长沙较好的软件测试培训学校

长沙较好的软件测试培训学校，长沙牛耳教育以提供职业技能培训与就业实训为核心，为国内、外企业输送合格艺术人才，学院目前开设的专业有JAVA、.NET、测试、PHP、C/C++、前端与移动开发、H5+全栈工程师、软件测试、网页设计、UI设计、室内设计、软装设计、服务外包人才培养等业务，现已成为近千家企业的人才培养基地。

软件测试的会话管理测试

会话管理测试的主要内容如下：

身份信息识别方式测试。

Cookie存储方式测试。

用户注销、退出测试。

注销后会话信息是否清除测试。

会话超时测试。

(1)身份信息识别方式测试。

身份信息识别方式测试主要是测试系统通过什么方式来识别用户身份信息。在Web系统中一般有多种不同角色的用户，不同的用户拥有的权限也不同，用户的身份识别变得非常重要。

测试时需要注意在提交GET或POST请求时，不能有身份信息相关的数据或信息存在，否则系统存在漏洞。

测试步骤如下：

步骤1：登录Web系统。

步骤2：使用工具(WebScarab)对HTTP的GET和POST请求进行拦截。

步骤3：进入登录请求，并分析拦截工具截获的请求报文件。

步骤4：截获的请求中不应该包括与用户身份信息相关的数据，如果发现存在用户身份信息相关的数据，可以将用户身份信息进行修改，再次提交时，如果服务器端是以修改后的身份进行操作，则说明系统存在漏洞。

用户的身份信息不能通过客户端来提交，而是通过服务器的会话管理来保存。

(2)Cookie存储方式测试。

某些Web应用将SessionID放到了URL中进行传输，这样攻击者能够诱使被攻击者访问特定的资源(如图片)。在被攻击者查看资源时获取该SessionID(在HTTP协议的Referer标题头中携带了来源地址)，从而导致身份盗用。

测试时应该测试不同的业务应用，观察URL的内容，确保URL中不出现SessionID信息(可能是SID、JSessionID等形式)。

(3)用户注销、退出测试。

用户注销、退出测试主要测试用户登录后，系统的所有页面中是否存在正确的“退出”或“注销”按钮或链接。

(4)注销后会话信息是否清除测试。

确保注销后会话信息是否被清除，是否能继续访问注销之前(也即登录之后)才能访问的页面。

测试步骤如下：

步骤1：使用工具(WebScarab)对HTTP的GET和POST请求进行拦截。启动WebScarab工具前，打开浏览器中的“Internet选项”对话框，在“连接”选项卡中单击“局域网设置”按钮，弹出如图12-17所示对话框。将其中地址设置为localhost，端口设置为8008。

步骤2：登录Web系统。

步骤3：在Web系统中进行一些操作(如添加用户信息)，这样WebScarab工具就会将GET和POST请求拦截并记录下来。

步骤4：注销或退出Web系统。

步骤5：在WebScarab工具中选中步骤3的URL，重新发送请求。

步骤6：查看返回的结果。

返回的结果应该为HTTP/1.1 302 Moved Temporarily，即不能够访问只有登录才能访问的页面。

(5)会话超时测试。

会话超时是指当浏览器窗口闲置超时时，是否需要重新登录的机制。测试时使用一个正确的账号进行登录，成功登录之后，将浏览器闲置一段时间(可以查看xml文件中的session-timeout参数值，该值表示会话的超时时间)。当闲置超过这个时间值时，系统提示需要重新登录。