Het overkomt veel testers wel eens dat je niet precies weet wat de scope van de applicatie is die je moet testen of dat je denkt te weten uit hoeveel pagina`s de applicatie bestaat maar op de achtergrond zijn er nog meer.

Bij testen is het van belang dat het geen beschreven is ook gebouwd is en vice versa. Immers van het verschil weet je niet hoe het zich moet gedragen. Dus daarvan kun je moeilijk een advies over de kwaliteit geven.

Het is bij het testen van belang te achterhalen wat de scope is, en dan niet van wat op papier staat maar ook wat er in de applicatie zit. Dit achterhalen kan gebeuren met een tool zoals Webgoat waarvan ik de configuratie al eerder heb uitgelegd effectief-testen-met-een-proxy.

In deze tool zit een spider functie die alle pagina`s in de applicatie gaat doorzoeken op links en verwijzingen naar andere pagina`s. Door alle links te volgen ontstaat een beeld van de gehele applicatie. Wij testen normaal gesproken alleen de pagina`s die we kunnen bereiken door middel van zichtbare knoppen of links in de GUI, maar het kan best zo zijn dat er in de broncode nog andere verwijzingen zijn opgenomen. Een tool vindt al deze verwijzingen en presenteert ze vervolgens in een boomstructuur.

Als je als tester dit zou doen en je vindt extra pagina`s die niet zijn opgenomen in het FO dan heb je de eerste bevinding al te pakken. Deze manier van werken is ook erg geschikt als alle documentatie ontbreekt want met dit hulpmiddel weet je precies welke pagina`s er zijn.

Naast het gebruik voor functioneel testen is spideren een eerste stap die je uitvoert bij security testen. Met spideren krijg je immers een perfect zicht op de applicatie, alle pagina`s en bijbehorende entry-points.

Mijn advies is, vraag eens toestemming deze tool te installeren op de testomgeving en voer de onderstaande stappen uit, je zult verbaast zijn over wat je ziet.

De eerste pagina die je ziet is de overzichtspagina van Webgoat, hierin zie je alle pagina`s die je browser zijn gepasseerd, de hoeveelheid data die ongemerkt voorbij gaat zal je verbazen.
Voor het spideren ga je naar de 6e tab, bovenaan in het menu, dit is de functie spideren. (Indien deze niet aanwezig is klik dan in het menu tools op de onderste optie “use full-featured interface”)

Klik op de pagina die je wil spideren en vervolgens op “Fetch tree”. Webgoat gaat nu de pagina onderzoeken en komt binnen enkele seconden terug met het resultaat waarin je helemaal kunt doorklikken totdat je alle pagina`s ziet.

Spider fetch all

Nu kan het dus zo zijn dat er ineens pagina`s zijn waar je nog nooit van hebt gehoord. Benader deze eens via de browser en kijk eens welke functionaliteit het allemaal bevat.

Zo zie je maar hoe een eenvoudig en gratis hulpmiddel je kan helpen bij het definiëren van je test scope.