网站测试说明书

2023年6月21日发(作者：)

网站测试流程、要求及测试报告

网站测试目的

网站测试主要目的是用最少的时间和人力找出系统中各种错误和缺陷，同时通过测试证明系统的功能和性能是否满足系统的需求，所建设的网站是否实现了规划的预期目标，是否能满足业务流程的需求，界面是否友好操作是否简单，输入输出的数据信息是否准确流畅等问题。

网站测试背景

网站名为招聘网，主要面对广大在校计算机专业大学生及IT公司。为两者之间架起沟通的桥梁，使就业与招聘更有效的进行。

进行测试之前需完成的准备工作主要有：

 软件需求说明书的编写

 软件总体设计说明书的编写

 软件详细设计说明书的编写

 编码

测试的主要方面：

一、功能测试

对于网站的测试而言，每一个独立的功能模块需要单独的测试用例的设计导出，主要依据为《需求规格说明书》及《详细设计说明书》，对于应用程序模块需要设计者提供基本路径测试法的测试用例。

1、链接测试

链接测试可分为三个方面：

1）测试所有链接是否按指示的那样确实链接到了该链接的页面；

2）测试所链接的页面是否存在；

3）保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

在整个Web应用系统的所有页面开发完成之后利用Xenu工具------（主要测试链接的正确性）进行链接测试。

2、表单测试 当用户给Web应用系统管理员提交信息时，就需要使用表单操作，例如用户注册、登陆、信息提交等。在这种情况下，我们必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。

测试中要保证每种类型都有2个以上的典型数值的输入，以确保测试输入的全面性。

3、Cookies测试

Cookies测试的内容可包括Cookies是否起作用，是否按预定的时间进行保存，刷新对Cookies有什么影响等。

4、数据库测试

在使用了数据库的Web应用系统中，一般情况下，可能发生两种错误，分别是数据一致性错误和输出错误。

（1） 对数据一致性进行测试

（2） 对数据输出进行测试

数据一致性错误主要是由于用户提交的表单信息不正确而造成的，而输出错误主要是由于网络速度或程序设计问题等引起的，针对这两种情况，可分别进行测试。

二、性能测试

网站的性能测试对于网站的运行而言异常重要，但是目前对于网站的性能测

1、连接速度测试

2、负载测试

负载测试是为了测量Web系统在某一负载级别上的性能，以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量，也可以是在线数据处理的数量。例如：Web应用系统能允许多少个用户同时在线？如果超过了这个数量，会出现什么现象？Web应用系统能否处理大量用户对同一个页面的请求？

3、压力测试

压力测试的区域包括表单、登陆和其他信息传输页面等。

采用的测试工具： 性能测试可以采用相应的工具进行自动化测试，我们目前采用如下工具

ab -----Apache 的测试工具

OpenSTA—开发系统测试架构

三、接口测试

在很多情况下，web 站点不是孤立。Web 站点可能会与外部服务器通讯，请求数据、验证数据或提交订单。

1、 服务器接口

第一个需要测试的接口是浏览器与服务器的接口。测试人员提交事务，然后查看服务器记录，并验证在浏览器上看到的正好是服务器上发生的。测试人员还可以查询数据库，确认事务数据已正确保存。

2、 外部接口

有些 web 系统有外部接口。测试人员需要确认软件能够处理外部服务器返回的所有可能的消息。

3、错误处理

试图确认系统能够处理所有错误，但却无法预期系统所有可能的错误。尝试在处理过程中中断事务，看看会发生什么情况？尝试中断用户到服务器的网络连接。尝试中断 web 服务器到信用卡验证服务器的连接。在这些情况下，系统能否正确处理这些错误？是否已对信用卡进行收费？如果用户自己中断事务处理，在订单已保存而用户没有返回网站确认的时候，需要由客户代表致电用户进行订单确认

四、可用性测试

1、导航测试

导航的另一个重要方面是Web应用系统的页面结构、导航、菜单、连接的风格是否一致。确保用户凭直觉就知道Web应用系统里面是否还有内容，内容在什么地方。

Web应用系统的层次一旦决定，就要着手测试用户导航功能，让最终用户参与这种测试，效果将更加明显。

2、图形测试 （1）要确保图形有明确的用途，图片或动画不要胡乱地堆在一起，以免浪费传输时间。Web应用系统的图片尺寸要尽量地小，并且要能清楚地说明某件事情，一般都链接到某个具体的页面。

（2）验证所有页面字体的风格是否一致。

（3）背景颜色应该与字体颜色和前景颜色相搭配。

（4）图片的大小和质量也是一个很重要的因素，一般采用JPG或GIF压缩。

3、内容测试

内容测试用来检验Web应用系统提供信息的正确性、准确性和相关性。

信息的正确性是指信息是可靠的还是误传的。。

五、兼容性测试

需要验证应用程序可以在用户使用的机器上运行。如果您用户是全球范围的，需要测试各种操作系统、浏览器、视频设置和 modem 速度。最后，还要尝试各种设置的组合。

1、平台测试

市场上有很多不同的操作系统类型，最常见的有Windows、Unix、Macintosh、Linux等。在Web系统发布之前，需要在各种操作系统下对Web系统进行兼容性测试。

2、浏览器测试

浏览器是Web客户端最核心的构件，来自不同厂商的浏览器对Java，、JavaScript、 ActiveX、 plug-ins或不同的HTML规格有不同的支持。例如，ActiveX是Microsoft的产品，是为Internet Explorer而设计的，JavaScript是Netscape的产品，Java是Sun的产品等等。另外，框架和层次结构风格在不同的浏览器中也有不同的显示，甚至根本不显示。不同的浏览器对安全性和Java的设置也不一样。

测试浏览器兼容性的一个方法是创建一个兼容性矩阵。在这个矩阵中，测试不同厂商、不同版本的浏览器对某些构件和设置的适应性。

采用测试工具：

通过白盒测试或者黑盒测试导出的测试用例，采用相应的工具进行测试，可以采用OpenSTA进行测试，此测试工具可以采用不同的浏览器进行测试。 3．视频测试

页面版式在 640x400、600x800 或 1024x768 的分辨率模式下是否显示正常?

字体是否太小以至于无法浏览? 或者是太大? 文本和图片是否对齐?

4．Modem/连接速率测试

是否有这种情况，用户使用 28.8 modem下载一个页面需要 10 分钟，但测试人员在测试的时候使用的是 T1 专线? 用户在下载文章或演示的时候，可能会等待比较长的时间，但却不会耐心等待首页的出现。最后，需要确认图片不会太大。

5、打印机测试

用户可能会将网页打印下来。因此网页在设计的时候要考虑到打印问题，注意节约纸张和油墨。有不少用户喜欢阅读而不是盯着屏幕，因此需要验证网页打印是否正常。有时在屏幕上显示的图片和文本的对齐方式可能与打印出来的东西不一样。测试人员至少需要验证订单确认页面打印是正常的。

6、组合测试

最后需要进行组合测试。600x800 的分辨率在 MAC 机上可能不错，但是在IBM兼容机上却很难看。在 IBM 机器上使用 Netscape 能正常显示，但却无法使用 Lynx 来浏览。

如果是内部使用的 web 站点，测试可能会轻松一些。如果公司指定使用某个类型的浏览器，那么只需在该浏览器上进行测试。如果所有的人都使用 T1 专线，可能不需要测试下载施加。

(但需要注意的是，可能会有员工从家里拨号进入系统) 有些内部应用程序，开发部门可能在系统需求中声明不支持某些系统而只支持一些那些已设置的系统。但是，理想的情况是，系统能在所有机器上运行，这样就不会限制将来的发展和变动。

六、安全测试

Web应用系统的安全性测试区域主要有：

1、 目录设置

Web 安全的第一步就是正确设置目录。每个目录下应该有 或

页 面，这样就不会显示该目录下的所有内容。如果没有执行这条规则。那么选中一幅图片，单击鼠标右键，找到该图片所在的路径"…com/objects/images"。然后在浏览器地址栏中手工输入该路径，发现该站点所有图片的列表。这可能没什么关系。但是进入下一级目录 "…com/objects" ，点击 jackpot。在该目录下有很多资料，其中有些都是已过期页面。如果该公司每个月都要更改产品价格信息，并且保存过期页面。那么只要翻看了一下这些记录，就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风。

2．登录

现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。

3．Session

Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。

4．日志文件

为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。

5．加密

当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。

6．安全漏洞

服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。

目前网络安全问题日益重要，特别对于有交互信息的网站及进行电子商务活动的网站尤其重要。目前我们的测试没有涵盖网站的安全性的测试，我们拟定采用工具来测定，

工具如下

SAINT------- Security Administrator’s Integrated Network Tool

此工具能够测出网站系统的相应的安全问题，并且能够给出安全漏洞的解决方案，不过是一些较为常见的漏洞解决方案。

七、代码合法性测试 代码合法性测试主要包括2个部分：程序代码合法性检查与显示代码合法性检查。

1、程序代码合法性检查

程序代码合法性检查主要标准为《intergrp小组编程规范》，目前采用由SCM管理员进行规范的检查，未来期望能够有相应的工具进行测试。

2、显示代码合法性检查

显示代码的合法性检查，主要分为Html、JavaScript、Css代码检查，目前采用

HTML代码检查------采用CSE HTML Validator进行测试

JavaScript、Css也可以在网上下载相应的测试工具。

八、 文档测试

l、产品说明书属性检查清单

1）完整.是否有遗漏和丢失，完全吗？ 单独使用是否包含全部内容

2）准确.既定解决方案正确吗？ 目标明确吗？ 有没有错误？

3）精确、不含糊、清晰.描述是否一清二楚？ 还是自说自话？容易看懂和理解吗？

4）一致.产品功能能描述是否自相矛盾,与其他功能有没有冲突

5）贴切.描述功能的陈述是否必要？有没有多余信息？ 功能是否原来的客户要求？

6）合理.在特定的预算和进度下,以现有人力,物力和资源能否实现？

7）代码无关.是否坚持定义产品,而不是定义其所信赖的软件设计,架构和代码

8）可测试性.特性能否测试？ 测试员建立验证操作的测试程序是否提供足够的信息？

相关的测试工具

OpenSTA 主要做性能测试的负荷及压力测试，使用比较方便，可以编写测试脚本，也可以先行自动生成测试脚本，而后对于应用测试脚本进行测试。

SAINT

网站安全性测试，能够对于指定网站进行安全性测试，并可以提供安全问题的解决方案。

CSE HTML Validator

一个有用的对于HTML代码进行合法性检查的工具

Ab(Apache Bench)

Apache自带的对于性能测试方面的工具，功能不是很多，但是非常实用。

Crash-me

Mysql自带的测试数据库性能的工具，能够测试多种数据库的性能。

软件安全性测试基本概念：

软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。

1.用户程序安全的测试要考虑问题包括：①明确区分系统中不同用户权限；②系统中会不会出现用户冲突；③系统会不会因用户的权限的改变造成混乱；④用户登 陆密码是否是可见、可复制；⑤是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）；⑥用户推出系统后是否删除了所有鉴权标记，是否可以使 用后退键而不通过输入口令进入系统。

2.系统网络安全的测试要考虑问题包括：①测试采取的防护措施是否正确装配好，有关系统的补丁是否打上；② 模拟非授权攻击，看防护系统是否坚固；③采用成熟的网络漏洞检查工具检查系统相关漏洞；④ 采用各种木马检查工具检查系统木马情况；⑤ 采用各种防外挂工具检查系统各组程序的客外挂漏洞。

3.数据库安全考虑问题：①系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）；② 系统数据的完整性； ③系统数据可管理性； ④系统数据的独立性；⑤系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）。

2023年6月21日发(作者：)

网站测试流程、要求及测试报告

网站测试目的

网站测试主要目的是用最少的时间和人力找出系统中各种错误和缺陷，同时通过测试证明系统的功能和性能是否满足系统的需求，所建设的网站是否实现了规划的预期目标，是否能满足业务流程的需求，界面是否友好操作是否简单，输入输出的数据信息是否准确流畅等问题。

网站测试背景

网站名为招聘网，主要面对广大在校计算机专业大学生及IT公司。为两者之间架起沟通的桥梁，使就业与招聘更有效的进行。

进行测试之前需完成的准备工作主要有：

 软件需求说明书的编写

 软件总体设计说明书的编写

 软件详细设计说明书的编写

 编码

测试的主要方面：

一、功能测试

对于网站的测试而言，每一个独立的功能模块需要单独的测试用例的设计导出，主要依据为《需求规格说明书》及《详细设计说明书》，对于应用程序模块需要设计者提供基本路径测试法的测试用例。

1、链接测试

链接测试可分为三个方面：

1）测试所有链接是否按指示的那样确实链接到了该链接的页面；

2）测试所链接的页面是否存在；

3）保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

在整个Web应用系统的所有页面开发完成之后利用Xenu工具------（主要测试链接的正确性）进行链接测试。

2、表单测试 当用户给Web应用系统管理员提交信息时，就需要使用表单操作，例如用户注册、登陆、信息提交等。在这种情况下，我们必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。

测试中要保证每种类型都有2个以上的典型数值的输入，以确保测试输入的全面性。

3、Cookies测试

Cookies测试的内容可包括Cookies是否起作用，是否按预定的时间进行保存，刷新对Cookies有什么影响等。

4、数据库测试

在使用了数据库的Web应用系统中，一般情况下，可能发生两种错误，分别是数据一致性错误和输出错误。

（1） 对数据一致性进行测试

（2） 对数据输出进行测试

数据一致性错误主要是由于用户提交的表单信息不正确而造成的，而输出错误主要是由于网络速度或程序设计问题等引起的，针对这两种情况，可分别进行测试。

二、性能测试

网站的性能测试对于网站的运行而言异常重要，但是目前对于网站的性能测

1、连接速度测试

2、负载测试

负载测试是为了测量Web系统在某一负载级别上的性能，以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量，也可以是在线数据处理的数量。例如：Web应用系统能允许多少个用户同时在线？如果超过了这个数量，会出现什么现象？Web应用系统能否处理大量用户对同一个页面的请求？

3、压力测试

压力测试的区域包括表单、登陆和其他信息传输页面等。

采用的测试工具： 性能测试可以采用相应的工具进行自动化测试，我们目前采用如下工具

ab -----Apache 的测试工具

OpenSTA—开发系统测试架构

三、接口测试

在很多情况下，web 站点不是孤立。Web 站点可能会与外部服务器通讯，请求数据、验证数据或提交订单。

1、 服务器接口

第一个需要测试的接口是浏览器与服务器的接口。测试人员提交事务，然后查看服务器记录，并验证在浏览器上看到的正好是服务器上发生的。测试人员还可以查询数据库，确认事务数据已正确保存。

2、 外部接口

有些 web 系统有外部接口。测试人员需要确认软件能够处理外部服务器返回的所有可能的消息。

3、错误处理

试图确认系统能够处理所有错误，但却无法预期系统所有可能的错误。尝试在处理过程中中断事务，看看会发生什么情况？尝试中断用户到服务器的网络连接。尝试中断 web 服务器到信用卡验证服务器的连接。在这些情况下，系统能否正确处理这些错误？是否已对信用卡进行收费？如果用户自己中断事务处理，在订单已保存而用户没有返回网站确认的时候，需要由客户代表致电用户进行订单确认

四、可用性测试

1、导航测试

导航的另一个重要方面是Web应用系统的页面结构、导航、菜单、连接的风格是否一致。确保用户凭直觉就知道Web应用系统里面是否还有内容，内容在什么地方。

Web应用系统的层次一旦决定，就要着手测试用户导航功能，让最终用户参与这种测试，效果将更加明显。

2、图形测试 （1）要确保图形有明确的用途，图片或动画不要胡乱地堆在一起，以免浪费传输时间。Web应用系统的图片尺寸要尽量地小，并且要能清楚地说明某件事情，一般都链接到某个具体的页面。

（2）验证所有页面字体的风格是否一致。

（3）背景颜色应该与字体颜色和前景颜色相搭配。

（4）图片的大小和质量也是一个很重要的因素，一般采用JPG或GIF压缩。

3、内容测试

内容测试用来检验Web应用系统提供信息的正确性、准确性和相关性。

信息的正确性是指信息是可靠的还是误传的。。

五、兼容性测试

需要验证应用程序可以在用户使用的机器上运行。如果您用户是全球范围的，需要测试各种操作系统、浏览器、视频设置和 modem 速度。最后，还要尝试各种设置的组合。

1、平台测试

市场上有很多不同的操作系统类型，最常见的有Windows、Unix、Macintosh、Linux等。在Web系统发布之前，需要在各种操作系统下对Web系统进行兼容性测试。

2、浏览器测试

浏览器是Web客户端最核心的构件，来自不同厂商的浏览器对Java，、JavaScript、 ActiveX、 plug-ins或不同的HTML规格有不同的支持。例如，ActiveX是Microsoft的产品，是为Internet Explorer而设计的，JavaScript是Netscape的产品，Java是Sun的产品等等。另外，框架和层次结构风格在不同的浏览器中也有不同的显示，甚至根本不显示。不同的浏览器对安全性和Java的设置也不一样。

测试浏览器兼容性的一个方法是创建一个兼容性矩阵。在这个矩阵中，测试不同厂商、不同版本的浏览器对某些构件和设置的适应性。

采用测试工具：

通过白盒测试或者黑盒测试导出的测试用例，采用相应的工具进行测试，可以采用OpenSTA进行测试，此测试工具可以采用不同的浏览器进行测试。 3．视频测试

页面版式在 640x400、600x800 或 1024x768 的分辨率模式下是否显示正常?

字体是否太小以至于无法浏览? 或者是太大? 文本和图片是否对齐?

4．Modem/连接速率测试

是否有这种情况，用户使用 28.8 modem下载一个页面需要 10 分钟，但测试人员在测试的时候使用的是 T1 专线? 用户在下载文章或演示的时候，可能会等待比较长的时间，但却不会耐心等待首页的出现。最后，需要确认图片不会太大。

5、打印机测试

用户可能会将网页打印下来。因此网页在设计的时候要考虑到打印问题，注意节约纸张和油墨。有不少用户喜欢阅读而不是盯着屏幕，因此需要验证网页打印是否正常。有时在屏幕上显示的图片和文本的对齐方式可能与打印出来的东西不一样。测试人员至少需要验证订单确认页面打印是正常的。

6、组合测试

最后需要进行组合测试。600x800 的分辨率在 MAC 机上可能不错，但是在IBM兼容机上却很难看。在 IBM 机器上使用 Netscape 能正常显示，但却无法使用 Lynx 来浏览。

如果是内部使用的 web 站点，测试可能会轻松一些。如果公司指定使用某个类型的浏览器，那么只需在该浏览器上进行测试。如果所有的人都使用 T1 专线，可能不需要测试下载施加。

(但需要注意的是，可能会有员工从家里拨号进入系统) 有些内部应用程序，开发部门可能在系统需求中声明不支持某些系统而只支持一些那些已设置的系统。但是，理想的情况是，系统能在所有机器上运行，这样就不会限制将来的发展和变动。

六、安全测试

Web应用系统的安全性测试区域主要有：

1、 目录设置

Web 安全的第一步就是正确设置目录。每个目录下应该有 或

页 面，这样就不会显示该目录下的所有内容。如果没有执行这条规则。那么选中一幅图片，单击鼠标右键，找到该图片所在的路径"…com/objects/images"。然后在浏览器地址栏中手工输入该路径，发现该站点所有图片的列表。这可能没什么关系。但是进入下一级目录 "…com/objects" ，点击 jackpot。在该目录下有很多资料，其中有些都是已过期页面。如果该公司每个月都要更改产品价格信息，并且保存过期页面。那么只要翻看了一下这些记录，就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风。

2．登录

现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。

3．Session

Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。

4．日志文件

为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。

5．加密

当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。

6．安全漏洞

服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。

目前网络安全问题日益重要，特别对于有交互信息的网站及进行电子商务活动的网站尤其重要。目前我们的测试没有涵盖网站的安全性的测试，我们拟定采用工具来测定，

工具如下

SAINT------- Security Administrator’s Integrated Network Tool

此工具能够测出网站系统的相应的安全问题，并且能够给出安全漏洞的解决方案，不过是一些较为常见的漏洞解决方案。

七、代码合法性测试 代码合法性测试主要包括2个部分：程序代码合法性检查与显示代码合法性检查。

1、程序代码合法性检查

程序代码合法性检查主要标准为《intergrp小组编程规范》，目前采用由SCM管理员进行规范的检查，未来期望能够有相应的工具进行测试。

2、显示代码合法性检查

显示代码的合法性检查，主要分为Html、JavaScript、Css代码检查，目前采用

HTML代码检查------采用CSE HTML Validator进行测试

JavaScript、Css也可以在网上下载相应的测试工具。

八、 文档测试

l、产品说明书属性检查清单

1）完整.是否有遗漏和丢失，完全吗？ 单独使用是否包含全部内容

2）准确.既定解决方案正确吗？ 目标明确吗？ 有没有错误？

3）精确、不含糊、清晰.描述是否一清二楚？ 还是自说自话？容易看懂和理解吗？

4）一致.产品功能能描述是否自相矛盾,与其他功能有没有冲突

5）贴切.描述功能的陈述是否必要？有没有多余信息？ 功能是否原来的客户要求？

6）合理.在特定的预算和进度下,以现有人力,物力和资源能否实现？

7）代码无关.是否坚持定义产品,而不是定义其所信赖的软件设计,架构和代码

8）可测试性.特性能否测试？ 测试员建立验证操作的测试程序是否提供足够的信息？

相关的测试工具

OpenSTA 主要做性能测试的负荷及压力测试，使用比较方便，可以编写测试脚本，也可以先行自动生成测试脚本，而后对于应用测试脚本进行测试。

SAINT

网站安全性测试，能够对于指定网站进行安全性测试，并可以提供安全问题的解决方案。

CSE HTML Validator

一个有用的对于HTML代码进行合法性检查的工具

Ab(Apache Bench)

Apache自带的对于性能测试方面的工具，功能不是很多，但是非常实用。

Crash-me

Mysql自带的测试数据库性能的工具，能够测试多种数据库的性能。

软件安全性测试基本概念：

软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。

1.用户程序安全的测试要考虑问题包括：①明确区分系统中不同用户权限；②系统中会不会出现用户冲突；③系统会不会因用户的权限的改变造成混乱；④用户登 陆密码是否是可见、可复制；⑤是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）；⑥用户推出系统后是否删除了所有鉴权标记，是否可以使 用后退键而不通过输入口令进入系统。

2.系统网络安全的测试要考虑问题包括：①测试采取的防护措施是否正确装配好，有关系统的补丁是否打上；② 模拟非授权攻击，看防护系统是否坚固；③采用成熟的网络漏洞检查工具检查系统相关漏洞；④ 采用各种木马检查工具检查系统木马情况；⑤ 采用各种防外挂工具检查系统各组程序的客外挂漏洞。

3.数据库安全考虑问题：①系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）；② 系统数据的完整性； ③系统数据可管理性； ④系统数据的独立性；⑤系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）。