汇总整理一些日常工作中用到点测试点,积累经验...PS:部分用例摘自网络,稍作补充
一 注册、登录或其他页面,手机短信验证码获取
验证码功能的实现可以分为三个步骤:
(1)UI点击获取验证码,同步显示验证码有效时间
(2)后端获得指令后通过代理平台发送验证短信
(3)用户收到短信,在UI上提交验证码,后台做逻辑判断
功能性验证:
1⃣️手机号输入格式:区号(中国为86)+号码、号码格式校验(3-4-4展现形式)、长度校验(11位)、只能输入数字、输入除数字以外的字符串,特殊字符的等、必输项、不输入或输入错误的提示message、输入已经验证过的号码、空格(首位空格自动过滤)
2⃣️发送button:正常点击、点击后成功发送、发送后button置灰并倒计时展示再次启用时间、倒计时结束再次发送、发送次数限制(一天内同一号码发送次数,次内、次外发送验证)
3⃣️短信文案确认:与程序标题一致、内容参考短信模版、code(验证码)多次无重复、无规律及相应随机数
4⃣️验证码输入格式:输入正确的验证码(正常情况验证)、不输入、输入不符合格式的验证码(如6位输入5或7位)、输入特殊符号或字符串汉字等、输入错误的code、输入超时的code、A号码输入B号码的code、code长度校验、空格输入检测(在开头或结尾应自动过滤、空格在中间时的情况)
安全性验证:
1⃣️无效验证:获取验证码后随意输入验证码,输入两次,点击下一步 、 进行验证下一步、通过抓包篡改手机号
2⃣️客户端验证绕行:点击发送验证码后通过抓包获取验证码、返回客户端的验证码是经过加密的,可否成功解密、正常修改密码,获取验证码,通过服务器返回数据,报存该信息(使用抓包工具拦截错误信息并修改为正确信息提交服务器,可否成功修改密码)
3⃣️短信轰炸:无限制任意下发、有一定时间间隔,任意下发(每隔一定时间下发一次,任意下发)
4⃣️验证码与手机号未绑定:A的验证码,B可以使用
还有验证码爆破(暴力破解验证码)、sql注入测试(or.and1=1.等)
安全性参考:https://www.cnblogs.com/xiaozi/p/7691344.html