某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用JavaEE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。 1、设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。
XSS(跨站点脚本攻击)是一种注入式攻击,主要通过恶意脚本进行攻击,任何脚本如<SCRIPT>都不该被接受。 (1)<script>alert('Wufff!')</script> (2)<b onmouseover=alert('Wufff!')>click me!</b> 防止的主要手段是对功能符号进行编码(转义)。 【解析】 本题考查Web应用测试相关知识及应用。Web应用测试除了类似传统软件系统测试的性能测试、压力测试等之外,还需要测试页面、链接、浏览器、表单和可用性等,由于Web应用部署访问的大众化特点,对安全性尤其要重视。 此类题目要求考生阅读题目对现实问题的描述,根据对问题的分析,回答测试有关的问题。本题目说明中除了功能背景之外,给出了几个技术点,即采用Java EE平台,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。 第一小题考查Web应用安全性测试的XSS攻击。 XSS攻击测试是Web应用安全性测试的主要内容之一。 许多Web应用系统在某些情况下,接收页面上传的内容,并入新页面,作为新页面的内容。例如,在新闻网用户可以对新闻进行评论,用户可以输入如下带有HTML标记的内容: <Script>alert("Hello World!"); </Script> 在用户提交之后,标记将提交到服务器上,并在有新用户访问新的页面中显示,此时用户所看到的网页中包含以上标记的部分元素可能是: <div>
