題

在瀏覽器中瀏覽了網頁之后，下一步就是查看其HTML源代碼。盡管這種方法很簡單，但仍然非常值得去做。查看源代碼有兩項作用；它可以幫助你發現最明顯的安全問題，但最重要的是，它使你能夠為將來的測試建立一個比較基準。對攻擊失敗之前和之后的源代碼進行比較，你就能夠調整你是輸入，了解到哪些通過了，哪些沒有通過，并再次嘗試。

解決方案

我們推薦使用Firefox，你已經在2.1節中學會了它的安裝。首先瀏覽應用中你所感興趣的網頁。

右擊，并選擇“查看源文件”或從菜單欄選擇“查看”→ "源文件"。

我們推薦Firefox的主要原因是因為它的彩色顯示。如圖3-1所示，使用這種顯示方式，HTML標簽和屬性都要容易理解得多。相比之下，Internet Explorer在記事本中打開網頁。就會難讀得多。

討論

作為比較基準，訪問HTML源代碼會非常有幫助。最常見的Web漏洞涉及到向Web應用提供惡意輸入以修改HTML源代碼。在測試這些漏洞時，驗證測試通過或失敗的最簡單的方法就是檢查源代碼是否被惡意更改。

當心一切未經更改就寫進源代碼中的輸入。我們將在第8章討論輸入驗證，然后許多應用根本就不對輸入進行驗證。在開始討論更加復雜的內容之前，不妨在源代碼中搜索你剛剛提供的輸入。然后，使者將可能的危險值作為輸入，比如HTML標簽或JavaScript，并注意它是否未經修改就直接顯示在源代碼中。如果是這樣的話，那么這就是個警示信號。

注意，你可以像搜索任何其他Firefox頁面那樣搜索HTML源代碼（根據具體情況，使用Ctrl+F或（Windows徽標鍵）+F）。

在以后的秘訣和章節中，我們將使用工具來自動搜索、解析和比較源代碼。記住基本要點；通常，可以通過重復地手動檢查源代碼以檢查怎樣做才能使它通過篩選程序或編碼找出漏洞。

注意：你在這里看到的靜態源代碼不能反映JavaScript或AJAX功能所做的任何更改。

搜索微信公眾號：TestingStudio霍格沃茲的干貨都很硬核

融界2024年3月6日消息，據國家知識產權局公告，中國電信股份有限公司取得一項名為“基于JavaScript的惡意網頁檢測方法、設備及計算機可讀存儲介質“，授權公告號CN113971284B，申請日期為2020年7月。

專利摘要顯示，本發明公開涉及基于JavaScript的惡意網頁檢測方法、設備及計算機可讀存儲介質。根據本發明的基于JavaScript的惡意網頁檢測方法，包括：輸入JavaScript代碼；對JavaScript代碼進行混淆判斷；如果判斷JavaScript代碼是混淆JavaScript代碼，則對JavaScript代碼執行基于動態分析的惡意網頁檢測；以及如果判斷JavaScript代碼是非混淆JavaScript代碼，則對JavaScript代碼執行基于靜態分析的惡意網頁檢測。

本文源自金融界

著Internet和Intranet的快速發展，Web技術已經對工商業、醫療業、教育、政府、娛樂以及我們的生活產生了深遠的影響。Web平臺能支持幾乎所有媒體類型的信息發布，容易為最終用戶存取，更多傳統的信息和數據系統正在逐漸遷移到互聯網上：電子商務正迅速增長，范圍廣泛、復雜的云應用和云計算也正在Web環境中出現。基于Web的系統在變得越來越復雜和強大的同時，Web應用軟件的缺陷危機也越來越嚴重。早在1998年Yogesh Deshpande和Steve Hansen就提出了Web工程的概念。Web工程提倡使用一個過程和系統的方法來開發高質量的基于Web的系統。在Web工程中，基于Web系統的測試、確認和驗收是一項重要而富有挑戰性的工作。

Web環境具有瀏覽器平臺不兼容、網絡環境多樣化、應用復雜化等諸多特性，所以，傳統測試方法的某些方面不適用于網絡測試。Web的自動化測試方法包含幾個方面，比如，測試腳本技術、人工測試過程自動化、驗證自動化等等。在測試驅動開發模式中，測試已成為迭代開發過程中起推動作用的環節，但與此同時，大量的重復性的測試代碼卻造成了大量資源的浪費。

隨著自動化測試技術的成熟和自動化測試工具的廣泛應用，人們重新認識到了測試的價值：最優的質量成本，最高的質量保證。自動化測試的優勢在軟件領域很明顯的：減少了測試時間，使測試程序統一化，便于管理，節約了質量保證的成本，提高了測試運行的效率，改善了軟件產品的質量。

現在一般人都有使用瀏覽器瀏覽網頁的經歷，用戶雖然不是專業人員但是對界面效果的印象是很重要的。如果開發人員注重這方面的測試，那么驗證應用程序是否易于使用就非常重要了。很多人認為這是測試中最不重要的部分，但是恰恰相反，界面對不懂技術的客戶來說都是相當關鍵，特別是在簡潔、美觀、易用等方面。

方法上可以根據設計文檔，如果夠專業的話可以由專業美工人員，來確定整體風格，特別是頁面風格。然后根據這個設計好的頁面，生成靜態的HTML、CSS等甚至生成幾套不同的方案來討論，或者交給客戶評審，最后形成統一風格的頁面/框架。

頁面測試的主要頁面元素有：

● 頁面元素的容錯性列表(如輸入框、時間列表或日歷)。

● 頁面元素清單(為實現功能，是否將所需要的元素全部都列出來了，如按鈕、單選按鈕、復選框、列表框、超鏈接、輸入框等等)。

● 頁面元素的容錯性是否存在。 第IV部分 圖形用戶界面測試篇

● 頁面元素的容錯性是否正確。

● 頁面元素的基本功能是否實現(如文字特效、動畫特效、按鈕、超鏈接)。

● 頁面元素的外形、擺放位置(如按鈕、列表框、復選框、輸入框、超鏈接等)。

● 頁面元素是否顯示正確(主要針對文字、圖形、簽章)。

● 元素是否顯示(元素是否存在)。

頁面測試主要包括以下幾個方面的內容：

● 站點地圖和導航條位置是否合理，是否可以導航等。

● 頁面內容布局是否合理，文字是否準確、簡潔，字體和字號是否符合多數讀者習慣。

● 背景/色調是否合理、美觀，是否符合多數用戶審美要求。

● 頁面在窗口中的顯示是否正確、美觀(在調整瀏覽器窗口大小時，屏幕刷新是否正確)，表單樣式 大小、格式是否適宜。

● 是否對提交數據進行驗證(如果在頁面部分進行驗證的話)等。

● 鏈接的形式、位置、是否易于理解等。

對Web應用的測試可以分為頁內測試(IntraPageTest)和跨頁測試(InterPageTest)兩種。頁內測試相當于單元測試，著重于測試單個頁面的行為是否正確。根據模塊化思想，在進行頁面劃分時，一般使每個頁面具有單一、具體的功能，可以直接表達用戶的一個目標。

本章我們主要考慮Web頁內測試的主要方法。

● 人工走查：

①通過頁面走查，瀏覽確定使用的頁面是否符合需求。可以結合兼容性測試不同分辨率下的頁面顯示效果，如果有影響，則應該交給設計人員由他們提出解決方案。

②可以結合數據定義文檔查看表單項的內容、長度等信息。

③對于動態生成的頁面最好也能瀏覽查看。如Servelet部分可以結合編碼規范，進行代碼走查。是否支持中文，如果數據用XML封裝，要做的工作可能會多一點。

● 使用Web頁面測試工具：

工具可以提供很多測試方法，可以用來模擬許多手工操作，如單擊按鈕、給文本框輸入字符或數字、鼠標雙擊事件等，從而實現了測試的自動化。這對于需要輸入大量信息的界面測試來說是十分重要的。

Web頁面測試的基本準則：

符合頁面/界面設計的標準和規范，滿足靈活性、正確性、直觀性、舒適性、實用性、一致性等要求。

直觀性：

①用戶界面是否潔凈、不唐突、不擁擠，界面不應該為用戶制造障礙，所需功能或者期待的響應應該明顯，并在預期的地方出現。

②界面組織和布局合理嗎?是否允許用戶輕松地從一個功能轉到另一個功能?下一步做什么明顯嗎?任何時刻都可以決定放棄或者退回、退出嗎?輸入得到承認了嗎?菜單或者窗口是否深藏不露?

③有多余功能嗎?軟件整體抑或局部是否做得太多?是否因有太多特性而把工作復雜化了?是否感到信息太龐雜?

④如果其他所有努力失敗，幫助系統真能幫忙嗎?

一致性：

①快捷鍵和菜單選項，在Windows中按F1鍵總是得到幫助信息。

②術語和命令，整個軟件使用同樣的術語嗎?特性命名一致嗎?例如，Find是否一直叫Find，而不是有時叫Search?

③軟件是否一直面向同一級別用戶?帶有花哨用戶界面的趣味賀卡程序不應該顯示泄露技術機密的錯誤提示信息。

④按鈕位置和等價的按鍵。大家是否注意到對話框有OK按鈕和Cancel按鈕時，OK按鈕總是在上方或者左方，而Cancel按鈕總是在下方或右方?同樣原因，Cancel按鈕的等價按鍵通常是Esc，而OK按鈕的等價按鈕通常是Enter，要保持一致。

靈活性：

①狀態跳轉，靈活的軟件實現同一任務時通常會有多種選擇方式。

②狀態終止和跳過，具有容錯處理能力。

③數據輸入和輸出，用戶希望有多種方法輸入數據和查看結果。例如，要在寫字板中插入文字，可用鍵盤輸入、粘貼、從6種文件格式讀入、作為對象插入，或者用鼠標從其他程序拖動。

舒適性：

①恰當，軟件外觀和感覺應該與所做的工作和使用者相符。

②錯誤處理，程序應該在用戶執行嚴重錯誤的操作之前提出警告，并允許用戶恢復由于錯誤操作導致丟失的數據。正如大家認為undo /redo功能是理所當然應有的。

③性能，快不見得是好事，要讓用戶看清程序在做什么，它是有反應的。