本文章转载于搜狗测试
无论是web系统还是客户端程序,登录功能无处不在,那么针对登录功能,我们都需要考虑哪些测试点呢?
登录功能的界面检查
登录界面的展示,包括嵌入页面、页面浮层、对话框等。
界面布局的检查,包括对齐方式、文字显示、登录过程。
各控件的初始状态,包括各种属性、UI显示、默认焦点位置、Tab键切换、文本框默认提示文字等。
登录窗口大小发生变化。
当前系统的分辨率和DPI发生变化。
登录功能的正确性检查
不输入任何信息,点击登录按钮或按Enter键。
输入正确的用户名,空的密码,进行登录。
输入空的用户名,正确的密码,进行登录。
输入正确的用户名,错误的密码,进行登录。
输入错误的用户名、正确的密码,进行登录。
输入错误的用户名、错误的密码,进行登录。
输入正确的用户名、正确的密码,进行登录。
登录功能的安全性检查
是否存在注入式sql攻击漏洞。
是否存在XSS攻击漏洞。
登录密码的复杂度。
登录密码是否可见。
密码是否有过期策略。
针对密码的传输和存储是否加密。
系统日志是否记录明文密码。
失败登录次数限制,防止暴力破解。
失败登录的处理功能,提示的内容不要过于详细。
输入框中的密码内容是否支持复制或者鼠标拖拽。
退出登录后,所有的授权标记是否被删除。
是否有验证码,及验证码的失效时间。
是否有其他页面可以绕过登录页面进行访问。
页面是否有超时机制。
存储的cookie中是否保存用户名和密码,是否有加密。
对于安全性较高的系统,建议使用https。
注册用户时是否可以以'--,' or 1=1 --等做为用户名。
密码输入错误后,是否自动清空。
登录方式,如指纹、二维码、人脸识别、账号+密码等。
登录状态失效时机,网络切换、标签页关闭或刷新、切换浏览器内核、登录IP发生变化等。
是否允许同一账号在多设备上登录。
服务端对登录信息的校验方式,账号+密码、其他信息(IP、时间、设备、验证码等)、账号+密码+其他信息。
登录功能的性能测试
登录的响应时间。
页面显示时间。
资源占用。
