我有兴趣针对基于 Flex 的 UI 进行自动化测试。我发现我的 UI 自动化的最佳选择(由于 C# 可控、良好的许可条件等)似乎都需要我将测试 Hook 编译到我的应用程序中。因此,我正在考虑建议将这些 Hook 编译到我们的构建中。
我在网上发现一些地方建议不要在启用此检测的情况下部署位,我想知道原因。这是性能消耗还是安全风险?如果是安全风险,您能否解释一下攻击面是如何增加的?
我不是 Flash 或 Flex 开发人员,但我在威胁建模方面有一些经验。
作为引用,以下是我特别考虑的工具:
- QTP
- Selenium-Flex API
我在查找昨晚找到的所有警告/建议时遇到问题,但这是我可以找到的示例:
http://www.riatest.com/products/getting-started.html
Warning! Automation enabled applications expose all properties of all GUI components. This makes them vulnerable to malicious use. Never make automation enabled application publicly available. Always restrict access to such applications and to RIATest Loader to trusted users only.
相关问题(如何进行条件编译以插入/删除那些 Hook ):Conditionally including Flex libraries (SWCs) in mxmlc/compc ant tasks
最佳答案
好吧,我现在无法考虑所有用例,但假设您使用 Flex 开发了一款游戏,并且部署了包含自动化库的 SWF。 有些人可以使用 QTP、RIATest 等自动化工具来模拟手动无法完成的用户交互(即每秒单击鼠标左键 1500 次)
我们有许多 Flex 应用程序的构建配置文件。其中之一包括自动化库,仅供我们的 QA 团队使用。
关于apache-flex - 将 Flash/Flex UI 测试自动化 Hook 部署到生产环境时有危险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4704092/