Возник вопрос с написанием негативных тестов. Приложение - вэб сайт, тотализатор. Мы пишем сейчас одну страницу, которая будет содержать summary по виду спорта и актуальных событиях внутри данного вида спорта.
Все, что может делать пользователь на нашей странице - это логиниться в систему и кликать на линки. Следуя по линкам пользователь , уходит на другие страницы, где делает ставки - дальнейшая забота is out of scope.
По понятным причинам заказчик хочет видеть как можно больше негативных тестов. Не удивительно, что подобные сайты пытаются ломать все кому не лень.
Пока я придумал только следующие сценарии:
- Пытаться на клиенте править джаваскрипт, который выполняется на onclick (в общем постбечный) и каким-то образом влезть в базу.
- Пытаться внедрить SQL injection в каждый HTTP GET запрос, ведущий со страницы
- Пытаться копировать URL залогиненного пользователя в другой браузер, в надежде перехватить сессию (хотя эта проверка сомнительна, так как на странице используется Ajax)
- Эмулировать отсутствие всех сервисов по очереди и смотреть какие сообщения выдаются клиенту