某大型匹萨加工和销售商为了有效管理匹萨生产和销售情况,欲开发一套基于Web信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据提交与交互,使用图形(Graphics)以提升展示效果。
1、设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。
XSS(跨站点脚本攻击)是一种注入式攻击,主要通过恶意脚本进行攻击,任何脚本如<SCRIPT>都不该被接受。
(1)<script>alert('Wufff!')</script>
(2)<b onmouseover=alert('Wufff!')>click me!</b>
防止主要手段是对功能符号进行编码(转义)。
【解析】
本题考查Web应用测试相关知识及应用。Web应用测试除了类似传统软件系统测试性能测试、压力测试等之外,还需要测试页面、链接、浏览器、表单和可用性等,由于Web应用部署访问大众化特点,对安全性尤其要重视。
此类题目要求考生阅读题目对现实问题描述,根据对问题分析,回答测试有关问题。本题目说明中除了功能背景之外,给出了几个技术点,即采用Java EE平台,页面中采用表单实现数据提交与交互,使用图形(Graphics)以提升展示效果。
第一小题考查Web应用安全性测试XSS攻击。
XSS攻击测试是Web应用安全性测试主要内容之一。
许多Web应用系统在某些情况下,接收页面上传内容,并入新页面,作为新页面内容。例如,在新闻网用户可以对新闻进行评论,用户可以输入如下带有HTML标记内容:
<Script>alert("Hello World!"); </Script>
在用户提交之后,标记将提交到服务器上,并在有新用户访问新页面中显示,此时用户所看到网页中包含以上标记部分元素可能是:
<div>
