冲刺no.3

　　项目:ccsu小助手

　　角色:用户

　　访问连接:http://47.93.57.6:8888/login/

目的(Purpose)

　　首先，站在用户需求的角度对于本次系统进行相应地使用和评估，好比这个登陆界面应该是弹出窗口式的，仍是直接在网页里面。

对用户名的长度，和密码的强度（就是是否是必须多少位，大小写，特殊字符混搭）等。还有好比用户对界面的美观是否是有特殊的

要求？（便是否要进行UI测试）。剩下的就是设计用例了 ，等价类，边界值等等。

总之一点，任何项目，都须要从用户的需求开始。

功能测试(Function test)

      0. 什么都不输入，点击提交按钮，看提示信息。

　　1.输入正确的用户名和密码，点击提交按钮，验证是否能正确登陆。

　　2.输入错误的用户名或者密码, 验证登陆会失败，而且提示相应的错误信息。

　　3.登陆成功后可否可否跳转到正确的页面

　　4.用户名和密码，若是过短或者太长，应该怎么处理

　　5.用户名和密码，中有特殊字符（好比空格），和其余非英文的状况

　　6.记住用户名的功能

　　7.登录失败后，不能记录密码的功能

　　8.用户名和密码先后有空格的处理

      9.密码是否加密显示（星号圆点等）

     10.牵扯到验证码的，还要考虑文字是否扭曲过分致使辨认难度大，考虑颜色（色盲使用者），刷新或换一个按钮是否好用

     11.登陆页面中的注册、忘记密码，登出用另外一账号登录等连接是否正确

     12.输入密码的时候，大写键盘开启的时候要有提示信息。

功能描述(Function description)
        用户根据系统帐号和口令登录ccsu小助手，进行相应的长沙学院首页跳转，执行对应权限的操做功能（目前只有论坛访问功能）。

总结(Summary)

　　经过使用这个网页，进行个人需求比对，发现了些许的不足。登录系统基本功能具有，可是安全性能不够高以及帐号、密码的存储

方式仍需进一步完善。具体能够进行安全性测试的完善：

　　1.登陆成功后生成的Cookie，是不是httponly (不然容易被脚本盗取)

　　2.用户名和密码是否经过加密的方式，发送给Web服务器

　　3.用户名和密码的验证，应该是用服务器端验证， 而不能单单是在客户端用javascript验证

　　4.用户名和密码的输入框，应该屏蔽SQL 注入攻击

　　5.用户名和密码的的输入框，应该禁止输入脚本 （防止XSS攻击）

　　6.错误登录的次数限制（防止暴力破解）

      7. 考虑是否支持多用户在同一机器上登陆；

      8. 考虑一用户在多台机器上登陆