衝刺no.3

　　項目:ccsu小助手

　　角色:用戶

　　訪問連接:http://47.93.57.6:8888/login/

目的(Purpose)

　　首先，站在用戶需求的角度對於本次系統進行相應地使用和評估，好比這個登陸界面應該是彈出窗口式的，仍是直接在網頁裏面。

對用戶名的長度，和密碼的強度（就是是否是必須多少位，大小寫，特殊字符混搭）等。還有好比用戶對界面的美觀是否是有特殊的

要求？（便是否要進行UI測試）。剩下的就是設計用例了 ，等價類，邊界值等等。

總之一點，任何項目，都須要從用戶的需求開始。

功能測試(Function test)

      0. 什麼都不輸入，點擊提交按鈕，看提示信息。

　　1.輸入正確的用戶名和密碼，點擊提交按鈕，驗證是否能正確登陸。

　　2.輸入錯誤的用戶名或者密碼, 驗證登陸會失敗，而且提示相應的錯誤信息。

　　3.登陸成功後可否可否跳轉到正確的頁面

　　4.用戶名和密碼，若是過短或者太長，應該怎麼處理

　　5.用戶名和密碼，中有特殊字符（好比空格），和其餘非英文的狀況

　　6.記住用戶名的功能

　　7.登錄失敗後，不能記錄密碼的功能

　　8.用戶名和密碼先後有空格的處理

      9.密碼是否加密顯示（星號圓點等）

     10.牽扯到驗證碼的，還要考慮文字是否扭曲過分致使辨認難度大，考慮顏色（色盲使用者），刷新或換一個按鈕是否好用

     11.登陸頁面中的註冊、忘記密碼，登出用另外一賬號登錄等連接是否正確

     12.輸入密碼的時候，大寫鍵盤開啓的時候要有提示信息。

功能描述(Function description)
        用戶根據系統帳號和口令登錄ccsu小助手，進行相應的長沙學院首頁跳轉，執行對應權限的操做功能（目前只有論壇訪問功能）。

總結(Summary)

　　經過使用這個網頁，進行個人需求比對，發現了些許的不足。登錄系統基本功能具有，可是安全性能不夠高以及帳號、密碼的存儲

方式仍需進一步完善。具體能夠進行安全性測試的完善：

　　1.登陸成功後生成的Cookie，是不是httponly (不然容易被腳本盜取)

　　2.用戶名和密碼是否經過加密的方式，發送給Web服務器

　　3.用戶名和密碼的驗證，應該是用服務器端驗證， 而不能單單是在客戶端用javascript驗證

　　4.用戶名和密碼的輸入框，應該屏蔽SQL 注入攻擊

　　5.用戶名和密碼的的輸入框，應該禁止輸入腳本 （防止XSS攻擊）

　　6.錯誤登錄的次數限制（防止暴力破解）

      7. 考慮是否支持多用戶在同一機器上登陸；

      8. 考慮一用戶在多臺機器上登陸