软件测试2021:第二次作业——人工网站测试
从功能、性能、安全三个方面进行测试,在南通大学官网及其子网找到以下几个问题
功能问题:
1.某站点搜索页面失效
-
基本信息
网址:某学院
浏览器:chrome
-
描述
-
原因分析
网站是2010年的,结构可能发生变化。后端数据库都不一定有了,前端还留着搜索框
同时里面有在线答疑功能,具体也失效了,这里不演示了
2.某子站图片当按钮
-
基本信息
网址:财务处
浏览器:chrome
-
描述
-
原因分析
可能是忘了加点击事件,但是6个功能和下面投诉信箱均无法点击,可能不是忘了
大胆猜测一波,是网上找了一套图案,放这比较好看
性能问题:
1.主站搜索慢
-
基本信息
网址:webpluspro
浏览器:chrome
-
描述
经测试,仅标题搜索,平均耗时两秒
全文搜索更是要花5秒左右
2.选课时进不去系统
-
基本信息
网址:教务系统
浏览器:chrome
-
描述
选课时卡顿,各种403,502。不支持这么多人高并发?人也没多少啊)
安全问题:
1.子站存在xss漏洞
-
基本信息
网站:南通大学校园网络电视
浏览器:chrome
测试平台:随便一个xss平台
-
测试流程
评论区输入xss测试代码:
<script> alert("hack") </script>
无显示输入内容,代表成功。
刷新网页,点入评论区:
成功xss。
测试网站(可以点击进去看看评论区)
尝试返回cookie到指定服务器
可以看到一旦访问评论区,会将当前的cookie中的JSESSIONID返回到指定服务器。
从而完成账号的窃取。
为了安全,这里就不放出具体地址了。
-
原因分析
没对评论区的字符过滤,同时没采取xss的防御,网站能直接调用外部链接。
测试完成后发现评论无法删除,但是该网站大部分视频都是很久之前的了,现在已经无法正常访问。