关于cookies安全测试的一些感想

发表于:2009-04-22来源:作者:点击数: 标签:cookies感想
前段时间一直在做公司接的Sony外包测试项目。当时拿到 测试用例 的时候觉得这只是个没有技术含量的重复性活,对此也是觉得小Case,上百个不同歌手的bolg,然后测试一个简单的注册功能。 但是随着测试的深入,发现其实远远我想象的那么简单。测试步骤是: 1、
 前段时间一直在做公司接的Sony外包测试项目。当时拿到测试用例的时候觉得这只是个没有技术含量的重复性活,对此也是觉得小Case,上百个不同歌手的bolg,然后测试一个简单的注册功能。

  但是随着测试的深入,发现其实远远我想象的那么简单。测试步骤是:

  1、清除浏览器中的cookies,然后关闭网站

  2、粘贴sony提供的cookies链接于浏览器中,然后set cookies再粘贴网站链接注册,输入信息后,同时选择小于13岁的brithday,那么这时候网站会注册失败

  3、粘贴sony提供的cookies的链接,查看该cookies链接页面是否保留了cookies,再remove cookies

  4、再次关闭浏览器,再粘贴网站注册,输入大于13岁的brithday,那么是会成功,这时候调整客户端的时间在29天后,再注册小于13岁的brithday,那么是会失败的。再退后调整2天,那么也是会失败的。

  5、在不同的浏览器和操作系统中根据测试步骤测试这些网站

  其实整个测试的过程只是为了测试输入13岁brithday成功后,是否会在本机客户端的浏览器中保留有效的cookies,而造成小于13岁 brithday的人注册成功,并且调整客户端的时候就是为了验证cookies的有效性,所有测试都是为了避免13岁brithday的人注册成功而做的一个安全性测试

  虽然是个小小的测试,但是在不明白测试目的的时候,总是会很轻易的按照自己的常规思维来决定测试结果。开始觉得调整客户端时间很白痴,应该是调整服务端才是正确的。开始觉得输入大于13岁和小于13岁是为了测试边界值,这种测试用例设计的很常规。开始觉得每个网站在不同的浏览器和操作系统里测试是为了找出 UI差异,他们需要的仅仅是劳力而已。当实际上我都错了。

  简单的外包测试,其实蕴含着很深的东西,只有明白测试真正的需求,你才能真正的把测试执行好。

原文转自:http://www.ltesting.net