件在社會生產生活等諸多方面均有廣泛應用，給人們創造了很多便利條件,在未來其將會有更寬闊的發展前景。軟件質量安全是社會公眾高度重視的問題，合理應用軟件測試技術有很大現實意義。這在無形中對軟件測試技術提出了更多、更高的要求，故而實踐中應采用宜的方法提升軟件測試的實際工作質效，進而使軟件安全、高質量應用有更大的保障，造福人類社會。

一、不同系統內軟件測試技術的應用

1.嵌入式系統

嵌入式軟件是一種比較特殊的軟件，軟件經過分析、設計、編碼后只有融入硬件環境中才可以看見，比如數字電視的中間件軟件，洗衣機的自動控制軟件，手機游戲軟件等等。

嵌入式系統最大的特點是有效結合微型處理器的系統電路及運行軟件，進而提升系統的運行效率。該系統的功能主要是管理計算機外部設備，對該系統進行測試的目的主要是使系統應用過程中能將傳統硬件取代，進而減少使用費用的投入，幫助用戶獲得更好的體驗。通常情況下，嵌入式系統測試過程中，對系統自身的可靠性提出了較高的要求，若其自身的安全性很低，系統很容易被直接破壞，以致用戶承受較大的經濟損失。嵌入式系統軟件測試與

開發過程有很大的相似點，測試過程等同于系統功能實現的過程，-定要嚴格遵守設計方法與理論指導原則，進而更好地實現項目的綜合要求，且整個系統軟件測試過程中，應結合多個方面分析測試實施計劃的可行性與測試結果的有效性。針對一個系統軟件設計得是否成功，可以將其處理實際問題的能力作為評判標準。. -個良好的測試實施計劃是專業測試活動開展的基礎，只有這樣才能提升系統內軟件測試效率。

嵌入式一般還具有以下特點：

（1）入式軟件測試是在特定的硬件環境下才能運行的軟件。

（2）嵌入式軟件測試除了要保證嵌入式軟件在特定環境下運行的高可靠性，還要保證嵌（3）入式軟件系統的實時性。

（4）嵌入式軟件產品為了滿足高可靠性的要求，不允許內存在運行時有泄漏等情況發生，（5）因此嵌入式軟件測試除了對軟件進行性能測試、GUI測試、覆蓋分析測試是同普通（6）軟件測試一樣都不可或缺之外，還要對內存進行測試。

（7）嵌入式產品不同于一般軟件產品，在嵌入式軟件和硬件集成測試完成之后，并不代表測試全部完成，在第一件嵌入式產品生產出來之后，還需對其進行產品測試。

(8)嵌入式軟件測試的最終目的是使嵌入式產品在能夠滿足所有功能的同時安全可靠地進行。

2.收錄管理系統

收錄管理系統內不同模塊之間的接口與數據通信關聯性較多，要先梳理以 上情況，這樣才能使軟件測試過程中模塊檢測工作能順利推進。通常采用如下流程對系統軟件進行測試分析:

首先對系統進行模塊測試:其次結合測試結果對系統進行集成處理;最后對系統開展軟件測試只有這樣才能抓住測試工作中的主要內容,并編制-個完善度高、針對性較強的測試執行方式，確保系統測試活動能順利、有效推進。系統軟件測試的目標主要集中在核實、處置系統數據等方面上，借此方式確保系統數據能和相關業務規范相吻合;兼容性測試及測試操作系統及軟件的兼容性，其中主要包括Windows7和WindowsXP等系統類型,后者主要是集中調度模塊，檢查并判斷收錄模塊是否能夠兼容到另一個設備內， 進行科學、有效地確認。安全性測試即檢測應用程序及系統級別的安穩性。前者主要是測試有加密的收錄服務,后者執行的工作內容主要是設置系統用戶的權限，這是驗證BS界面內權限的有效方法之一-，在此基礎上針對一些較重要的模塊設置只有管理員進入的權限。針對本次軟件測試中發現的缺陷部分，采用流程定義方式，測試人員如果探查到Bug,就還會把相關信息直接反饋卡給研發人員，研發人員于管理員系統內新創建一個文件， 隨后將bug呈遞給項目經理，經理重新派送bug,組織研發人員、對其進行處置及整改.修整后測試員對其進行測試檢測，通過測試后直接閉臺,若測試未通過，則返送給研發人員再進行優化。

3.web系統

[1]訪問性能測試

因為Web系統采用的是C/B模式，故而其性能檢測具有很大必要性，可以將掛載Web系統的服務端作為重點測試對象，測試實際訪問量，檢測系統對大數據的處理能力。服務端的性能測試是系統測試工作的主要內容之一，Web系統運行過程中-定要能承受住大量用戶的同時訪問行為，且在多用戶同步訪問的情境下響應速率也不能過慢。在執行該項測試工作時，通常應用軟件模擬訪問Web系統，檢測系統的并發訪問狀況。

[2]安全性測試

Web系統內承載著大量的用戶信息，用戶重要信息- -旦泄露, 可能會折損其社會形象，甚至對個人財產安全構成威脅，故而應積極做好系統安全性檢

測，進而使用戶信息安全得到保障。Web系統身處復雜的網絡環境內，易遭受到網絡的攻擊,系統若在設計方面存有漏洞，則很可能被攻擊者使用，釀成嚴重后果。Web系統的安全性主要表現在如下兩個方面。

(1)信息傳遞:信息以網絡為載體抵達服務器，故而需傳遞的信息要進行加密處理，合理應用加密算法是重要的一個步驟， 其中數據加密是常用的加密技術類型，測試是在密碼未知的試驗條件下進行硬性解密。

(2)信息存儲:服務器是計算機系統存儲信息的主要場所，一定要 確保服務器數據庫訪問過程的安全性，及時屏蔽排除系統應用之外的所有訪問形式。測試過程中遵循的原則是采用所有可能出現的形式去訪問數據庫，確保整個訪問過程順利運行。

[3]兼容性測試

當Web系統被發布到網絡上以后，廣大用戶采用的操作系統類型可能會有一定差異， 但一定要確保用戶通過不同操作系統方位Web時所得的信息是相同的，也要確保Web系統在不同操作系統均能正常運作。系統兼容性測試較簡單僅需要應用不同操作系統執行系統訪問過程，確保試驗中Web系統能正常運作即可。瀏覽器為Web客戶端的核心構件，重點是第腳本、ActiveX控件、 HTML及 頁面上的媒體文件是否能直接播放等進行兼容性測試。在以

上過程中要注意評估瀏覽器的后退、刷新按鈕等是否會影響功能等。

二、發展趨勢

在互聯網時代中，我國軟件行業獲得更大的發展，在測試方面提出更多、更大的需求, 外加測試過程的智能水平顯著提升,自動化測試將傳統手工測試模式取而代之，-方面顯著提升了實際測試工作效率，另一方面減輕了測試人員的工作壓力,有效解放了生產力，這樣測試人員能將更多的時間、精力投放在系統性能優化等方面。軟件行業在后續發展過程中，人工測試形式將逐漸減少至消失，自動化軟件測試模式日益盛行，軟件測試將在智能化發展

道路上獲得更大的發展，測試效率也將會抵達更高的層次。此外.軟件測試積極與產品開發過程相融合，由此將會演變成一種特殊的測試方法。未來軟件開發與測試過程不再是十分簡易的串聯關系，測試將會和開發全過程并行。

免責聲明：1、文章文字與圖片來源網絡，如有問題請及時聯系我們。2、涉及轉載的所有文章、圖片、音頻視頻文件等資料，版權歸版權所有人所有。3、本文章內容如無意中侵犯了媒體或個人的知識產權，請聯系我們立即刪除

么是XSS跨站攻擊

CSS（Cross Site Script），又叫XSS跨站腳本攻擊。它指的是惡意攻擊者往Web頁面的HTML代碼中插入惡意的ActiveX、HTML、JavaScript、Flash或VBScript腳本，當用戶訪問該頁之時，嵌入Web里面的代碼會被執行，竊取過此用戶信息、改變其設置、破壞用戶數據，從而達到惡意攻擊用戶的特殊目的。

XSS在多數情況下對web程序和服務器的運行不會造成影響，但嚴重威脅了客戶端的安全，主要源于服務器對用戶提交的數據過濾不完整。

跨站腳本攻擊屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性?，F在為了規避風險且節約安全檢測成本，一般企業會選擇聯系具備資質的IDC服務器提供商購買或租用云WAF或高防IP服務，能夠從根源上阻攔所有的web攻擊（包括XSS跨站腳本攻擊）。

盡管XSS劫持是一種不容易被web設計者重視的攻擊方式，單XSS代碼甚至不符合圖靈完備的語言，但因為引發攻擊的方式并不困難（不需要依賴JavaScript），攻擊者可以利用XSS作為工具記錄用戶的密碼等信息，因此也會被黑客當作攻擊方式的選擇之一。

傳統的XSS跨站利用方式，一般都是由攻擊者先構造一個跨站網頁，然后在另一空間里放一個收集Cookie的頁面，接著結合其它技術讓用戶打開跨站頁面以盜取用戶的Cookie，以便進一步的攻擊。

對于這種方式而言，即便攻擊者收集到了Cookie，也未必能進一步滲透進去，畢竟隨著網絡安全意識的提高，現在多數的Cookie里面的密碼都是經過加密的。如果想要Cookie欺騙的話，同樣也要受到其它的條件的限制。比較成熟的方法是通過跨站構造一個表單，表單的內容則為利用程序的備份功能或者加管理員等功能得到一個高權限。

作為一種HTML注入攻擊，XSS攻擊的核心思想就是在HTML頁面中注入惡意代碼，而XSS采用的注入方式是非常巧妙的。

XSS攻擊一般包括三個核心組成部分：攻擊者、目標服務器、受害者瀏覽器。

在網絡安全意識還遠遠跟不上互聯網發展的時代，有些服務器并不要求對用戶的輸入進行安全方面的驗證，這時攻擊者就可以很容易地通過正常的輸入手段，夾帶進一些惡意的HTML腳本代碼。當受害者的瀏覽器訪問目標服務器上被注入惡意腳本的頁面后，由于它對目標服務器的信任，這段惡意腳本的執行不會受到什么阻礙。而此時，攻擊者的目的就已經達到了。

2018年，谷歌安全工程師Ruslan Habalov在其博客上透露，他分別在火狐和Chrome等瀏覽器上發現了一個可以泄露跨站源框架視覺內容的旁路攻擊。發現此攻擊的同時還有德國的滲透測試工程師和另一名安全研究員。

該漏洞歸因于2016年CSS3 Web標準中引入的名為"mix-blend-mode"的特性，允許Web開發人員將Web組件疊加在一起，并添加控制其交互方式的效果。為展示此漏洞，研究人員造訪了一個惡意網站，發現可以利用跨域iframe獲取用戶的Facebook資料，包括照片和用戶名等信息，整個過程不需要與用戶有額外的互動。

Habalov 在文中解釋稱，在啟用 "mix-blend-mode" 時，攻擊者可以利用 DIV 元素的層疊來覆蓋目標對象的浮動框架（iframe），瀏覽器渲染此一層疊的時間會根據浮動框架內的像素顏色而有所不同，最后在浮動框架中移動該DIV層疊，強迫重新渲染并測量個別的渲染時間，即有可能算出浮動框架的內容。經過測試，大概20秒左右就能拿到用戶的ID，5分鐘左右就能拿到模糊的個人資料和圖片。

據悉，受影響的瀏覽器主要是火狐和Chrome，IE和Microsoft Edge不受影響是因為它們不支持mix-blend-mode，Safari由于采用的是矢量化的實現方式也不受影響。

XSS攻擊樣例：

很多登陸界面都有記住用戶名、密碼的功能,方便用戶下次登錄，有些網站是直接用明文記錄用戶名、密碼。

攻擊者通過賬戶登陸頁面，使用簡單工具查看cookie結構名稱后，如果網站有xss漏洞，那么簡單的利用j5onp就可以獲取其它用戶的用戶名和密碼了。

利用幾句簡單的JavaScript，在用戶瀏覽器執行第三方黑客工程的js文件，獲取了cookie中的用戶密碼并發起一個黑客工程的Http url請求，這樣黑客工程就獲取了用戶的賬號密碼。

這時，用戶自己登錄了論壇，而黑客提供了一個被偽裝的鏈接，一旦點擊該鏈接就會在論壇上發起一個Http url請求，即將表單信息進行提交。

或者說，有這么一個登錄頁面：

一個用戶的賬號為abc，密碼為123，他覺得每次訪問還需要輸入賬號密碼是件非常麻煩的事，因此選擇了保留。F12可以看到Html頁面是這樣的：

如果直接在賬號欄輸入<script>alert("1")</script>，然后輸入一個錯誤的密碼，并沒有執行script代碼，因為返回的html頁面是這樣的：

上圖中那樣的script代碼是不會執行的，因為在input的value中只有獨立的script代碼才會執行。所以要想實現script代碼的執行，就需要進行拼接，將script代碼排到input標簽外。

怎么實現呢？

說白了就是自己拼接，將input標簽進行閉合，然后將script代碼綴在后邊，通過用戶名的輸入，將input拼接成如下，即可實現script代碼的執行：

<input name="userName" class="textcss" id="userName" type="text" value="abc"/><script>alert("1")</script>"/>

因為此時input已經閉合了，所以script代碼會執行，至于拼接后的html文件是有語法錯誤的問題（因為最后剩下一個"/>，這個html是有錯誤的，但是不影響頁面展示和script代碼執行）就可以忽略了。

因此，只需要在用戶名那里輸入abc"/><script>alert("1")</script>，然后輸入一個錯誤的密碼，點擊登錄，就會執行script代碼，彈出彈框。