【正文】 作 30 個(gè)用戶并發(fā)操作 50 個(gè)用戶并發(fā)操作 被測(cè)試對(duì)象的介紹 Junit 是一個(gè)開發(fā)源代碼的 Java 測(cè)試框架，用于編寫和運(yùn)行可重復(fù)的測(cè)試。是用于單元測(cè)試框架體系 xUnit 的一個(gè)實(shí)例（用于 java 語言）。 該系統(tǒng)中的 ChStr 類共有 toChinese， nullToString， filterStr 三個(gè)函數(shù)，使用 junit 測(cè)試這三個(gè)函數(shù)； 測(cè)試范 圍與目的 fillterStr（）函數(shù)用于過濾危險(xiǎn)字符，以下為源碼： public static final String filterStr(String str){ str=(。,)。 str=(amp。,amp。)。 str=(,)。 str=(,)。 str=(39。,)。 str=(, )。 str=(/,)。 str=(%,)。 return str。 } nullToString()函數(shù)用于處理字符串中的空值，以下為源代碼： public static final String nullToString(String v, String 34 toV) { if (v == null || .equals(v)) { v = toV。 } return v。 } toChinese()函數(shù)用于 將字符串轉(zhuǎn)換為 GBK 編碼 ，以下為源代碼： public static String toChinese(String strvalue) { try { if (strvalue == null) { strvalue=。 } else { strvalue = new String((ISO8859_1), GBK)。 strvalue = ()。 } } catch (Exception e) { strvalue=。 } return strvalue。 } 測(cè)試工具 Junit 測(cè)試工具； 測(cè)試用例設(shè)計(jì) fillterStr（）函數(shù)測(cè)試用例 1. 含 ； String 數(shù)組 2. 含 amp。 String 數(shù)組 3. 含 String 數(shù)組 4. 含 String 數(shù)組 5. 含 ’ String 數(shù)組 6. 含 __ String數(shù)組 35 7. 含 / String 數(shù)組 8. 含 % String 數(shù)組 9. 不含以上符號(hào)的 String 數(shù)組 以下為具體測(cè)試用例 Str 預(yù)期輸出 實(shí)際測(cè)試結(jié)果 s。s ss 通過 samp。s samp。s 通過 ss Ss 通過 ss Ss 通過 s‘s ss 通過 s__s s s 通過 s/s ss 通過 s%s ss 通過 sss sss 通過 null “ ” 通過 nullToString()函數(shù)測(cè)試 針對(duì)此函數(shù)我們采用等價(jià)類劃分法 生成 JUnit測(cè)試用 例總共劃分出 4個(gè)用例，分別是： ? 數(shù)組 v 為空或不為空 ? 數(shù)組 toV 的合法輸入（不為空）和不合法輸入（為空） 以下為具體測(cè)試用例 v toV 預(yù)期輸出 實(shí)際測(cè)試結(jié)果 null ss ss 通過 null null null 通過 s ss s 通過 s null s 通過 ()函數(shù)測(cè)試 針對(duì)此函數(shù)我們采用等價(jià)類劃分法 生成 JUnit測(cè)試用例總共劃分出 3 個(gè)用例，分別是： ? 數(shù)組 strvalue 為空或不為空，其中數(shù)組不為空又分為漢字?jǐn)?shù)組和字符數(shù)組兩種 以下為具體測(cè)試用例 36 strvalue 預(yù)期輸出 實(shí)際測(cè)試結(jié)果 null “” 通過 漢字 ?? 通過 hanzi hanzi 通過 6. 圖形用戶界面測(cè)試用例 被測(cè)試對(duì)象的介紹 被測(cè)試對(duì)象主要包括各種圖形用戶界面（ GUI），包括登錄界面，借書界面，還書界面以及新書入庫界面、 測(cè)試范圍與目的 測(cè)試范圍包括圖書館管理系統(tǒng)中的各種界面。目的是測(cè)試各種圖形用戶界面是否都正常運(yùn)行 。 用戶界面測(cè)試的檢查表 檢查項(xiàng) 測(cè)試人員的評(píng)價(jià) 窗口切換、移動(dòng)、改變大小時(shí)正常嗎？ 正常 各種界面元素的文字正確嗎？（如標(biāo)題、提示等） 正常 各種界面元素的狀態(tài)正確嗎？（如有效、無效、選中等狀態(tài)） 正確 各種界面元素支持鍵盤操作嗎？ 支持 各種界面元素支持鼠標(biāo)操作嗎？ 支持 對(duì)話框中的缺省焦點(diǎn)正確嗎？ 正確 數(shù)據(jù)項(xiàng)能正確回顯嗎？ 能 對(duì)于常用的功能，用戶能否不必閱讀手冊(cè)就能使用？ 能 執(zhí)行有風(fēng)險(xiǎn)的操作時(shí)，有“確認(rèn)”、“放棄”等提示嗎？ 有 操作順序合理嗎？ 合理 有聯(lián)機(jī)幫助嗎？ 有 各種界面元素的布局合理嗎？美觀嗎？ 不是很美觀 37 各種界面元素的顏色 協(xié)調(diào)嗎？ 不太協(xié)調(diào) 各種界面元素的形狀美觀嗎？ 不太美觀 字體美觀嗎？ 美觀 圖標(biāo)直觀嗎？ 直觀 7. 信息安全性測(cè)試用例 被測(cè)試對(duì)象的介紹 安全性測(cè)試檢查系統(tǒng)對(duì)非法侵入的防范能力。測(cè)試期間，測(cè)試人員假扮非法入侵者，采用各種辦法試圖突破防線。安全性測(cè)試檢測(cè)圖書館管理系統(tǒng)能否抵制各種的危機(jī)，從而保證系統(tǒng)的各項(xiàng)安全。 測(cè)試范圍與目的 測(cè)試范圍限制在圖書館管理系統(tǒng) ： 物理層安全 系統(tǒng)層安全 應(yīng)用層安全 管理層安全 信息 安全性測(cè)試方案 擬采用功能驗(yàn)證，漏洞掃描，模擬攻擊試驗(yàn)，偵聽技術(shù)進(jìn)行信息安全性測(cè)試 ? 功能驗(yàn)證 采用黑盒測(cè)試方法，對(duì)涉及安全的軟件功能進(jìn)行測(cè)試 ? 漏洞掃描 采用主機(jī)或系統(tǒng)漏洞掃描器自動(dòng)檢測(cè)遠(yuǎn)程或本機(jī)安全性弱點(diǎn) ? 模擬攻擊試驗(yàn) 采用冒充、重演、消息篡改、服務(wù)拒絕、內(nèi)部攻擊、外部攻擊、陷阱門、特洛伊木馬方法進(jìn)行測(cè)試 ? 偵聽技術(shù) 對(duì)數(shù)據(jù)進(jìn)行截取分析的過程，主要用于對(duì)網(wǎng)絡(luò)加密的驗(yàn)證 信息安全性測(cè)試用例 38 輸入驗(yàn)證 前提條件 系統(tǒng)正常運(yùn)行 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 輸入很大的數(shù) 輸入超長字符 輸入特殊字符 輸入中英文空格 輸入特殊字符串 輸入與要求不同類型的字符 輸入 html 和 javascript 代碼 關(guān)于 URL 測(cè)試 前提條件 系統(tǒng)已經(jīng)安裝相應(yīng)的保護(hù)機(jī)制 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 某些需登錄后或特殊用戶才能進(jìn)入的頁面 ,是否可以通過直接輸入網(wǎng)址的方式進(jìn)入 對(duì)于帶參數(shù)的網(wǎng)址 ,惡意修改其參數(shù) ,(若為數(shù)字 ,則輸入字母 ,或很大的數(shù)字 ,或輸入特殊字符等 )后打開網(wǎng)址是否出錯(cuò) ,是否可以非法進(jìn)入某些頁面 搜索頁面等 url 中含有關(guān)鍵字的 ,輸入 html 代碼或 JavaScript 看是否在頁面中顯示或執(zhí)行 SQL Injection(SQL 注入 ) 39 前提條件 系統(tǒng)已經(jīng)安裝相應(yīng)的保護(hù)機(jī)制 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 首先找到帶有參數(shù)傳遞的 URL頁面 登陸頁面，在 URL 參數(shù)或表單中加入某些特殊的 SQL 語句或 SQL 片斷 ,如在登錄頁面的URL 中輸入tsLibrarySystem/USERNAME=HI39。 OR 1=1 找到帶有參數(shù)傳遞的 URL,如 登錄頁面 ，在頁面參數(shù)中輸入如下語 句 ： scr īptalert()/scr īpt 搜索頁面等 url 中含有關(guān)鍵字的 ,輸入 html 代碼或 JavaScript 看是否在頁面中顯示或執(zhí)行 Directory Traversal(目錄遍歷 ) 前提條件 系統(tǒng)已經(jīng)安裝相應(yīng)的保護(hù)機(jī)制 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 在 URL 中輸入一定數(shù)量的“ ../”和“ ./，驗(yàn)證 系統(tǒng)是否 ESCAPE掉了這些目錄跳轉(zhuǎn)符 exposed error messages(錯(cuò)誤信息 ) 前提條件 系統(tǒng)已經(jīng)安裝相應(yīng)的保護(hù)機(jī)制 40 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 找到一些錯(cuò)誤頁面，比如 404,或 500 頁面。 驗(yàn)證在調(diào)試未開通過的情況下，是否給出了友好的錯(cuò)誤提示信息比 如“你 訪問 的頁面不存 在”等，而并非曝露一些程序代碼 用戶注冊(cè) 前提條件 系統(tǒng)已經(jīng)安裝相應(yīng)的保護(hù)機(jī)制 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 填寫符合要求的數(shù)據(jù)注冊(cè) ： 用戶名字和密碼都為最大長度（邊界值分析，取上點(diǎn)） 否 代價(jià)大于利益 填寫符合要求的數(shù)據(jù)注冊(cè) ：用戶名字和密碼都為最小長度（邊界值分析，取上點(diǎn)） 填寫符合要求的數(shù)據(jù)注冊(cè)：用戶名字和密碼都是非最大和最小長度的數(shù)據(jù)（邊界值分析，取內(nèi)點(diǎn)） 必填項(xiàng)分別為空注冊(cè) 用戶名長度大于要求注冊(cè) 1 位 用戶名長度小于要求注冊(cè) 1 位 用戶名是不符合要求的字符注冊(cè) ： 密碼是不符合要求的字符注冊(cè) 兩次輸入密碼不一致（如果注冊(cè)時(shí)候要輸入兩次密碼，那么這個(gè)是必須的） 改變存在的用戶的用戶 名和密碼的大小寫，來注冊(cè)。 被測(cè)試對(duì)象的介紹 測(cè)試該系統(tǒng)的以下特性： ，比如： PC,MAC,PDA,WIFI 等 修改密碼 前提條件 系統(tǒng)已經(jīng)安裝相應(yīng)的保護(hù)機(jī)制 非法入侵手段 是否實(shí)現(xiàn)目標(biāo) 代價(jià)－利益分析 輸入錯(cuò)誤舊密碼 否 代價(jià)大于利益 不輸入確認(rèn)新密碼 不輸入新密碼 新密碼和確認(rèn)新密碼不一致 新密碼中有空格 新密碼為空 新密碼為符合要求的最多字符 .新密碼為符合要求的最少字符 新密碼為非允許字符 看是否支持 tap 和 enter 鍵等；密碼是否可以復(fù)制粘貼；密碼是否以 * 之類的加秘符號(hào) .看密碼是否區(qū)分大小寫， 新密碼中英文小寫，確認(rèn)密碼中英文大寫 特 殊 字 符 ： 比如。 / 39。 \ /html 這些是否會(huì)造成系統(tǒng)崩潰 注入式 bug：比如密碼輸入個(gè)or 1=1 2 速下的測(cè)試 測(cè)試范圍與目的 測(cè)試圖書管理系統(tǒng)在 IE5/IE6/IE7/IE8/IE9 等幾個(gè)瀏覽器中，各個(gè)界面顯示的情況； 測(cè)試圖書管理系統(tǒng)在 windows xp/windows 7/windows 8/linux 操作系統(tǒng)中的運(yùn)行情況； 測(cè)試工具 IEtester測(cè)試瀏覽器兼容性； JVM 虛擬機(jī) 測(cè)試操作系統(tǒng)兼容性； 測(cè)試方案 通過人工測(cè)試的方式，分別在不同操作系統(tǒng)（ Windows xp、 Windows Windows linux）下的不同瀏覽器（ IE IE IE IE IE FireFox）進(jìn)行邊界測(cè)試、特殊值測(cè)試、邊緣測(cè)試等，看是否能通過 測(cè)試用例設(shè)計(jì) IE5 IE6 IE7 IE8 IE9 Windows xp Windows 7 Windows 8 linux