(1)使用控制的一个账户执行一次完整、有效的登录。使用拦截代理服务器记录提交的每一份数据、收到的每一个响应。
(2)多次重复登录过程,以非常规方式修改提交的数据。例如,对于客户端传送的每个请求参数或cookie:
(a)提交一个空字符串值;
(b)完全删除名/值对;
(c)提交非常长和非常短的值;
(d)提交字符串代替数字或相反;
(e)以相同和不同的值,多次提交同一个数据项。
(3)仔细检查应用程序对提交的每个畸形请求的响应,确定任何不同于基本情况的差异。
(4)根据这些观察结果调整测试过程。如果某个修改造成行为改变,设法将这个修改与其他更改组合在一起,使应用程序的逻辑达到最大限度。