测试方案样例
关于测试方案
产品名称Product name
密级Confidentiality level
产品版本Product version
Total 13pages 共13页
xxx测试方案
xxx 需求测试方案
Prepared by
拟制
XXX
Date
日期
xxx
Reviewed by
评审人
Date
日期
Approved by
批准
Date
日期
Authorized by
签发
Date
日期
xxx有限公司
版权所有 侵权必究
(仅供内部使用)
修订记录
日期
修订版本
描述
作者
目 录
1
概述... 6
1.1
被测对象概述... 6
1.2
测试方案概述... 6
2
测试需求... 6
3
测试设计... 6
3.1
测试对象分析... 7
3.1.1
外部环境... 7
3.1.2
内部环境... 7
3.2
测试设计策略分析... 7
3.2.1
测试内容... 7
3.2.2
测试方法... 7
3.3
详细测试方法... 8
3.3.1
oracle-ds.xml中数据库用户名密码信息明文存储... 8
3.3.2
uniportal控制台登录界面没有验证码... 8
3.3.3
JBoss控制台登录界面没有验证码... 9
3.3.4
系统登录页面密码明文传输... 10
3.3.5
系统修改密码时明文传输... 10
3.3.6
系统登录错误时,用户名错误和密码错误提示不同,容易被猜测出合法用户名... 11
3.3.7
用户会话未更新,可能被操纵... 12
3.3.8
修改密码时,密码错误最大次数限制... 13
3.3.9
注销后会话未失效... 14
3.3.10
初始化RBT以及USDP配置项的条数修改... 14
3.3.11
潜在文件上传... 15
3.3.12
验证码多次有效用户可能被暴力破解... 17
3.3.13
验证码强度过低,容易被破解... 17
3.3.14
错误提示可能导致信息泄露... 18
3.3.15
检查url跨站漏洞... 19
3.3.16
越权访问... 20
3.3.17
规范RBT版本中的logo、注释字样... 20
3.3.18
DIY,SP上传,Corp上传,Admin上传铃音模块内存泄露问题... 21
3.3.19
加载铃音信息导致内存泄露问题... 22
3.3.20
不安全的HTTP方法... 23
3.3.21
鉴权不充分... 24
3.3.22
其他功能利用工具AppScan扫描测试... 25
SQL盲注漏洞
SDV.func.023. 25
基于DOM的XSS跨站 SDV.func.024. 25
跨站漏洞XSS
SDV.func.025. 25
跨站请求伪造CSRF
SDV.func.026. 25
电子daoqie
SDV.func.027. 25
HTML注释泄密
SDV.func.028. 25
3.4
自动化测试设计... 25
3.5
测试规程设计... 25
3.6
测试组网分析... 25
3.7
测试环境分析... 25
3.7.1
测试环境设备... 25
3.7.2
测量仪器和仪表... 26
3.7.3
测试器件和材料... 26
3.7.4
测试工具... 26
3.7.5
其它需求... 26
4
附录... 26
xxx
需求测试方案
关键词:测试设计
数据同步
组网分析
摘 要:通过对xxx
需求的分析,在测试策略和测试方法上在后续的工作做一定的指导,特别是后期用例设计的主要依据。
缩略语清单:
缩略语
英文全名
中文解释
TSE
Test System Engineer
测试系统工程师
SDV
System Design Verification
系统设计验证
DR
Design Requirement
设计需求(开发需求)
SOW
Statement of Work
工作任务书
SRS
Software Requirements Specification
软件需求规格
CDB
Center Database
中心数据库
参考资料清单:
参考资料清单
名称
作者
编号
发布日期
查阅地点或渠道
出版单位
1
概述1.1
被测对象概述本文档主要描述彩铃业务的一月份需要开发的国内移动/联通版本的功能需求和设计实现,。
1.2
测试方案概述xxx需求是在各自基础版本基础上进行安全性排查和修改,由于这些功能相对并不是单独的功能点,因此方案除了考虑新增功能实现外,还必须考虑修改的功能是否影响到其他功能点,并对本次补丁的兼容性方面做重点测试。
2
测试需求表1
测试需求跟踪矩阵表
编号
测试特性
2.1.1
安全性排查和修改
3
测试设计测试要点列表:
1、
新功能需求
2、
原始功能需求
3、
新功能与原始功能的整合
3.1
测试对象分析3.1.1
外部环境
3.1.2
内部环境3.2
测试设计策略分析3.2.1
测试内容1、
基本功能及此版本中未修改的原有功能特性需要做验证。
2、
测试设计的思路包括但不限于:按照处理流程,覆盖所有分支;按照输入数据,覆盖输入数据量、数据类型及其组合;按照输出数据,覆盖输出数据量、数据类型及其组合;按照外部接口,覆盖触发条件及其组合;按照外部接口,覆盖返回值及其组合。
3、
覆盖原则:新增的功能特性需要全面测试,原有的基本功能只做功能验证,新增需求有可能影响到的功能特性也全面测试。
3.2.2
测试方法设计时使用等价类和边界值的方法构造输入数据和输出结果,采用的思想,先正常,再等价类、后异常。先考虑该功能的正常情况,再想该功能的可能性进行等价划分,最后通过边界值分析得出一些异常情况。
3.3
详细测试方法公共部分(包括但不限于):
1、
多条记录时需要分页显示。
2、
页面无错别字
3、
当歌曲名,歌手名等采用允许的最长字符时,可以自动换行,不会导致页面变形。
3.3.1
oracle-ds.xml中数据库用户名密码信息明文存储
测试对象分析
oracle-ds.xml中数据库用户名密码信息明文存储。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:oracle-ds.xml、login-config.xml
3)
操作: 检查是否采用jboss加密
4)
结果:oracle-ds.xml数据库用户名密码采用jboss加密。
相关功能验证:
检查点
1)
采用jboss数据加密,在jboss的配置文件login-config.xml文件中设置用户名和密码,在\jboss\server\default\conf\login-config.xml文件中增加一个节点。
2)
rbt运行环境\deploy\oracle-ds.xml文件修改,看不到明文的用户名和密码。
详细测试方法
根据上述因素分析设计用例
3.3.2
uniportal控制台登录界面没有验证码
测试对象分析
uniportal控制台登录界面没有验证码。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:uniportal控制台
3)
操作:登录uniportal控制台
4)
结果:uniportal控制台被屏蔽。
相关功能验证:
检查点
1)
在IE地址栏输入uniportal控制台的地址,页面不显示出uniportal控制台的信息。
详细测试方法
根据上述因素分析设计用例
3.3.3
JBoss控制台登录界面没有验证码
测试对象分析
JBoss控制台登录界面没有验证码。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:JBoss控制台
3)
操作:登录JBoss控制台
4)
结果:JBoss控制台被屏蔽。
相关功能验证:
1.
验证下载音乐盒套餐功能。
检查点
1)
在IE地址栏输入JBoss控制台的地址,页面不显示出JBoss控制台的信息。
详细测试方法
根据上述因素分析设计用例
3.3.4
系统登录页面密码明文传输
测试对象分析
登录页面密码明文传输。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块登录页面
3)
操作:登录各模块
4)
结果:登录时密码使用HTTPS加密传输。
相关功能验证:
1.
验证各模块登录使用HTTPS加密传输。
检查点
1)
验证admin模块登录请求使用HTTPS加密。
2)
验证cs模块登录请求使用HTTPS加密。
3)
验证corp模块登录请求使用HTTPS加密。
4)
验证sp模块登录请求使用HTTPS加密。
5)
验证user模块登录请求使用HTTPS加密。
详细测试方法
根据上述因素分析设计用例
3.3.5
系统修改密码时明文传输
测试对象分析
系统修改密码时明文传输。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块用户
3)
操作:各模块用户进行密码修改操作
4)
结果:各模块用户在进行密码操作时采用HTTPS加密。
相关功能验证:
1.
验证各模块用户在进行密码操作时采用HTTPS加密。
检查点
1)
验证admin管理员修改密码采用HTTPS加密传输。
2)
验证admin管理员新增SP管理员帐号时密码采用HTTPS加密传输。
3)
验证admin管理员修改SP管理员帐号时密码采用HTTPS加密传输。
4)
验证admin管理员新增客服帐号时密码采用HTTPS加密传输。
5)
验证admin管理员修改客服帐号时密码采用HTTPS加密传输。
6)
验证admin管理员新增SMP帐号时密码采用HTTPS加密传输。
7)
验证admin管理员修改SMP帐号时密码采用HTTPS加密传输。
8)
验证admin管理员新增管理员帐号时密码采用HTTPS加密传输。
9)
验证admin管理员修改管理员帐号时密码采用HTTPS加密传输。
10)
验证客服修改密码时采用HTTPS加密传输。
11)
验证客服开户时采用HTTPS加密传输。
12)
验证集团管理员修改密码时采用HTTPS加密传输。
13)
验证cs客服代集团操作修改密码时采用HTTPS加密传输。
14)
验证SP管理员修改密码时采用HTTPS加密传输。
15)
验证user用户用户修改密码时采用HTTPS加密传输。
详细测试方法
根据上述因素分析设计用例
3.3.6
系统登录错误时,用户名错误和密码错误提示不同,容易被猜测出合法用户名
测试对象分析
系统登录错误时,用户名错误和密码错误提示不同,容易被猜测出合法用户名。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块登录界面
3)
操作:各模块用户登录错误
4)
结果:各模块用户登录错误时,提示最小化。
相关功能验证:
1.
验证各模块用户登录错误时,提示最小化。
检查点
1)
验证admin管理员登录失败后提示信息最小化。
2)
验证客服登录失败后提示信息最小化。
3)
验证集团管理员登录失败后提示信息最小化。
4)
验证SP管理员登录失败后提示信息最小化。
5)
验证User用户登录失败后提示信息最小化。
详细测试方法
根据上述因素分析设计用例
3.3.7
用户会话未更新,可能被操纵
测试对象分析
用户会话未更新,可能被操纵。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块登录界面
3)
操作:各模块用户登录
4)
结果:各模块用户登录后会话更新。
相关功能验证:
1.
验证各模块用户登录后会话更新。
检查点
1)
验证admin模块用户登录后会话更新。
2)
验证cs模块用户登录后会话更新。
3)
验证corp模块用户登录后会话更新。
4)
验证sp模块用户登录后会话更新。
5)
验证user模块用户登录后会话更新。
详细测试方法
根据上述因素分析设计用例
3.3.8
修改密码时,密码错误最大次数限制
测试对象分析
修改密码时,密码错误最大次数限制。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块修改密码功能
3)
操作:各模块用户修改密码
4)
结果:各模块用户修改密码错误有最大次数限制。
相关功能验证:
1.
验证各模块用户修改密码错误有最大次数限制。
检查点
1)
验证admin管理员修改密码错误次数限制成功。
2)
验证客服修改密码错误次数限制成功。
3)
验证集团管理员修改密码错误次数限制成功。
4)
验证SP管理员修改密码错误次数限制成功。
5)
验证User用户修改密码错误次数限制成功。
详细测试方法
根据上述因素分析设计用例
3.3.9
注销后会话未失效
测试对象分析
注销后会话未失效。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块用户
3)
操作:各模块用户注销
4)
结果:各模块用户退出系统,会话失效。
相关功能验证:
1.
验证各模块用户退出系统,会话失效。
检查点
1)
验证admin模块帐号注销后会话失效。
2)
验证cs模块帐号注销后会话失效。
3)
验证corp模块帐号注销后会话失效。
4)
验证sp模块帐号注销后会话失效。
5)
验证user模块帐号注销后会话失效。
详细测试方法
根据上述因素分析设计用例
3.3.10
初始化RBT以及USDP配置项的条数修改
测试对象分析
初始化RBT以及USDP配置项的条数修改。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:USDP、RBT
3)
操作:启动USDP、RBT
4)
结果:RBT和USDP的t_config表的数据改为1000条。
相关功能验证:
检查点
1)
验证初始化RBT以及USDP配置项的条数修改为1000。
详细测试方法
根据上述因素分析设计用例
3.3.11
潜在文件上传
测试对象分析
检查RBT端对上传文件后缀的判断
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各个模块
3)
操作:上传铃音和文件
4)
结果:系统正确对铃音和文件后缀进行校验。
相关功能验证:
检查点
检查ADMIN模块潜在文件上传
1)
检查ADMIN模块信息维护>IVR铃音分类维护中,新增时前台/后台对中文提示音和英文提示音后缀为校验;
2)
检查ADMIN模块信息维护>IVR铃音分类维护中,修改时前台/后台对中文提示音和英文提示音后缀为校验;
3)
检查ADMIN模块信息维护>批量下载设置,前台后台对用户号码文件后缀校验;
4)
检查ADMIN模块信息维护>铃音包月套餐,新增铃音包月套餐时前台后台对中文提示音和英文提示音文件后缀校验;
5)
检查ADMIN模块信息维护>批量新增铃音包月套餐,批量新增铃音包月套餐时前台后台对包月套餐文件后缀校验;
6)
检查ADMIN模块信息维护>批量开通会员,新增时前台后台对散号号码文件后缀校验;
检查SP模块潜在文件上传
1)
检查SP模块SP信息维护>12530XYZ铃音管理中,新增铃音目录时前台/后台对中文提示音和英文提示音后缀为校验;
2)
检查SP模块铃音信息维护>上载新铃音中,前台/后台对歌词、WEB试听铃音问价和AIP播放文件后缀校验;
3)
检查SP模块铃音信息维护>铃音维护中修改铃音歌词时,前台/后台对歌词后缀校验;
4)
检查SP模块铃音信息维护>批量上传中,前台/后台对批量上传铃音文件和铃音列表信息文件后缀校验;
5)
检查SP模块铃音信息维护>音乐盒管理,修改音乐盒信息前台/后台对中午提示音和英文提示音后缀校验;
6)
检查SP模块铃音信息维护>上载音乐盒,前台/后台对中午提示音和英文提示音后缀校验;
7)
检查SP模块铃音信息维护>上传DIY,前台/后台对WEB试听铃音问价和AIP播放文件后缀校验;
检查CS模块潜在文件上传
1)
检查CS模块开销户>批量开户,前台/后台对批量开户文件后缀为校验;
2)
检查CS模块开销户>批量销户,前台/后台对批量销户文件后缀为校验;
检查CORP模块潜在文件上传
1)
检查CORP模块信息管理>批量增加集团成员,前台/后台对批量上传文件后缀为校验;
2)
检查CORP模块铃音维护>新增铃音,前台/后台对AIP播放文件后缀为校验;
详细测试方法
根据上述因素分析设计用例
3.3.12
验证码多次有效用户可能被暴力破解
测试对象分析
检查验证码使用次数
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各个模块用户
2)
操作对象:模块登陆页面验证码
3)
操作:使用WebScarab测试模块验证码
4)
结果:各个模块验证码不能多次使用。
相关功能验证:
检查点
1)
检查USER模块验证码不能多次使用;
2)
检查SP模块验证码不能多次使用;
3)
检查ADMIN模块验证码不能多次使用;
4)
检查CS模块验证码不能多次使用;
5)
检查CORP模块验证码不能多次使用。
详细测试方法
根据上述因素分析设计用例
3.3.13
验证码强度过低,容易被破解
测试对象分析
初检查各个模块登陆页面验证码强度。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各个模块用户
2)
操作对象:各个模块登陆页面
3)
操作:检登陆页面验证码强度
4)
结果:才有CBB验证码机制。
相关功能验证:
检查点
1)
检查USER模块验证码使用CBB机制;
2)
检查SP模块验证码使用CBB机制;
3)
检查ADMIN模块验证码使用CBB机制;
4)
检查CS模块验证码使用CBB机制;
5)
检查CORP模块验证码使用CBB机制。
详细测试方法
根据上述因素分析设计用例
3.3.14
错误提示可能导致信息泄露
测试对象分析
测试各个模块错误提示信息。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各个模块用户
2)
操作对象:各个模块
3)
操作:检查错误提示信息
4)
结果:系统异常时,提示信息显示正确。
相关功能验证:
检查点
1)
检查USER模块系统异常时,提示信息显示正确;
2)
检查ADMIN模块系统异常时,提示信息显示正确;
3)
检查SP模块系统异常时,提示信息显示正确;
4)
检查CS模块系统异常时,提示信息显示正确;
5)
检查CORP模块系统异常时,提示信息显示正确。
详细测试方法
根据上述因素分析设计用例
3.3.15
检查url跨站漏洞
测试对象分析
检查各个模块的url跨站漏洞
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块
3)
操作:检查模块url跨站漏洞
4)
结果:页面错误时,正确显示新增的错误页面。
相关功能验证:
检查点
1)
检查USER模块页面错误显示新增页面:你访问的页面已经更名或迁移;
2)
检查ADMIN模块页面错误显示新增页面:你访问的页面已经更名或迁移;
3)
检查SP模块页面错误显示新增页面:你访问的页面已经更名或迁移;
4)
检查CS模块页面错误显示新增页面:你访问的页面已经更名或迁移;
5)
检查CORP模块页面错误显示新增页面:你访问的页面已经更名或迁移。
详细测试方法
根据上述因素分析设计用例
3.3.16
越权访问
测试对象分析
检查SP模块确权访问。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:SP管理员
2)
操作对象:SP模块
3)
操作:在ie中输入越权url
4)
结果:SP不能正常访问页面。
相关功能验证:
检查点
1)
检查SP越权上传普通铃音;
2)
检查SP越权上传音乐盒;
3)
检查SP越权上传diy铃音;
4)
检查SP越权批量上传铃音。
详细测试方法
根据上述因素分析设计用例
3.3.17
规范RBT版本中的logo、注释字样
测试对象分析
检查RBT版本中的logo和注释字样。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象: RBT数据库和RBT环境
3)
操作:检查数据库信息和Portal
4)
结果:数据库configvalue和RBT页面没有不符合该局点字样及logo。
相关功能验证:
检查点
1)
执行select * from t_config a where a.configvalue like ‘联通’,查询value不包括联通字样;
2)
执行select * from t_config a where a.configvalue like ‘电信’,查询value不包括电信字样;
3)
执行select * from t_config a where a.configvalue like ‘炫铃’,查询value不包括炫铃字样;
4)
检查USER模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
5)
检查CORP模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
6)
检查SP模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
7)
检查CS模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
8)
检查ADMIN模块未包含联通、电信、炫铃等不符合该局点的logo或字样。
详细测试方法
根据上述因素分析设计用例
3.3.18
DIY,SP上传,Corp上传,Admin上传铃音模块内存泄露问题
测试对象分析
DIY,SP上传,Corp上传,Admin上传铃音模块内存泄露问题。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:系统用户
2)
操作对象:各个模块上传功能
3)
操作:上传铃音
4)
结果:未导致内存泄露。
相关功能验证:
检查点
检查ADMIN模块潜在文件上传
7)
检查ADMIN模块信息维护>IVR铃音分类维护中内存泄露;
8)
检查ADMIN模块信息维护>IVR铃音分类维护中内存泄露;
9)
检查ADMIN模块信息维护>批量下载设置内存泄露;
10)
检查ADMIN模块信息维护>铃音包月套餐内存泄露;
11)
检查ADMIN模块信息维护>批量新增铃音包月套餐内存泄露;
8)
检查ADMIN模块信息维护>批量开通会员内存泄露检查SP模块SP信息维护>12530XYZ铃音管理中内存泄露;
9)
检查SP模块铃音信息维护>上载新铃音中内存泄露;
10)
检查SP模块铃音信息维护>铃音维护中修改铃音歌词时内存泄露;
11)
检查SP模块铃音信息维护>批量上传中内存泄露;
12)
检查SP模块铃音信息维护>音乐盒管理内存泄露;
13)
检查SP模块铃音信息维护>上载音乐盒内存泄露;
14)
检查SP模块铃音信息维护>上传DIY内存泄露;
检查CS模块潜在文件上传
3)
检查CS模块开销户>批量开户内存泄露;
4)
检查CS模块开销户>批量销户内存泄露;
检查CORP模块潜在文件上传
3)
检查CORP模块信息管理>批量增加集团成员内存泄露;
4)
检查CORP模块铃音维护>新增铃音内存泄露;
详细测试方法
根据上述因素分析设计用例
3.3.19
加载铃音信息导致内存泄露问题
测试对象分析
检查SP模块确权访问。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:用户
2)
操作对象:Portal打印日志
3)
操作:在日志文件中查找加载铃音日志
4)
结果:不能查到相应的日志信息。
相关功能验证:
检查点
1)
检查Portal日志中未打印Query normal tone infos failed, the usdp return is信息。
详细测试方法
根据上述因素分析设计用例
3.3.20
不安全的HTTP方法
测试对象分析
检查不安全的HTTP方法。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:用户
2)
操作对象:Portal
3)
操作:检查不安全的HTTP方法
4)
结果:不安全的HTTP方法被禁用。
相关功能验证:
检查点
1)
检查开放HTTP方法测试;
2)
检查HTTP PUT方法;
3)
检查HTTP DELETE方法;
4)
检查HTTP TRACE方法;
5)
检查HTTP MOVE方法;
6)
检查HTTP COPY方法。
详细测试方法
根据上述因素分析设计用例
3.3.21
鉴权不充分
测试对象分析
检查鉴权不充分。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:USER用户
2)
操作对象:USER模块
3)
操作:在ie中输入相应的URL
4)
结果:USER用户鉴权充分。
相关功能验证:
检查点
1)
检查USER用户的DIY鉴权;
2)
检查USER用户删除DIY铃音鉴权。
详细测试方法
根据上述因素分析设计用例
3.3.22
其他功能利用工具AppScan扫描测试SQL盲注漏洞
SDV.func.023基于DOM的XSS跨站 SDV.func.024跨站漏洞XSS
SDV.func.025跨站请求伪造CSRF
SDV.func.026电子daoqie
SDV.func.027HTML注释泄密
SDV.func.028
3.4
自动化测试设计无
3.5
测试规程设计
3.6
测试组网分析
3.7
测试环境分析
3.7.1
测试环境设备短信网关 SMSG、智能网SMP、BOSS均使用模拟桩进行测试
3.7.2
测量仪器和仪表无
3.7.3
测试器件和材料无
3.7.4
测试工具ISMG
3.7.5
其它需求无
4
附录
产品名称Product name
密级Confidentiality level
产品版本Product version
Total 13pages 共13页
xxx测试方案
xxx 需求测试方案
Prepared by
拟制
XXX
Date
日期
xxx
Reviewed by
评审人
Date
日期
Approved by
批准
Date
日期
Authorized by
签发
Date
日期
xxx有限公司
版权所有 侵权必究
(仅供内部使用)
修订记录
日期
修订版本
描述
作者
目 录
1
概述... 6
1.1
被测对象概述... 6
1.2
测试方案概述... 6
2
测试需求... 6
3
测试设计... 6
3.1
测试对象分析... 7
3.1.1
外部环境... 7
3.1.2
内部环境... 7
3.2
测试设计策略分析... 7
3.2.1
测试内容... 7
3.2.2
测试方法... 7
3.3
详细测试方法... 8
3.3.1
oracle-ds.xml中数据库用户名密码信息明文存储... 8
3.3.2
uniportal控制台登录界面没有验证码... 8
3.3.3
JBoss控制台登录界面没有验证码... 9
3.3.4
系统登录页面密码明文传输... 10
3.3.5
系统修改密码时明文传输... 10
3.3.6
系统登录错误时,用户名错误和密码错误提示不同,容易被猜测出合法用户名... 11
3.3.7
用户会话未更新,可能被操纵... 12
3.3.8
修改密码时,密码错误最大次数限制... 13
3.3.9
注销后会话未失效... 14
3.3.10
初始化RBT以及USDP配置项的条数修改... 14
3.3.11
潜在文件上传... 15
3.3.12
验证码多次有效用户可能被暴力破解... 17
3.3.13
验证码强度过低,容易被破解... 17
3.3.14
错误提示可能导致信息泄露... 18
3.3.15
检查url跨站漏洞... 19
3.3.16
越权访问... 20
3.3.17
规范RBT版本中的logo、注释字样... 20
3.3.18
DIY,SP上传,Corp上传,Admin上传铃音模块内存泄露问题... 21
3.3.19
加载铃音信息导致内存泄露问题... 22
3.3.20
不安全的HTTP方法... 23
3.3.21
鉴权不充分... 24
3.3.22
其他功能利用工具AppScan扫描测试... 25
SQL盲注漏洞
SDV.func.023. 25
基于DOM的XSS跨站 SDV.func.024. 25
跨站漏洞XSS
SDV.func.025. 25
跨站请求伪造CSRF
SDV.func.026. 25
电子daoqie
SDV.func.027. 25
HTML注释泄密
SDV.func.028. 25
3.4
自动化测试设计... 25
3.5
测试规程设计... 25
3.6
测试组网分析... 25
3.7
测试环境分析... 25
3.7.1
测试环境设备... 25
3.7.2
测量仪器和仪表... 26
3.7.3
测试器件和材料... 26
3.7.4
测试工具... 26
3.7.5
其它需求... 26
4
附录... 26
xxx
需求测试方案
关键词:测试设计
数据同步
组网分析
摘 要:通过对xxx
需求的分析,在测试策略和测试方法上在后续的工作做一定的指导,特别是后期用例设计的主要依据。
缩略语清单:
缩略语
英文全名
中文解释
TSE
Test System Engineer
测试系统工程师
SDV
System Design Verification
系统设计验证
DR
Design Requirement
设计需求(开发需求)
SOW
Statement of Work
工作任务书
SRS
Software Requirements Specification
软件需求规格
CDB
Center Database
中心数据库
参考资料清单:
参考资料清单
名称
作者
编号
发布日期
查阅地点或渠道
出版单位
1
概述1.1
被测对象概述本文档主要描述彩铃业务的一月份需要开发的国内移动/联通版本的功能需求和设计实现,。
1.2
测试方案概述xxx需求是在各自基础版本基础上进行安全性排查和修改,由于这些功能相对并不是单独的功能点,因此方案除了考虑新增功能实现外,还必须考虑修改的功能是否影响到其他功能点,并对本次补丁的兼容性方面做重点测试。
2
测试需求表1
测试需求跟踪矩阵表
编号
测试特性
2.1.1
安全性排查和修改
3
测试设计测试要点列表:
1、
新功能需求
2、
原始功能需求
3、
新功能与原始功能的整合
3.1
测试对象分析3.1.1
外部环境
3.1.2
内部环境3.2
测试设计策略分析3.2.1
测试内容1、
基本功能及此版本中未修改的原有功能特性需要做验证。
2、
测试设计的思路包括但不限于:按照处理流程,覆盖所有分支;按照输入数据,覆盖输入数据量、数据类型及其组合;按照输出数据,覆盖输出数据量、数据类型及其组合;按照外部接口,覆盖触发条件及其组合;按照外部接口,覆盖返回值及其组合。
3、
覆盖原则:新增的功能特性需要全面测试,原有的基本功能只做功能验证,新增需求有可能影响到的功能特性也全面测试。
3.2.2
测试方法设计时使用等价类和边界值的方法构造输入数据和输出结果,采用的思想,先正常,再等价类、后异常。先考虑该功能的正常情况,再想该功能的可能性进行等价划分,最后通过边界值分析得出一些异常情况。
3.3
详细测试方法公共部分(包括但不限于):
1、
多条记录时需要分页显示。
2、
页面无错别字
3、
当歌曲名,歌手名等采用允许的最长字符时,可以自动换行,不会导致页面变形。
3.3.1
oracle-ds.xml中数据库用户名密码信息明文存储
测试对象分析
oracle-ds.xml中数据库用户名密码信息明文存储。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:oracle-ds.xml、login-config.xml
3)
操作: 检查是否采用jboss加密
4)
结果:oracle-ds.xml数据库用户名密码采用jboss加密。
相关功能验证:
检查点
1)
采用jboss数据加密,在jboss的配置文件login-config.xml文件中设置用户名和密码,在\jboss\server\default\conf\login-config.xml文件中增加一个节点。
2)
rbt运行环境\deploy\oracle-ds.xml文件修改,看不到明文的用户名和密码。
详细测试方法
根据上述因素分析设计用例
3.3.2
uniportal控制台登录界面没有验证码
测试对象分析
uniportal控制台登录界面没有验证码。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:uniportal控制台
3)
操作:登录uniportal控制台
4)
结果:uniportal控制台被屏蔽。
相关功能验证:
检查点
1)
在IE地址栏输入uniportal控制台的地址,页面不显示出uniportal控制台的信息。
详细测试方法
根据上述因素分析设计用例
3.3.3
JBoss控制台登录界面没有验证码
测试对象分析
JBoss控制台登录界面没有验证码。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:JBoss控制台
3)
操作:登录JBoss控制台
4)
结果:JBoss控制台被屏蔽。
相关功能验证:
1.
验证下载音乐盒套餐功能。
检查点
1)
在IE地址栏输入JBoss控制台的地址,页面不显示出JBoss控制台的信息。
详细测试方法
根据上述因素分析设计用例
3.3.4
系统登录页面密码明文传输
测试对象分析
登录页面密码明文传输。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块登录页面
3)
操作:登录各模块
4)
结果:登录时密码使用HTTPS加密传输。
相关功能验证:
1.
验证各模块登录使用HTTPS加密传输。
检查点
1)
验证admin模块登录请求使用HTTPS加密。
2)
验证cs模块登录请求使用HTTPS加密。
3)
验证corp模块登录请求使用HTTPS加密。
4)
验证sp模块登录请求使用HTTPS加密。
5)
验证user模块登录请求使用HTTPS加密。
详细测试方法
根据上述因素分析设计用例
3.3.5
系统修改密码时明文传输
测试对象分析
系统修改密码时明文传输。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块用户
3)
操作:各模块用户进行密码修改操作
4)
结果:各模块用户在进行密码操作时采用HTTPS加密。
相关功能验证:
1.
验证各模块用户在进行密码操作时采用HTTPS加密。
检查点
1)
验证admin管理员修改密码采用HTTPS加密传输。
2)
验证admin管理员新增SP管理员帐号时密码采用HTTPS加密传输。
3)
验证admin管理员修改SP管理员帐号时密码采用HTTPS加密传输。
4)
验证admin管理员新增客服帐号时密码采用HTTPS加密传输。
5)
验证admin管理员修改客服帐号时密码采用HTTPS加密传输。
6)
验证admin管理员新增SMP帐号时密码采用HTTPS加密传输。
7)
验证admin管理员修改SMP帐号时密码采用HTTPS加密传输。
8)
验证admin管理员新增管理员帐号时密码采用HTTPS加密传输。
9)
验证admin管理员修改管理员帐号时密码采用HTTPS加密传输。
10)
验证客服修改密码时采用HTTPS加密传输。
11)
验证客服开户时采用HTTPS加密传输。
12)
验证集团管理员修改密码时采用HTTPS加密传输。
13)
验证cs客服代集团操作修改密码时采用HTTPS加密传输。
14)
验证SP管理员修改密码时采用HTTPS加密传输。
15)
验证user用户用户修改密码时采用HTTPS加密传输。
详细测试方法
根据上述因素分析设计用例
3.3.6
系统登录错误时,用户名错误和密码错误提示不同,容易被猜测出合法用户名
测试对象分析
系统登录错误时,用户名错误和密码错误提示不同,容易被猜测出合法用户名。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块登录界面
3)
操作:各模块用户登录错误
4)
结果:各模块用户登录错误时,提示最小化。
相关功能验证:
1.
验证各模块用户登录错误时,提示最小化。
检查点
1)
验证admin管理员登录失败后提示信息最小化。
2)
验证客服登录失败后提示信息最小化。
3)
验证集团管理员登录失败后提示信息最小化。
4)
验证SP管理员登录失败后提示信息最小化。
5)
验证User用户登录失败后提示信息最小化。
详细测试方法
根据上述因素分析设计用例
3.3.7
用户会话未更新,可能被操纵
测试对象分析
用户会话未更新,可能被操纵。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块登录界面
3)
操作:各模块用户登录
4)
结果:各模块用户登录后会话更新。
相关功能验证:
1.
验证各模块用户登录后会话更新。
检查点
1)
验证admin模块用户登录后会话更新。
2)
验证cs模块用户登录后会话更新。
3)
验证corp模块用户登录后会话更新。
4)
验证sp模块用户登录后会话更新。
5)
验证user模块用户登录后会话更新。
详细测试方法
根据上述因素分析设计用例
3.3.8
修改密码时,密码错误最大次数限制
测试对象分析
修改密码时,密码错误最大次数限制。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块修改密码功能
3)
操作:各模块用户修改密码
4)
结果:各模块用户修改密码错误有最大次数限制。
相关功能验证:
1.
验证各模块用户修改密码错误有最大次数限制。
检查点
1)
验证admin管理员修改密码错误次数限制成功。
2)
验证客服修改密码错误次数限制成功。
3)
验证集团管理员修改密码错误次数限制成功。
4)
验证SP管理员修改密码错误次数限制成功。
5)
验证User用户修改密码错误次数限制成功。
详细测试方法
根据上述因素分析设计用例
3.3.9
注销后会话未失效
测试对象分析
注销后会话未失效。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块用户
3)
操作:各模块用户注销
4)
结果:各模块用户退出系统,会话失效。
相关功能验证:
1.
验证各模块用户退出系统,会话失效。
检查点
1)
验证admin模块帐号注销后会话失效。
2)
验证cs模块帐号注销后会话失效。
3)
验证corp模块帐号注销后会话失效。
4)
验证sp模块帐号注销后会话失效。
5)
验证user模块帐号注销后会话失效。
详细测试方法
根据上述因素分析设计用例
3.3.10
初始化RBT以及USDP配置项的条数修改
测试对象分析
初始化RBT以及USDP配置项的条数修改。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象:USDP、RBT
3)
操作:启动USDP、RBT
4)
结果:RBT和USDP的t_config表的数据改为1000条。
相关功能验证:
检查点
1)
验证初始化RBT以及USDP配置项的条数修改为1000。
详细测试方法
根据上述因素分析设计用例
3.3.11
潜在文件上传
测试对象分析
检查RBT端对上传文件后缀的判断
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各个模块
3)
操作:上传铃音和文件
4)
结果:系统正确对铃音和文件后缀进行校验。
相关功能验证:
检查点
检查ADMIN模块潜在文件上传
1)
检查ADMIN模块信息维护>IVR铃音分类维护中,新增时前台/后台对中文提示音和英文提示音后缀为校验;
2)
检查ADMIN模块信息维护>IVR铃音分类维护中,修改时前台/后台对中文提示音和英文提示音后缀为校验;
3)
检查ADMIN模块信息维护>批量下载设置,前台后台对用户号码文件后缀校验;
4)
检查ADMIN模块信息维护>铃音包月套餐,新增铃音包月套餐时前台后台对中文提示音和英文提示音文件后缀校验;
5)
检查ADMIN模块信息维护>批量新增铃音包月套餐,批量新增铃音包月套餐时前台后台对包月套餐文件后缀校验;
6)
检查ADMIN模块信息维护>批量开通会员,新增时前台后台对散号号码文件后缀校验;
检查SP模块潜在文件上传
1)
检查SP模块SP信息维护>12530XYZ铃音管理中,新增铃音目录时前台/后台对中文提示音和英文提示音后缀为校验;
2)
检查SP模块铃音信息维护>上载新铃音中,前台/后台对歌词、WEB试听铃音问价和AIP播放文件后缀校验;
3)
检查SP模块铃音信息维护>铃音维护中修改铃音歌词时,前台/后台对歌词后缀校验;
4)
检查SP模块铃音信息维护>批量上传中,前台/后台对批量上传铃音文件和铃音列表信息文件后缀校验;
5)
检查SP模块铃音信息维护>音乐盒管理,修改音乐盒信息前台/后台对中午提示音和英文提示音后缀校验;
6)
检查SP模块铃音信息维护>上载音乐盒,前台/后台对中午提示音和英文提示音后缀校验;
7)
检查SP模块铃音信息维护>上传DIY,前台/后台对WEB试听铃音问价和AIP播放文件后缀校验;
检查CS模块潜在文件上传
1)
检查CS模块开销户>批量开户,前台/后台对批量开户文件后缀为校验;
2)
检查CS模块开销户>批量销户,前台/后台对批量销户文件后缀为校验;
检查CORP模块潜在文件上传
1)
检查CORP模块信息管理>批量增加集团成员,前台/后台对批量上传文件后缀为校验;
2)
检查CORP模块铃音维护>新增铃音,前台/后台对AIP播放文件后缀为校验;
详细测试方法
根据上述因素分析设计用例
3.3.12
验证码多次有效用户可能被暴力破解
测试对象分析
检查验证码使用次数
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各个模块用户
2)
操作对象:模块登陆页面验证码
3)
操作:使用WebScarab测试模块验证码
4)
结果:各个模块验证码不能多次使用。
相关功能验证:
检查点
1)
检查USER模块验证码不能多次使用;
2)
检查SP模块验证码不能多次使用;
3)
检查ADMIN模块验证码不能多次使用;
4)
检查CS模块验证码不能多次使用;
5)
检查CORP模块验证码不能多次使用。
详细测试方法
根据上述因素分析设计用例
3.3.13
验证码强度过低,容易被破解
测试对象分析
初检查各个模块登陆页面验证码强度。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各个模块用户
2)
操作对象:各个模块登陆页面
3)
操作:检登陆页面验证码强度
4)
结果:才有CBB验证码机制。
相关功能验证:
检查点
1)
检查USER模块验证码使用CBB机制;
2)
检查SP模块验证码使用CBB机制;
3)
检查ADMIN模块验证码使用CBB机制;
4)
检查CS模块验证码使用CBB机制;
5)
检查CORP模块验证码使用CBB机制。
详细测试方法
根据上述因素分析设计用例
3.3.14
错误提示可能导致信息泄露
测试对象分析
测试各个模块错误提示信息。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各个模块用户
2)
操作对象:各个模块
3)
操作:检查错误提示信息
4)
结果:系统异常时,提示信息显示正确。
相关功能验证:
检查点
1)
检查USER模块系统异常时,提示信息显示正确;
2)
检查ADMIN模块系统异常时,提示信息显示正确;
3)
检查SP模块系统异常时,提示信息显示正确;
4)
检查CS模块系统异常时,提示信息显示正确;
5)
检查CORP模块系统异常时,提示信息显示正确。
详细测试方法
根据上述因素分析设计用例
3.3.15
检查url跨站漏洞
测试对象分析
检查各个模块的url跨站漏洞
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:各模块用户
2)
操作对象:各模块
3)
操作:检查模块url跨站漏洞
4)
结果:页面错误时,正确显示新增的错误页面。
相关功能验证:
检查点
1)
检查USER模块页面错误显示新增页面:你访问的页面已经更名或迁移;
2)
检查ADMIN模块页面错误显示新增页面:你访问的页面已经更名或迁移;
3)
检查SP模块页面错误显示新增页面:你访问的页面已经更名或迁移;
4)
检查CS模块页面错误显示新增页面:你访问的页面已经更名或迁移;
5)
检查CORP模块页面错误显示新增页面:你访问的页面已经更名或迁移。
详细测试方法
根据上述因素分析设计用例
3.3.16
越权访问
测试对象分析
检查SP模块确权访问。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:SP管理员
2)
操作对象:SP模块
3)
操作:在ie中输入越权url
4)
结果:SP不能正常访问页面。
相关功能验证:
检查点
1)
检查SP越权上传普通铃音;
2)
检查SP越权上传音乐盒;
3)
检查SP越权上传diy铃音;
4)
检查SP越权批量上传铃音。
详细测试方法
根据上述因素分析设计用例
3.3.17
规范RBT版本中的logo、注释字样
测试对象分析
检查RBT版本中的logo和注释字样。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:管理员
2)
操作对象: RBT数据库和RBT环境
3)
操作:检查数据库信息和Portal
4)
结果:数据库configvalue和RBT页面没有不符合该局点字样及logo。
相关功能验证:
检查点
1)
执行select * from t_config a where a.configvalue like ‘联通’,查询value不包括联通字样;
2)
执行select * from t_config a where a.configvalue like ‘电信’,查询value不包括电信字样;
3)
执行select * from t_config a where a.configvalue like ‘炫铃’,查询value不包括炫铃字样;
4)
检查USER模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
5)
检查CORP模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
6)
检查SP模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
7)
检查CS模块未包含联通、电信、炫铃等不符合该局点的logo或字样;
8)
检查ADMIN模块未包含联通、电信、炫铃等不符合该局点的logo或字样。
详细测试方法
根据上述因素分析设计用例
3.3.18
DIY,SP上传,Corp上传,Admin上传铃音模块内存泄露问题
测试对象分析
DIY,SP上传,Corp上传,Admin上传铃音模块内存泄露问题。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:系统用户
2)
操作对象:各个模块上传功能
3)
操作:上传铃音
4)
结果:未导致内存泄露。
相关功能验证:
检查点
检查ADMIN模块潜在文件上传
7)
检查ADMIN模块信息维护>IVR铃音分类维护中内存泄露;
8)
检查ADMIN模块信息维护>IVR铃音分类维护中内存泄露;
9)
检查ADMIN模块信息维护>批量下载设置内存泄露;
10)
检查ADMIN模块信息维护>铃音包月套餐内存泄露;
11)
检查ADMIN模块信息维护>批量新增铃音包月套餐内存泄露;
8)
检查ADMIN模块信息维护>批量开通会员内存泄露检查SP模块SP信息维护>12530XYZ铃音管理中内存泄露;
9)
检查SP模块铃音信息维护>上载新铃音中内存泄露;
10)
检查SP模块铃音信息维护>铃音维护中修改铃音歌词时内存泄露;
11)
检查SP模块铃音信息维护>批量上传中内存泄露;
12)
检查SP模块铃音信息维护>音乐盒管理内存泄露;
13)
检查SP模块铃音信息维护>上载音乐盒内存泄露;
14)
检查SP模块铃音信息维护>上传DIY内存泄露;
检查CS模块潜在文件上传
3)
检查CS模块开销户>批量开户内存泄露;
4)
检查CS模块开销户>批量销户内存泄露;
检查CORP模块潜在文件上传
3)
检查CORP模块信息管理>批量增加集团成员内存泄露;
4)
检查CORP模块铃音维护>新增铃音内存泄露;
详细测试方法
根据上述因素分析设计用例
3.3.19
加载铃音信息导致内存泄露问题
测试对象分析
检查SP模块确权访问。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:用户
2)
操作对象:Portal打印日志
3)
操作:在日志文件中查找加载铃音日志
4)
结果:不能查到相应的日志信息。
相关功能验证:
检查点
1)
检查Portal日志中未打印Query normal tone infos failed, the usdp return is信息。
详细测试方法
根据上述因素分析设计用例
3.3.20
不安全的HTTP方法
测试对象分析
检查不安全的HTTP方法。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:用户
2)
操作对象:Portal
3)
操作:检查不安全的HTTP方法
4)
结果:不安全的HTTP方法被禁用。
相关功能验证:
检查点
1)
检查开放HTTP方法测试;
2)
检查HTTP PUT方法;
3)
检查HTTP DELETE方法;
4)
检查HTTP TRACE方法;
5)
检查HTTP MOVE方法;
6)
检查HTTP COPY方法。
详细测试方法
根据上述因素分析设计用例
3.3.21
鉴权不充分
测试对象分析
检查鉴权不充分。
测试策略分析
因素分析,要考虑如下因素的组合作为输入条件:
1)
操作方:USER用户
2)
操作对象:USER模块
3)
操作:在ie中输入相应的URL
4)
结果:USER用户鉴权充分。
相关功能验证:
检查点
1)
检查USER用户的DIY鉴权;
2)
检查USER用户删除DIY铃音鉴权。
详细测试方法
根据上述因素分析设计用例
3.3.22
其他功能利用工具AppScan扫描测试SQL盲注漏洞
SDV.func.023基于DOM的XSS跨站 SDV.func.024跨站漏洞XSS
SDV.func.025跨站请求伪造CSRF
SDV.func.026电子daoqie
SDV.func.027HTML注释泄密
SDV.func.028
3.4
自动化测试设计无
3.5
测试规程设计
3.6
测试组网分析
3.7
测试环境分析
3.7.1
测试环境设备短信网关 SMSG、智能网SMP、BOSS均使用模拟桩进行测试
3.7.2
测量仪器和仪表无
3.7.3
测试器件和材料无
3.7.4
测试工具ISMG
3.7.5
其它需求无
4
附录