某大型披萨加工和销售商为了有效管理披萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。
【问题1】(6分)
设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以
采用哪些技术手段防止此类攻击。
【问题2】(3分)
简述图形测试的主要检查点。
【问题3】 (5分)
简述页面测试的主要方面。
【问题4】 (6分)
系统实现时,对销售订单的更新所用的SQL语句如下:
PreparedStatement pStmt = connection,prepareStatementC(“UPDATE SalesOrder SET
status=WHERE OrderID=;”);
然后通过setString(...);的方式设置参数值后加以执行。
设计测试用例以测试SQL注入,并说明该实现是否能防止SQL注入。
正确答案及解析
正确答案
解析
【问题1】:
用例1:<script>alert('dddd')</script>
用例2:< IMG SRC="javascrip\r
\nt:alert('XSS');" > 或<b onmouseover=alert('dddd')>click me</b>
防御XSS攻击方法:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
防御规则:
1.不要在允许位置插入不可信数据
2.在向HTML元素内容插入不可信数据前对HTML解码
3.在向HTML常见属性插入不可信数据前进行属性解码
4.在向HTML JavaScript DATA Values插入不可信数据前,进行JavaScript解码
5.在像HTML样式属性插入不可信数据前,进行CSS解码
6.在向HTML URL属性插入不可信数据前,进行URL解码
【问题2】:
图形测试主要检查点:
?颜色饱和度和对比度是否合适
?需要突出的链接的颜色是否容易识别
?是否正确加载所有的图像
【问题3】:
?页面的一致性如何
?在每个页面上是否设计友好的用户界面和直观的导航系统
?是否考虑多种浏览器的需要
?是否建立了页面文件的命名体系
?是否充分考虑了合适的页面布局技术,如层叠样式表、表格和帧结构等
【 问题4】:
能防止SQL注入
Pstmt.setString('1' or '1' = '1'--,status)
Pstmt.setString('2' or '1' = '1',orderID)
包含此试题的试卷
你可能感兴趣的试题
-
- A.V(S2)和P(S4)
- B.P(S2)和V(S4)
- C.P(S2)和P(S4)
- D.V(S2)和V(S4)
- 查看答案
-
- A.V(S1)P(S2)和V(S3)
- B.P(S1)V(S2)和V(S3)
- C.V(S1)V(S2)和V(S3)
- D.P(S1)P(S2)和V(S3)
- 查看答案
-
- A.P(S4)和V(S4)V(S5)
- B.V(S5)和P(S4)P(S5)
- C.V(S3)和V(S4)V(S5)
- D.P(S3)和P(S4)V(P5)
- 查看答案
-
- A.P(S3)和V(S4)V(S5)
- B.V(S3)和P(S4)P(S5)
- C.P(S3)和P(S4)P(S5)
- D.V(S3)和V(S4)V(S5)
- 查看答案
-
- A.P(S2)和P(S4)
- B.P(S2)和V(S4)
- C.V(S2)和P(S4)
- D.V(S2)和V(S4)
- 查看答案