1、问题:没有被验证的输入

  测试方法:

  数据类型(字符串,整型,实数,等)

  允许的字符集

  小和大的长度

  是否允许空输入

  参数是否是必须的

  重复是否允许

  数值范围

  特定的值(枚举型)

  特定的模式(正则表达式)

  2、问题:有问题的访问控制

  测试方法:

  主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址

  例:从一个页面链到另一个页面的间隙可以看到URL地址

  直接输入该地址,可以看到自己没有权限的页面信息,

  3、错误的认证和会话管理

  例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来

  4、缓冲区溢出

  没有加密关键数据

  例:view-source:http地址可以查看源代码