Web测试方法总结（已备）

原创已于 2025-05-27 15:55:05 修改 · 662 阅读

标签

#可用性测试

于 2023-01-03 18:56:51 首次发布

软件测试vip 专栏收录该内容

3 篇文章

订阅专栏

总体策略

表示层：

对每一页进行拼写检查。
对文字编辑检查语法和风格。
确保字体在不同浏览器中都相同，包括整体审美、字体、色彩、拼写、内容准确性。
检查以确保每一个链接都指向正确的文件或站点。
检查图形以确保其分辨率和大小正确。
在页面载入时检查光标位置，确保其在正确的文本框中。
检查以确保在页面载入时选中了默认的按钮。
检查交互性操作的用户友好度反馈以及体验一致性。
检查商业或行业的特定术语与风格的使用。

业务层：

确保正确采集数据。
检查电话号码、电子邮件地址、金额数量的格式是否正确。
检查字符集是否恰当。
检查消费税和送货费计算是否正确。
确保响应时间、吞吐率等性能指标得到了满足。
验证事务正确完成。
确保失败的事务回滚正确。
测试连通冗余。
测试网络中断时的程序表现。

数据层：

确保数据库操作满足性能要求。
验证数据存储适当且正确。
验证可使用当前备份来恢复。
测试故障处理和冗余功能。
测试数据加密和安全性，特别是信用卡和用户私人信息。
测试后端数据输入与管理功能的可用性以及准确性。

一、功能测试

1、链接测试点

错误链接：如 URL 地址拼写错误、URL 后缀多余或缺少斜杠、URL 地址中出现的字母大小写不完全匹配、用户输入的域名拼写错误。

空链接：单击该链接时不会指向任何内容。

死链接：原来正常，后来失效的链接。

孤立页面：指没有链接指向该页面，只有知道正确的 URL 地址才能访问。

2、表单测试点

文本输入框对长度是否有限制。

文本输入框对字符类型是否有限制。

文本输入框模式匹配是否正确，如该文本框只能输入日期格式的数据，那么只能匹配不同的日期格式，而不能匹配其他格式的数据。

2.1 输入框

1、字符型输入框：

（1）字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符“~！@#￥%……&*？[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入。

（2）长度检查：最小长度、最大长度、最小长度-1、最大长度+1、输入超长字符比如把整个文章拷贝过去。

（3）空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格

（4）多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示）、

（5）安全性检查：输入特殊字符串（null,NULL,,javascript,<script>,</script>,<title>,<html>,<td>）、输入脚本函数(<script>alert("abc")</script>)、doucment.write("abc")、<b>hello</b>）

2、数值型输入框：

（1）边界值：最大值、最小值、最大值+1、最小值-1

（2）位数：最小位数、最大位数、最小位数-1最大位数+1、输入超长值、输入整数

（3）异常值、特殊字符：输入空白（NULL）、空格或"~!@#$%^&*()_+{}|[]\:"<>?;',./?;:'-=等可能导致系统错误的字符、禁止直接输入特殊字符时，尝试使用粘贴拷贝查看是否能正常提交、word中的特殊功能，通过剪贴板拷贝到输入框，分页符，分节符类似公式的上下标等、数值的特殊符号如∑，㏒，㏑，∏，+，-等、

输入负整数、负小数、分数、输入字母或汉字、小数（小数前0点舍去的情况，多个小数点的情况）、首位为0的数字如01、02、科学计数法是否支持1.0E2、全角数字与半角数字、数字与字母混合、16进制，8进制数值、货币型输入（允许小数点后面几位）、

（4）安全性检查：不能直接输入就copy

3、日期型输入框：

（1）合法性检查：(输入0日、1日、32日)、月输入[1、3、5、7、8、10、12]、日输入[31]、月输入[4、6、9、11]、日输入[30][31]、输入非闰年，月输入[2]，日期输入[28、29]、输入闰年，月输入[2]、日期输入[29、30]、月输入[0、1、12、13]

(2)异常值、特殊字符：输入空白或NULL、输入~！@#￥%……&*（）{}[]等可能导致系统错误的字符

（3）安全性检查：不能直接输入，就copy，是否数据检验出错。

4、信息重复:在一些需要命名,且名字应该唯一的信息输入重复的名字或ID,看系统有没有处理,会否报错,重名包括是否区分大小写,以及在输入内容的前后输入空格,系统是否作出正确处理.

2.2 搜索

若查询条件为输入框，则参考输入框对应类型的测试方法

1、功能实现：

（1）如果支持模糊查询，搜索名称中任意一个字符是否能搜索到

（2）比较长的名称是否能查到

（3）输入系统中不存在的与之匹配的条件

（4）用户进行查询操作时，一般情况是不进行查询条件的清空，除非需求特殊说明。

2、组合测试：

（1）不同查询条件之间来回选择，是否出现页面错误（单选框和多选框最容易出错）

（2）测试多个查询条件时，要注意查询条件的组合测试，可能不同组合的测试会报错。

2.3 添加、修改

1、特殊键：（1）是否支持Tab键（2）是否支持回车键

2、提示信息：（1）不符合要求的地方是否有错误提示

3、唯一性：（1）字段唯一的，是否可以重复添加，添加后是否能修改为已存在的字段（字段包括区分大小写以及在输入的内容前后输入空格，保存后，数据是否真的插入到数据库中，注意保存后数据的正确性）

4、数据正确性：

（1）对编辑页的每个编辑项进行修改，点击保存，是否可以保存成功，检查想关联的数据是否得到更新。

（2）进行必填项检查（即是否给出提示以及提示后是否依然把数据存到数据库中；是否提示后出现页码错乱等）

（3）是否能够连续添加（针对特殊情况）

（4）在编辑的时候，注意编辑项的长度限制，有时在添加的时候有，在编辑的时候却没有（注意要添加和修改规则是否一致）

（5）对于有图片上传功能的编辑框，若不上传图片，查看编辑页面时是否显示有默认的图片，若上传图片，查看是否显示为上传图片

（6）修改后增加数据后，特别要注意查询页面的数据是否及时更新，特别是在首页时要注意数据的更新。

（7）提交数据时，连续多次点击，查看系统会不会连续增加几条相同的数据或报错。

（8）若结果列表中没有记录或者没选择某条记录，点击修改按钮，系统会抛异常。

2.4 删除

1、特殊键：（1）是否支持Tab键（2）是否支持回车键

2、提示信息：（1）不选择任何信息，直接点击删除按钮，是否有提示（2）删除某条信息时，应该有确认提示

3、数据实现：（1）是否能连续删除多个产品（2）当只有一条数据时，是否可以删除成功（3）删除一条数据后，是否可以添加相同的数据（4）如系统支持批量删除，注意删除的信息是否正确（5）如有全选，注意是否把所有的数据删除（6）删除数据时，要注意相应查询页面的数据是否及时更新（7）如删除的数据与其他业务数据关联，要注意其关联性（如删除部门信息时，部门下游员工，则应该给出提示）（8）如果结果列表中没有记录或没有选择任何一条记录，点击删除按钮系统会报错。

如：某一功能模块具有最基本的增删改查功能，则需要进行以下测试

单项功能测试（增加、修改、查询、删除）

增加——>增加——>增加（连续增加测试）

增加——>删除

增加——>删除——>增加（新增加的内容与删除内容一致）

增加——>修改——>删除

修改——>修改——>修改（连续修改测试）

修改——>增加（新增加的内容与修改前内容一致）

修改——>删除

修改——>删除——>增加（新增加的内容与删除内容一致）

删除——>删除——>删除（连续删除测试）

2.5 注册、登录

1、注册功能：

（1）注册时，设置密码为特殊版本号，检查登录时是否会报错

（2）注册成功后，页面应该以登陆状态跳转到首页或指定页面

（3）在注册信息中删除已输入的信息，检查是否可以注册成功。

2、登录功能：

（1）输入正确的用户名和正确的密码

（2）输入正确的用户名和错误的密码

（3）输入错误的用户名和正确的密码

（4）输入错误的用户名和错误的密码

（5）不输入用户名和密码（均为空格）

（6）只输入用户名，密码为空

（7）用户名为空，只输入密码

（8）输入正确的用户名和密码，但是不区分大小写

（9）用户名和密码包括特殊字符

（10）用户名和密码输入超长值

（11）已删除的用户名和密码

（12）登录时，当页面刷新或重新输入数据时，验证码是否更新

（13）现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登录而直接浏览某个页面等。

（14）Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。

2.6 上传图片

1、功能实现：

（1）文件类型正确、大小合适

（2）文件类型正确，大小不合适

（3）文件类型错误，大小合适

（4）文件类型和大小都合适，上传一个正在使用中的图片

（5）文件类型大小都合适，手动输入存在的图片地址来上传

（6）文件类型和大小都合适，输入不存在的图片地址来上传

（7）文件类型和大小都合适，输入图片名称来上传

（8）不选择文件直接点击上传，查看是否给出提示

（9）连续多次选择不同的文件，查看是否上传最后一次选择的文件

2.7 查询结果列表

1、功能实现：

（1）列表、列宽是否合理

（2）列表数据太宽有没有提供横向滚动

（3）列表的列名有没有与内容对应

（4）列表的每列的列名是否描述的清晰

（5）列表是否把不必要的列都显示出来

（6）点击某列进行排序，是否会报错（点击查看每一页的排序是否正确）

（7）双击或单击某列信息，是否会报错

2.8 返回键检查

1、一条已经成功提交的记录，返回后再提交，是否做了处理

2、检查多次使用返回键的情况，在有返回键的地方，返回到原来的页面多次，查看是否会出错

2.9 回车键检查

1、在输入结果后，直接按回车键，看系统如何处理，是否会报错

2.10 刷新键检查

1、在Web系统中，使用刷新键，看系统如何处理，是否会报错

2.11 直接URL链接检查

1、在Web系统中，在地址栏直接输入各个功能页面的URL地址，看系统如何处理，是否能够直接链接查看（匿名查看），是否有权限控制，是否直接执行，并返回相应结果页；

2.12 界面和易用性测试

1、风格、样式、颜色是否协调

2、界面布局是否整齐、协调（保证全部显示出来的，尽量不要使用滚动条

3、界面操作、标题描述是否恰当（描述有歧义、注意是否有错别字）

4、操作是否符合人们的常规习惯（有没有把相似的功能的控件放在一起，方便操作）

5、提示界面是否符合规范（不应该显示英文的cancel、ok，应该显示中文的确定等）

6、界面中各个控件是否对齐

7、日期控件是否可编辑

8、日期控件的长度是否合理，以修改时可以把时间全部显示出来为准

9、查询结果列表列宽是否合理、标签描述是否合理

10、查询结果列表太宽没有横向滚动提示

11、对于信息比较长的文本，文本框有没有提供自动竖直滚动条

12、数据录入控件是否方便

13、有没有支持Tab键，键的顺序要有条理，不乱跳

14、有没有提供相关的热键

15、控件的提示语描述是否正确

16、模块调用是否统一，相同的模块是否调用同一个界面

17、用滚动条移动页面时，页面的控件是否显示正常

18、日期的正确格式应该是XXXX-XX-XX或XXXX-XX-XXXX:XX:XX

19、页面是否有多余按钮或标签

20、窗口标题或图标是否与菜单栏的统一

21、窗口的最大化、最小化是否能正确切换

22、对于正常的功能，用户可以不必阅读用户手册就能使用

23、执行风险操作时，有确认、删除等提示吗

24、操作顺序是否合理

25、正确性检查：检查页面上的form, button, table, header, footer,提示信息，还有其他文字拼写，句子的语法等是否正确。

26、系统应该在用户执行错误的操作之前提出警告，提示信息.

27、页面分辨率检查，在各种分辨率浏览系统检查系统界面友好性。

28、合理性检查：做delete, update, add, cancel, back等操作后，查看信息回到的页面是否合理。

29、检查本地化是否通过：英文版不应该有中文信息，英文翻译准确，专业。

2.13 兼容性测试

兼容性测试不只是指界面在不同操作系统或浏览器下的兼容，有些功能方面的测试，也要考虑到兼容性，包括操作系统兼容和应用软件兼容，可能还包括硬件兼容比如涉及到ajax、jquery、javascript等技术的，都要考虑到不同浏览器下的兼容性问题。

2.14 验证码更新

‌测试点说明‌：验证码未及时更新或可重复使用，可能导致暴力破解、自动化攻击等风险。

‌示例及验证方法‌：

‌验证码复用漏洞‌：
- 用户首次获取验证码为1234，提交表单时输入正确的验证码。
- ‌测试步骤‌：不刷新页面，重复提交同一验证码多次。
- ‌预期结果‌：系统应在每次提交后强制更新验证码，拒绝旧验证码的重复使用‌。
‌验证码前端暴露‌：
- 通过浏览器开发者工具查看页面源码，检查验证码是否明文显示在HTML中（如隐藏字段）。
- ‌示例‌：发现验证码字段<input type="hidden" name="captcha" value="abcd">。
- ‌预期结果‌：验证码应通过后端动态生成且加密传输，避免前端暴露‌

3、cookie测试

Cookies 的安全性

Cookie 中最好不要存储一些敏感的信息，需要时应该对 Cookie 中的一些字段进行加密处理。

Cookies 的过期时间是否正确；

Cookies 的变量名与值是否正确；

Cookies 是否必要，是否缺少：一是生成的 Cookie 文件是否与创建的一致，不能多也不能少，二是对于不必要的 Cookie 可以删除。

Cookies 的作用域是否正确合理；

多个 Cookies 的作用域之间关系的测试。

4、文件上传

只能上传允许的附件类型；

不能上传脚本（xss脚本等脚本）或可执行文件（bat文件，exe文件等）；

不能单纯以后缀名来判断文件类型（如将恶意文件（如.exe、.php）的后缀名改为合法类型（如.jpg、.txt），尝试上传）；

浏览好文件后，可以正常处理删除目标文件时出现的异常情况；

上传超大文件时可以正常处理，比如给出提示信息等；

上传的文件应该提供接口查看；

上传的文件不应该直接保存于数据库中，而是将文件保存在服务器端硬盘，而在数据库中保存该文件的基本信息（如文件链接等）；

文件上传到服务器端后应该被重命名，防止文件名冲突。

5、其他情况

1、在测试时，与网络有关的步骤或者模块必须考虑到断网的情况

2、每个页面都有相应的Title，不能为空，或者显示“无标题页”

3、在测试的时候要考虑到页面出现滚动条时，滚动条上下滚动时，页面是否正常

4、URL不区分大小写，大小写不敏感

5、、对于电子商务网站，当用户并发购买数量大于库存的数量时，系统如何处理

6、测试数据避免单纯输入“123”、“abc“之类的，让测试数据尽量接近实际

7、进行测试时，尽量不要用超级管理员进行测试，用新建的用户进行测试。测试人员尽量不要使用同一个用户进行测试

8、提示信息：提示信息是否完整、正确、详细

9、帮助信息：是否提供帮助信息，帮助信息的表现形式（页面文字、提示信息、帮助文件），帮助信息是否正确、详细

10、可扩展性：是否由升级的余地，是否保留了接口

11、稳定性：运行所需的软硬件配置，占用资源情况，出现问题时的容错性，对数据的保护

12、运行速度：运行的快慢，带宽占用情况。

二、性能测试

1、链接速度测试

链接的响应时间不能太长，一般不超过 5 秒。

2、负载测试

测试系统能够承受的最大负载（如最大用户量、最大业务量、最大数据量等）以及性能表现。

3、压力测试

测试系统在一定压力下的性能表现，通常业务的错误率不能超过 5%

备注：

1、负载/压力测试应该关注什么

测试需要验证系统能否在同一时间响应大量的用户，在用户传送大量数据的时候能否响应，系统能否长时间运行。可访问性对用户来说是极其重要的。如果用户得到“系统忙”的信息，他们可能放弃，并转向竞争对手。系统检测不仅要使用户能够正常访问站点，在很多情况下，可能会有黑客试图通过发送大量数据包来攻击服务器。出于安全的原因，测试人员应该知道当系统过载时，需要采取哪些措施，而不是简单地提升系统性能。

1）瞬间访问高峰
如果您的站点用于公布彩票的抽奖结果，最好使系统在中奖号码公布后的一段时间内能够响应上百万的请求。负载测试工具能够模拟X个用户同时访问测试站点。

2）每个用户传送大量数据
网上书店的多数用户可能只订购1-5书，但是大学书店可能会订购5000本有关心理学介绍的课本?或者一个祖母为她的50个儿孙购买圣诞礼物(当然每个孩子都有自己的邮件地址)系统能处理单个用户的大量数据吗?

3）长时间的使用
如果站点用于处理鲜花订单，那么至少希望它在母亲节前的一周内能持续运行。如果站点提供基于web的email服务，那么点最好能持续运行几个月，甚至几年。可能需要使用自动测试工具来完成这种类型的测试，因为很难通过手工完成这些测试。你可以想象组织100个人同时点击某个站点。但是同时组织100000个人呢。通常，测试工具在第二次使用的时候，它创造的效益，就足以支付成本。而且，测试工具安装完成之后，再次使用的时候，只要点击几下。
采取措施：采用性能测试工具WAS、ACT，LR等协助进行测试

三、UI界面测试

1、格式验证

验证 Web 页面中一些空间默认的标准定义，如默认值、项目按顺序排列等。

2、导航条测试

各页面导航条是否能正确地显示；

各页面下导航条显示的内容是否正确；

不同状态下（如登录与未登录），导航条显示的内容是否正确；

导航条的每项内容链接是否正确。

3、拼写和语法测试

验证页面内容、菜单和链接、图片、表格内容的拼写和语法。举例如下：

检查页面标题、正文、按钮文字等静态文本是否存在拼写错误或语法错误（错误示例：标题显示“Welcom to Our Site”（正确应为“Welcome”））
验证从数据库或API获取的动态内容（如用户评论、产品描述）是否包含错误（用户评论中显示“This product is amzing!”（正确应为“amazing”）‌
）
检查导航菜单的文本是否语法正确且表达清晰（错误示例：菜单项显示“Servces”（正确应为“Services”）‌
）
验证超链接的锚文本与实际跳转页面的标题是否一致（链接文本为“Contact Us”，但跳转后页面标题为“Contct”（正确应为“Contact”）‌
）
检查图片的替代文本（Alt属性）是否存在拼写错误或描述不当。（示例：Alt文本为“User Profle Image”（正确应为“Profile”）‌）
验证图片下方的说明文字是否准确（示例：标注文字为“Diagramm of Process”（正确应为“Diagram”）‌）
检查表格列名与数据内容的语法和逻辑是否匹配。（示例：表头为“Order Date”，但数据列显示“2023/13/01”（月份“13”无效）‌
）
验证数值型数据的单位符号（如“$”、“%”）是否正确。（示例：表格中显示“Price: 100Dollar”（正确应为“$100”）‌）

4、页面排版测试

页面标题验证（确认页面标题与实际内容一致，无拼写错误或逻辑错误）；
页面元素（文字、窗体、菜单、链接、公司商标等）排版验证（

文字格式‌：页面正文字体大小不统一（如部分段落为14px，其他为12px）‌。

菜单对齐‌：导航菜单项在移动端显示错位，部分菜单被遮挡‌。

商标显示‌：公司Logo在深色背景中未适配反色版本，导致商标模糊‌

）；
页面图形验证（验证图片、图标、图表等图形元素的清晰度、比例及加载完整性）（
- 图片变形‌：上传的Banner图在页面中被拉伸变形，导致文字模糊‌。
- 图标缺失‌：页面加载时部分图标因路径错误显示为空白占位
）；
页面版本信息验证（检查页面底部或隐藏区域的版本号、更新时间等元数据是否准确）；
不同分辨率下的页面显示情况验证；
页面长度验证（检查页面内容过长时是否出现异常（如滚动条失效、元素溢出）

滚动条缺失‌：当列表加载超过100条数据时，页面底部无滚动条，导致无法查看后续数据‌。

元素溢出‌：长文本未换行，超出容器边界并遮挡其他按钮‌

5、tab键正确跳转

一般遵循从上往下，从左往右跳转而不是到处乱跳

四、安全测试

1、基本安全测试

各种登录模式的安全性验证、对口令各种要求的测试。（检查系统是否阻止常见弱密码（如123456、password）的注册或修改）
用户权限（如功能限制、数据访问限制等）的验证（验证普通用户无法访问管理员专属功能，检查用户仅能查看或操作自身数据）。
Cookie 和 Session 的有效期验证等特殊机制的验证（验证用户闲置一段时间后会话是否自动失效）。
敏感数据加密、数据存储安全性的验证

验证敏感数据（如密码、支付信息）是否通过HTTPS加密传输（用户提交登录表单时，浏览器地址栏显示https协议，且证书有）

检查数据库中敏感字段（如密码）是否加密存储（数据库中的用户密码字段显示为bcrypt哈希值，而非明文admin123）

验证系统的日志文件是否得到保护（验证日志文件仅允许授权人员访问，检查日志中是否明文记录密码、信用卡号等敏感信息）。
测试软件不会因在异常条件下错误操作而导致不安全状态（验证系统对异常输入（如超长字符串、特殊字符）的处理能力）。
其他各种安全漏洞的检查，如 WSDigger 扫描。

跨站点攻击 XSS

get 方式在 URL 后输入如 name=<script>alert(123456）</script>，若弹出告警框，说明存在跨站漏洞；查看源文件中若包含完整的字符串<script>alert(123456)</script>，则不管有没有弹出告警框，都表明存在跨站脚本漏洞； post 方式在表单的文本框中输入<script>alert(123456)</script>，若弹出警告或者查看源文件中存在输入的字符串则存在漏洞。

SQL 注入

1）sql='select yhm,mm from users where username=' + yhmTextField.getTex（t ） +' and password=' +mmTextField.getTex（t ） ' ） +' and password=' +mmTextField.getTex（t ）'

如用户名中输入 admin' --后，不输入密码也可以登录。

2）http://example.com/product?id=123' OR 1=1--

3）http://example.com/search?keyword=test&page=1#/../../etc/passwd

2、认证测试

登录页面是否存在验证码，不存在说明存在漏洞。
验证码和用户名、密码是否一次性、同时提交给服务器验证，如果分开提交，则存在漏洞。
在服务器端，只有在验证码检验通过后才进行用户名和密码的检验，否则存在漏洞。
验证码是否为图片形式且在一张图片中，不为图片形式或不在一张图片中，说明存在漏洞。
请求 10 次观察验证码是否随机生成，如果存在一定的规律（例如 5 次后出现同一验证码）说明存在漏洞。
观察验证码图片中背景是否存在无规律的点或线条，如果背景为纯色（例如只有白色）说明存在漏洞。
验证码在认证一次后是否立即失效。
服务器不能对认证错误提示准确的信息，如用户名错误、密码错误等。
提供合理的锁定策略。
预防认证被绕过，如 sql 注入。

3、会话管理测试

用户登录后，身份信息不再由客户端提交，而是以服务器端会话信息中保存的身份信息为准。
URL 中不能携带 Session ID 信息。
登录后的页面有明确的"退出"或"注销"按钮，注销时会话信息要清除。

4、权限管理测试

横向越权：攻击者尝试访问与他拥有相同权限的用户的资源。
纵向越权：一个低级别攻击者尝试访问高级别用户的资源。

5、文件和目录测试

不存在不需要对外开放的敏感接口或者接口进行了完善的权限控制（例：若系统存在未公开的运维接口（如/admin/debug），需确保该接口强制要求身份认证，并限制仅授权IP或角色可访问。若接口未配置权限或采用默认弱口令，攻击者可利用其执行高危操作‌）；
禁止获取敏感的目录或文件信息（例：通过构造http://example.com/../../etc/passwd路径尝试遍历服务器目录，若服务器未过滤特殊字符且未限制访问范围，可能导致系统配置文件、数据库凭据等敏感信息泄露‌）；
所有对目录的访问均不能打印出文件列表（例：当访问http://example.com/uploads/时，若服务器未关闭目录索引功能（如Apache未设置Options -Indexes），可能直接展示目录内所有文件列表，暴露临时文件或未加密资源‌）；
禁止访问和下载文档的备份（例：测试是否存在备份文件残留（如config.php.bak、database.sql.zip），若通过http://example.com/config.php~可直接下载源码备份，攻击者可逆向分析系统漏洞‌）；
不能越权获取到不该获取的文件（例：用户A访问http://example.com/download?file=userA_report.pdf时，将参数修改为file=userB_report.pdf，若服务端未校验用户权限，可能导致横向越权下载他人文件‌）。
如 DirBuster 扫描（例：使用DirBuster等工具扫描常见敏感路径（如/admin/、/backup/），若发现响应状态码为200且返回敏感内容，则表明存在未授权访问风险。需结合字典覆盖行业相关路径特征‌）。