标题:web测试学习要点小结
一、功能性测试
1、功能测试通常从以下几个角度对软件测试进行评价:
1)软件是否实现了需求规格说明书(SRS)中明确定义的需求;
2)软件是否遗漏了SRS中明确定义的需求;
3)软件是否将SRS中未定义的需求实现;
4)软件是否对异常情况进行了处理;
5)软件是否满足用户使用的需求;
6)软件是否满足用户的隐形需求
以上内容仅供参考,在我们实际工作中要看实际情况灵活运用
2、web系统通用的一些测试点
1)、链接测试
A 、原理:
从待测网站的根目录开始,遍历整个网站所有的网页文件,并对网页文件中所有的超链接、图片文件、文件包含、CSS文件、页面内部链接等进行读取。以求最大程度的发现被测网站不存在或不完整的资源,并提交给相关人员进行修改,使得网站更加完整。
B、链接测试可以分为以下几个方面:
a、测试所有的链接是否链接到预期的页面;
b、测试所有的链接是否有效;
c、测试是否有孤立的页面。孤立页面是指除了URL地址能够访问到以外,没有其他的链接指向该页面。
C、 链接测试常用的工具: XENU
2)表单测试
表单测试我们可以从以下几个角度考虑:
A、输入框的长度限制;
B、输入框的类型限制;
C、输入框的模式匹配(比如日期的格式);
D、按钮的有效性(即点击按钮,按钮具备预期的功能)。
3)Cookie测试
Cookie测试我们可以从以下几个角度考虑:
A、Cookie的作用于是否合理;
B、Cookie中保存的一些关键数据是否加密;
C、Cookie过期时间是否正确(查看服务端设置的Cookie过期时间是否正确);
D、Cookie的变量名与 值是否相对应;
E、Cookie是否必要,是否缺少。
4)Session测试
A、Session不能过度的使用,否则会增加服务器维护Session的负担;
B、Session过期时间设置是否合理(具体根据需求而定);
C、Session的键值对是否对应;
D、Session过期后客户端是否形成新的SessionID;
E、Session与Cookie是否存在冲突。
5)脚本测试
A、客户端的脚本测试(如:JavaScript相对应的JSunit)
B、服务端的脚本测试(如:PHP相对应的PHPunit)
6)文件上传测试
A、只能上传允许的附件类型;
B、不能上传脚本和可执行文件(exe文件);
C、不能只以后缀来判断文件类型(别人可以将exe文件伪装成符合要求的文件进行上传);
D、浏览好文件后,将目标文件删除这种异常情况可以正常处理(比如;将文件上传到服务器,在服务器删除文件,再去点击文件能够正常的处理,而不会因为服务端找不到文件而影响服务器);
E、上传超大文件可以正常处理(比如给出提示等);
F、上传的文件提供查看的接口(入口);
G、上传的文件应当保存在服务器硬盘而不是直接保存在数据库中(数据库保存文件的基本信息);
H、文件上传到服务器端后应该被重命名,以免文件名冲突。
7)数据库测试
A、数据库表结构是否合理;
B、表与表之间的关系是否明确,主外键是否合理;
C、列的数据类型和长度定义是否 满足功能和性能方面的需求;
D、索引的创建是否合理;
E、存储过程功能是否完整(可以适应SQL语句进行详细的测试,可以使用DBunit、SQLunit等常用的数据库测试工具)。
注意;数据库的测试要在设计数据库之前就参与进来,否则等到数据库设计完成后再进行测试,修改的成本将大大提升。
二、可用性测试
可用性测试实际上更贴近于用户体验,我们在测试的时候主要还是要多站在用户的角度去考虑用户的体验。网上有关于局长使用BS系统的文章就很形象的说明了用户在使用软件时遇到的一些苦恼。下面就对于可用性的测试点提供一些测试思路,供大家做一个参考。
1、站点整体布局;
2、页面导航直观;
3、图形内容风格统一;
4、页面内容准确;
5、注意快捷方式;
6、满足区域文化;
7、考虑用户群体;
8、其他一些关注点。
三、安全性测试
1、认证与授权
认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证的过程。打个比方,最为常见的认证手段是用户名和密码,好比是进入一间屋子的锁和钥匙,认证就是确认锁锁的是哪间屋子,钥匙能不能打开这把锁,只有当钥匙和锁都匹配才能进入屋子,进入屋子以后,能够决定做什么的就是授权,如果进入屋子的是主人,那么他拥有着这个屋子的最高权利,如果是客人,那么他的权限就受到限制,有些事可以做而有些事是不能做的。我想通过上面这个例子能够很好的帮助我们理解认证和授权的概念。
认证的测试点:
1)密码策略:长度、复杂度要经过不可逆的加密后保存在数据库中,尤其是一些对于信息安全特别重要的软件;
2)登录失败的提示消息不应明确的提示给用户,避免客户端使用暴力破解;
3)登录失败后的限制策略,比如连续输入五次错误密码,停止用户登录,将信息发送给系统管理员,并发送客户端的IP地址;
4)登录时使用图片验证码,避免使用工具发送数据包;
5)必须登录后才能访问的页面都需要对客户端的session进行验证。避免客户端直接在URL地址栏输入地址直接进行访问。
授权的测试要点:
1)用户只能访问被授权的模块和功能;
2)用户不能通过直接输入URL的方式进行越权访问;
3)权限的控制只能由管理员来维护,其他用户不能做任何修改;
4)权限控制上要细,最好能细到增删查改这种功能,并且不同模块有不同的权限。
2、session和cookie
测试要点:
1)对客户端生成Session ID时最好与IP地址进行绑定,避免非法用户获得session ID进行非法访问;
2)Cookie的信息时保存在客户端的,是公开的,所以要对关键信息进行加密;
3) 一些重要的控制功能的数据不能保存cookie中,而必须将它保存在session中,避免人为的篡改session非法获取到系统控制权。
3、文件上传漏洞
测试要点:
1)对文件类型进行过滤,比如只能上传图片或压缩文件。不能允许用户上传可执行的程序或代码;
2)不能单纯的以文件的后缀名判断,比如将一个PHP文件的后缀名改为txt的后缀名;
3)不能单纯的只在客户端使用JavaScript对文件类型进行判断,而应在服务器端进行;
4)文件上传的大小必须有限制。
4、SQL注入
注入的本质是把用户输入的数据当成代码执行。
测试要点:
1)测试是否对用户的输入进行校验,可以通过正则表达式或限制长度;
2)测试是否使用动态SQL拼接;
3)测试每个应用是否使用单独有限的权限对数据库连接;
4)测试机密文件是否加密;
四、兼容性测试
1、服务器平台
指同一个软件需要测试不同的web服务器版本,连接不同的数据库,或者使用不同的网路环境时,能否正常工作。
2、客户端平台
客户端平台主要指浏览器版本的兼容性,还有客户端的硬件平台。比如现在的大多数客户使用手机访问互联网,那么就要考虑到这一类群体的使用需求。
以上是学习web测试理论知识的小结,后面再抽时间总结一下之前的学习内容,方便自己以后查阅,也希望看到这篇文章的大神们能够指点指点。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
