某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。
1、设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。
XSS(跨站点脚本攻击)是一种注入式攻击,主要通过恶意脚本进行攻击,任何脚本如<SCRIPT>都不该被接受。
(1)<script>alert('Wufff!')</script>
(2)<b onmouseover=alert('Wufff!')>click me!</b>
防止的主要手段是对功能符号进行编码(转义)。
【解析】
本题考查Web应用测试相关知识及应用。Web应用测试除了类似传统软件系统测试的性能测试、压力测试等之外,还需要测试页面、链接、浏览器、表单和可用性等,由于Web应用部署访问的大众化特点,对安全性尤其要重视。
此类题目要求考生阅读题目对现实问题的描述,根据对问题的分析,回答测试有关的问题。本题目说明中除了功能背景之外,给出了几个技术点,即采用Java EE平台,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。
第一小题考查Web应用安全性测试的XSS攻击。
XSS攻击测试是Web应用安全性测试的主要内容之一。
许多Web应用系统在某些情况下,接收页面上传的内容,并入新页面,作为新页面的内容。例如,在新闻网用户可以对新闻进行评论,用户可以输入如下带有HTML标记的内容:
<Script>alert("Hello World!"); </Script>
在用户提交之后,标记将提交到服务器上,并在有新用户访问新的页面中显示,此时用户所看到的网页中包含以上标记的部分元素可能是:
<div>
( )is the process of transforming information so it is unintelligible to anyone but the intended recipient.
As each application module is completed,it undergoes( )to ensure that it operates correctly and reliably.
( )algorithm specifies the way to arrange data in a particular order.
After analyzing the source code,( )generates machine instructions that will carry out the meaning of the program at a later time.
( )can help organizations to better understand the information contained within the data and will also help identify the data that is most important to the business and future business decisions.
浏览器开启无痕浏览模式后,( )依然会被保存下来。
下列协议中,不属于TCP/IP协议簇的是( )。
下列传输介质中,带宽最宽、抗干扰能力最强的是( )。
数控编程常需要用参数来描述需要加工的零件的图形。在平面坐标系内,确定一个点需要2个独立的参数,确定一个正方形需要( )个独立的参数。
某书的页码为1,2,3,...,共用数字900个(一个多位数页码包含多个数字),据此可以推断,该书最大的页码为( )。
