Сообщений в теме: 5

[Scorp]

Всем доброго времени суток,
Возник вопрос с написанием негативных тестов. Приложение - вэб сайт, тотализатор. Мы пишем сейчас одну страницу, которая будет содержать summary по виду спорта и актуальных событиях внутри данного вида спорта.
Все, что может делать пользователь на нашей странице - это логиниться в систему и кликать на линки. Следуя по линкам пользователь , уходит на другие страницы, где делает ставки - дальнейшая забота is out of scope.
По понятным причинам заказчик хочет видеть как можно больше негативных тестов. Не удивительно, что подобные сайты пытаются ломать все кому не лень.
Пока я придумал только следующие сценарии:

• Пытаться на клиенте править джаваскрипт, который выполняется на onclick (в общем постбечный) и каким-то образом влезть в базу.
• Пытаться внедрить SQL injection в каждый HTTP GET запрос, ведущий со страницы
• Пытаться копировать URL залогиненного пользователя в другой браузер, в надежде перехватить сессию (хотя эта проверка сомнительна, так как на странице используется Ajax)
• Эмулировать отсутствие всех сервисов по очереди и смотреть какие сообщения выдаются клиенту

И тут я иссяк ... может быть у кого-то была подобная практика или есть более развитое воображение?

[Boltick]

Вопрос:
функционал "делания" ставок тестировать надо???

Ну если говорить о хаке данной страницы, то я бы предложил
1. протестить ее с отключенным джаваскриптом.
2. дальше проиграть с линками и путями в урле
3. ...

а вообще не видя что надо тестить, трудно сказать конкретно что предпринять...


Спасибо

[Scorp]

Делание ставок не интересует.

>протестить ее с отключенным джаваскриптом.
Отлично! Добавлю :) Чтобы юзеру корректно говорило включить поддержку жаваскрипта.

>2. дальше проиграть с линками и путями в урле
Это менее интересно, т.к. почти все действия на сайте - HTTP POST. Где применимо - организую.

>а вообще не видя что надо тестить, трудно сказать конкретно что предпринять...
Согласен. Попробую накидать в пайнте прототип, хотя не вижу в нем смысла. Интересуют скорее типичные проверки для вэб приложений, аля "как сломать?", "как получить выгоду?". Подозреваю, что их найдется не так уж и много.
PS.  targetPage.JPG   41,93К   102 Количество загрузок:

[Yury]

Have you looked at a "defects taxonomy list" from a Cem Kaner's book or from his post graduate student?
The second one ("Shopping cart defects taxonomy") might be a good starting point for you.

Yury

[Boltick]

>2. дальше проиграть с линками и путями в урле
Это менее интересно, т.к. почти все действия на сайте - HTTP POST. Где применимо - организую.

Ничего страшного и POST тоже можно хакать!!! Есть плагины к FireFox есть отдельные программки.

И кстати, есть какой-то софт для тестирования секюрити. Точно не помню название, но он просто бомбит урл, который ему дали, всеми возможными средствами, включая SQL injections, JS и т.д. Как уточню название, так сразу скину...

[Scorp]

>Have you looked at a "defects taxonomy list" from a Cem Kaner's book or from his post graduate student?
>The second one ("Shopping cart defects taxonomy") might be a good starting point for you.

Hm...I can't recall the list for now. But I will process that. Thanx a lot ))

>Как уточню название, так сразу скину...

Пасиб, жду с нетерпением )
Вот только мне не совсем прозрачно следующее... У нас есть в общем то большой сайт. Мы его забраузили. Дальше идет навигация: в одном фрейме пользователь кликает - во втором меняется контент. Т.е. URL у нас остается тот же самый, но страница, которую видит пользователь и которую нужно тестировать - совершенно другая. Каким образом прога сможет добраться до нужной страницы, мне не понятно, чисто технически.