有 可能存在SQL注入
安全性测试
常见安全问题类型 CSRF(Cross-site request forgery),跨站请求伪造 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击 SQL Injection( SQL 注入) 传输中与存储时的密码没有加密 ,不安全的通信 目录遍历 缓冲区溢出
CSRF
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当 前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相 比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的 信任
目标二
能够在原有框架基础上进行二次开发(框架升级维护和 使用)
具备安全性测试思想 了解常见安全性问题类型原理 会使用APPScan进行ห้องสมุดไป่ตู้码扫描并提交分析报告 测试管理流程 Q/A
大纲一
自动化测试行业现状 自动化测试投入产出分析 什么时候开展自动化测试 自动化测试最新的发展技术 自动化测试工具比较 自动化测试环境搭建 Selenium框架介绍 Xpath基础介绍
课程内容 测试流程 Security Testing 自动化测试理论 Selenium webdriver 自动化测试框架搭建 自动化测试框架使用
目标一
本次培训目标: 了解Selenium基本框架结构 具备自动化测试思想 会搭建自动化测试环境 了解selenium常用API 了解自动化测试开展过程中的注意事项
解决方案:
1、转义敏感字符及字符串,SQL的敏感字符包括: ”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”. 2、屏蔽出错信息:阻止攻击者知道攻击的结果 3、在服务端正式处理之前提交数据的合法 性(数据类型,数据长度,敏感字符的校验)
大纲二
小工具介绍Firebug/xpather/iedeveloper Selenium常用API 现有框架详细解析 自动化测试开展过程中的注意事项 实战-搭建本公司自动化测试框架 安全性测试介绍 APPScan使用介绍 测试管理流程
测试流程
发布流程: FAT---UAT---点火 堡垒测试(smoking)---Baking(灰度)---Rolling(Prod)
质量报告
Security Test Training
2014重大安全事故
2014年2月比特币交易站受攻击破产 2014年4月中国快递1400万信息泄露 2014年5月22日,eBay要求近1.28亿活跃用户全部重
新设置 2014年9月,大约有500万谷歌的账户和密码的数据库
被泄露密 2014年12月25日,乌云漏洞报告平台报告称,大量
例:一个验证用户登陆的页面, 如果使用的sql语句为: Select * from table A
where username=’’ + username+’’ and pass word …..
则在Sql语句后面 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击
SELECT count(*) FROM users WHERE username='a' or 'a'='a' AND password='a' or 'a'='a'
安全测试
测试经理以及领导对安全测试要足够重视 安全测试也要有测试计划 安全测试是一个体系,需要从需求/设计/开发规范/编
码到测试一起努力。 从测试的角度,必须有部分手工安全性验证的case,有
必要在发布之前建立安全checklist 代码扫描只是安全测试的一部分工作 开发团队要有专人解决安全性问题
Automation Test Training
刘万红 2015-08-15
课程安排
时间安排 2015/08/22 9:30am—12:00am 2015/08/22 13:00pm—18:00pm 2015/08/23 9:30am—12:00am 2015/08/23 13:00pm—18:00pm
测试方法:在输入框中输入下列字符,可直接输入脚本来看 HTML标签:<…>…</…> 转义字符:&(&);<(<);>(>); (空格) ; 脚本语言:<script>alert(document.cookie);</script> 特殊字符:‘ ’ <>/ 最小和最大的长度 是否允许空输入 对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解
敏感页面要采用https访问 不要选择记住密码
XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意脚本代码,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被 执行,从而达到恶意攻击用户的特殊目的。最常见就是钓鱼网站(在有漏洞的正规 网站上嵌入登陆框套取账户和密码)
安全测试case分层
从测试工程师角度去设计Testcase: 应用程序安全测试 (密码/权限划分/超时/代码扫描) 操作系统安全测试(帐号/文件服务/日志) 数据库安全测试(账户/口令/IP限制/定期备份/演练
方案) 服务器安全测试(日志/补丁/身份验证/超时设置/跳
板机) 网络环境安全测试(防火墙/网段/异地备份)
析出来,要控制脚本注入的语法要素。比如:javascript离不开:“<”、“>”、“(”、 “)”、“;”. 在输入或输出时对其进行字符过滤或转义处理
SQL Injection
SQL注入是描述一个利用写入特殊SQL程序码攻击应用程序的动作,用户可以提交一段数据库查询代码,根据 程序返回的结果,获得某些他想得知的数据.只要是带有参数的动态网页且此网页访问了数据库,那么就有 可能存在SQL注入
安全性测试
常见安全问题类型 CSRF(Cross-site request forgery),跨站请求伪造 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击 SQL Injection( SQL 注入) 传输中与存储时的密码没有加密 ,不安全的通信 目录遍历 缓冲区溢出
CSRF
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当 前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相 比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的 信任
目标二
能够在原有框架基础上进行二次开发(框架升级维护和 使用)
具备安全性测试思想 了解常见安全性问题类型原理 会使用APPScan进行ห้องสมุดไป่ตู้码扫描并提交分析报告 测试管理流程 Q/A
大纲一
自动化测试行业现状 自动化测试投入产出分析 什么时候开展自动化测试 自动化测试最新的发展技术 自动化测试工具比较 自动化测试环境搭建 Selenium框架介绍 Xpath基础介绍
课程内容 测试流程 Security Testing 自动化测试理论 Selenium webdriver 自动化测试框架搭建 自动化测试框架使用
目标一
本次培训目标: 了解Selenium基本框架结构 具备自动化测试思想 会搭建自动化测试环境 了解selenium常用API 了解自动化测试开展过程中的注意事项
解决方案:
1、转义敏感字符及字符串,SQL的敏感字符包括: ”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”. 2、屏蔽出错信息:阻止攻击者知道攻击的结果 3、在服务端正式处理之前提交数据的合法 性(数据类型,数据长度,敏感字符的校验)
大纲二
小工具介绍Firebug/xpather/iedeveloper Selenium常用API 现有框架详细解析 自动化测试开展过程中的注意事项 实战-搭建本公司自动化测试框架 安全性测试介绍 APPScan使用介绍 测试管理流程
测试流程
发布流程: FAT---UAT---点火 堡垒测试(smoking)---Baking(灰度)---Rolling(Prod)
质量报告
Security Test Training
2014重大安全事故
2014年2月比特币交易站受攻击破产 2014年4月中国快递1400万信息泄露 2014年5月22日,eBay要求近1.28亿活跃用户全部重
新设置 2014年9月,大约有500万谷歌的账户和密码的数据库
被泄露密 2014年12月25日,乌云漏洞报告平台报告称,大量
例:一个验证用户登陆的页面, 如果使用的sql语句为: Select * from table A
where username=’’ + username+’’ and pass word …..
则在Sql语句后面 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击
SELECT count(*) FROM users WHERE username='a' or 'a'='a' AND password='a' or 'a'='a'