在对安全性有要求的软件(系统)中都存在验证码,那我们应该怎么进行测试呢,在自动化测试中又该怎么通过验证码使自动化顺利进行下去呢?
验证码的由来和作用
验证码,是一种区分其用户是计算机还是人类的公共全自动程序算法。这个验证码形式的问题是由计算生成并评判,但必须只允许有意识的人才能解答。
现在被广泛用于安全信息领域,以有效防范恶意的程序算法对信息系统进行暴力性的攻击破解,比如:防范密码破解、信息盗窃、钱财转移等恶意行为。
同时也发展为多种形式的验证码。常见的有手机短信验证码、Email验证码、视频验证码、手机语音验证码、拼图验证码、静态图文验证码、GIF动态图文验证码等,其中图文验证码是网站验证中最常见的一种。
验证码的存储
既然在网页中的验证码是图文验证码,以图片文字的形式显示出来,那么在网页源码可能存在于以下几种方式:
验证码的原理
当用户需要验证时,服务器端将内存中临时生成的验证码发至客户端,为了其安全性,通常在发送后的一个有效时间内(比如:1分钟)就会删除其验证码,用户在有效时间内输入验证答案。其具体过程如下:
首先,前端网页通过一个URL来对后端进行请求;
接着,后端接收到前端的请求后,它将生成一个随机图文,然后把该随机图文存储于与对应客户端的session中;
然后,将该随机图文进行图像处理,使计算机难以识别而人类容易辨别,经过处理的图文(.png、.jpg等多种格式)直接发至前端;
最后,前端验证用户输入图文的验证答案,与后端生成的验证码是否一致,若一致则成功登录获取消息,反之不能通过。
如何测试验证码?
测试验证码,既要测其功能性,又要测其安全性;手动测试和自动化测试均不可缺少,相互互补,尽可能覆盖缺陷。
手动测试
手动测试的核心,测试用例的设计。
针对验证码测试的测试用例主要参考点如下:
有效时间内 | 有效时间内 |
---|---|
输入图文中正确的顺序的验证码 | 输入图文中正确的顺序的验证码 |
输入图文中正确的倒序的验证码 | 输入图文中正确的倒序的验证码 |
输入已验证过的正确验证码 | 输入已验证过的正确验证码 |
输入正确验证码的部分 | 输入正确验证码的部分 |
不输入任何信息 | 不输入任何信息 |
空格输入 | 空格输入 |
空格+正确验证码 | 空格+正确验证码 |
正确验证码+空格 | 正确验证码+空格 |
输入验证码+空格+验证码” | 输入验证码+空格+验证码” |
输入特殊字符 | 输入特殊字符 |
… | … |
根据完善的测试用例一步一步执行,最大化做到细致精准。
自动化测试
针对验证码的性质,随机生成的验证码不能使计算机简单的识别,这一点使自动化测试遇到了一定的困难瓶颈,通俗的说:验证码和自动化测试是对着干的。
因此,自动化工具测试到验证码时,针对不同程度安全性的要求,使用相应效率的解决方案。其解决方案包括:注释验证码、设置验证码开关、设置万能验证码、记录Cookies信息、验证码图文识别等。
注释验证码模块(现在很少用这种方案)
这是在安全性要求较低的情况下的解决方案,经过项目组的沟通,在测试阶段,开发人员将验证码模块的相关代码注释掉,等上线时取消注释。
当然这样给测试人员在测试阶段减小了麻烦,但是上线正式生产环境中,该验证码模块可能给系统带来一定的障碍风险。
设置验证码开关(也不推荐)
项目组的沟通,开发人员设置一个验证码开关模块,当手动测试时,按着测试用例进行执行;当自动化测试时,关闭验证码模块。
设置万能验证码(当前主流做法)
这是在安全性要求相对较高的情况下的解决方案,经过项目组的沟通,开发人员设置一个万能验证码。在设置万能验证码时,应当区分测试环境与生产环境。
比如:判断当前是否是测试环境(通常情况下根据读取服务器配置文件就可判断是否是测试环境)。如果是,则输入万能验证码直接通过;如果不是,则继续按着正常的验证流程去验证。
设置万能验证码的解决方案与注释验证码的解决方案相比,该方案设置的万能验证码模块的代码可以上线,几乎不会给系统带来障碍风险,同时这样,手动测试与自动化测试均很方便。
记录Cookies信息(不太推荐,对于复杂的验证方式这种方式可以考虑)
通过向browser添加Cookies,这样就可以绕过介入的验证码,而在用户介入前通过add_cookie( )方法将介入信息添加到Cookies,这样一来,若再一次访问系统时将自动的介入。
但是记录Cookies还是存在不足。一方面体现在有效Cookies是有时间限制,一旦过期无效,再次访问系统时需要重新获取;另一方面体现在如果找不到输入框名,就无法向输入框内输入介入信息。
验证码图文识别(作为安全性测试的一部分)
如果测试人员用图文识别技术解决了自动化测试动态随机验证码,那这也相当于产品的一个Bug,使其系统并不是那么具有安全性。
但为了系统的完整性,针对高级别程度安全需求的系统,利用验证码图文识别技术进行测试。
OCR图像识别(同样作为安全性测试的一部分)
当前OCR图像识别技术已经比较成熟,能够很容易地识别出简单的图文验证码。对此大多数网站都逐步提升了图文验证码的复杂度。
比如:加噪、扭曲图文等操作。当然这种对抗也正是系统不断升级的原因,敌对性发展。
针对图文验证码的加噪,测试时应当对图文先降噪,再识别;针对图文验证码的扭曲,测试时应当Machine Learning、Pattern Recognition等技术算法提取图文特征,再匹配正确的图文验证码。
Python-tesseract图像识别(同样可作为安全性测试的一部分)
除了OCR图像识别技术,还可以通过Python-tesseract识别图文验证码,需要用到tesseract-ocr图像识别工具,能够读取.png、.jpg、.gif等常规格式的图片文件。
下面是我整理的2023年最全的软件测试工程师学习知识架构体系图 |
只有你学会把自己已有的成绩都归零,才能腾出空间去接纳更多的新东西,如此才能使自己不断的超越自己。
并不是随着年纪的成长,每一个人都会变得更加成熟的,有的人就算是见得多,也不一定懂得多。凡事靠自己,也要相信自己。
人活着就是为了解决困难。这才是生命的意义,也是生命的内容。逃避不是办法,知难而上往往是解决问题的最好手段。