易用性、安全测试、web系统测试方法

1.10个常见的WEB控件(对象)类型：
webbutton --按钮
webedit--文本框（输入）
webfile--文本框（上传）
weblist--下拉框
link--链接
webcheckbox--复选框
webradiogroup--单选按钮
image--图片
webtable--表单
webelement--网页元素
2.从哪几个方面考察易用性？
ISO9241软件质量之易用性模型从3个方面考察：
1）内容
1.易理解性--理解
2.易学习性--易学
3.易操作性--操作过程简单
4.可移植性--不同产品间，功能继承快捷性
2）特性
3）使用
1.有效性（基于功能）
2.效率高（基于时间维度）
3.满意度（基于整体感受）

3.尼尔森十大规则
①　系统状态可见；
②　和真实世界相符；
③　用户控制自由；（用户可回退，修改）
④　一致性和标准化；
⑤　防止错误；（屏蔽错误内容）
⑥　美学与简约设计；（1，减少滚动和活动窗口；2，减少菜单层级；3去除不必要控件


⑦　功能识别而不是回忆；（清晰，醒目）
⑧　识别诊断提示；（错误的密码提示）
⑨　帮助文档；
⑩　减少重复；（可复制，可直达底部，可取消（在ERP大量数据输入中，不用到最后才

可以取消或确认））
4.
WEB漏洞安全测试方法及整改
目录：
1.WEB常见漏洞类型
2.WEB常见漏洞成因和危害
3.WEB漏洞测试工具
4.WEB漏洞测试方法
5.WEB漏洞整改方法

1.1 SQL注入：指把SQL语句插入到提交给WEB服务器处理的各种参数中，以达到欺骗WEB后台数据库服务器执行恶意的SQL语句的目的。
Select * from  password_table where name=’lisi’ or 1=1;
1.2跨站脚本：xss
成因：系统在显示用户的输入内容时，没有对用户输入进行合法性过滤、转义或编码，导致输入的内容可以携带html代码，这些HTML代码在输出到客户端页面时，也未进行任何处理，从而可以在客户端解析或执行。
类型：根据用户输入的数据流不同，有2种类型：
URL跨站：浏览器-->客户端脚本-->服务端程序-->客户端脚本-->浏览器
持续型跨站：浏览器-->客户端脚本-->服务端程序-->数据库-->服务端程序-->客户端脚本-->回到浏览器
XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript)， 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.  比如获取用户的Cookie（ctrl+shift+delete），导航到恶意网站，携带木马等。
　　作为测试人员，需要了解XSS的原理，攻击场景，如何修复。 才能有效的防止XSS的发生。
　　XSS 是如何发生的呢
　　假如有下面一个textbox
　　<input type="text" name=address1" value="value1from">
　　value1from是来自用户的输入，如果用户不是输入value1from，而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成
　　<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">
　　嵌入的JavaScript代码将会被执行
或者用户输入的是  "onfocus="alert(document.cookie)      那么就会变成
　　<input type="text" name="address1" value="">
　　事件被触发的时候嵌入的JavaScript代码将会被执行
　　攻击的威力，取决于用户输入了什么样的脚本
　　当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器.
　HTML Encode
　　XSS之所以会发生， 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号"， “单引号”，“引号” 之类的特殊字符进行编码。

5.
用户权限控制
用户输入内容在客户端页面的3个走向：
A.HTML标签之间
B.HTML标签属性
C.客户端脚本

常见的web代码安全扫描工具：fortify;webinspect