安全、性能测试常见问题与注意事项

最新推荐文章于 2023-11-20 11:01:42 发布
最新推荐文章于 2023-11-20 11:01:42 发布
阅读量4.2k 收藏 5
点赞数 2
分类专栏: 项目实施与管理 文章标签: 安全 渗透测试 性能测试 web开发 网络攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wildboy2001/article/details/96564861
版权

最近一项目验收,接待2波测试:政务云环境运营公司、甲方雇佣的第三方测试单位。

主要包含安全和性能测试两类,安全方面常见问题如下:

  • SQL注入(特别常见,至少是参数化SQL,别是SQL拼接;其次是关键字和特殊字符过滤转义;GET/POST请求都需注意)
  • 数据库访问权限(限制应用对数据库的访问权限:部分表、只读等)
  • 越权访问(系统的栏目和页面未做服务端权限管理,修改客户端代码可以绕过认证,访问该用户无权限访问页面)
  • 用户及密码未进行加密传输和存储,尝试3次后自动锁定一定时长
  • 用户密码允许弱密码,未做复杂度要求
  • 同一帐号允许多处多浏览器登录
  • 用户登录后会话时长设置,超时后自动锁定或退出
  • 无日志记录
  • Web容器允许目录遍历,未升级至较新版本
  • 是否支持https等安全通信协议
  • CORS劫持
  • XSS

性能测试常见问题如下:

  • 招标文件及技术方案中对于性能指标的响应一定要加环境条件(什么网络、网络带宽、服务器节点数、服务器配置等)
  • 场景和用例的承诺一定要有常识,要谨慎(高IO、带宽开销、长事务大运算的用例和场景承诺要谨慎)
  • 对于并发访问量的承诺一定要有常识,要谨慎(500并发?意味着3000-5000人在线,12000-30000注册用户。你承接的系统是这个规划吗?项目金额匹配吗?)
  • 架构和调优都重要(ngix负载均衡+n节点的弹性伸缩架构,网络、数据库查询、请求等各环节优化与缓存考虑)

 

     随着信息化越来越深入和专精,产品化是必然趋势。那么权限管控、日志记录、登录访问、安全机制等标准模块型构件一定得经得起推敲及测评。

       万事都需成本,设计、开发、自测、调优、现场支持等等都是成本和费用,项目策划和投标时尽量考虑到。

Virgil_Ye
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
性能测试文档包
02-10
性能测试相关资料,包括常见的操作手册,注意事项等各方面的文档资料
ChatGPT技术的性能评估与测试方法.docx
08-23
ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题
ChatGPT技术评估指标与性能测试方法.docx
08-29
ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题
如何做性能测试-性能测试过程详述
09-19
1 综述 1.1 什么是性能测试 检验系统的性能是否符合要求的测试。包括压力测试、负荷测试、可靠性测试、稳定性测试...... 1.2 性能测试包括哪些方面的测试 速度:服务响应速度 容量:最大支持用户数 可靠性:高负荷运行、长时间运行 1.3 性能测试的目的 (举例) 测算系统的性能指标 查找系统的性能瓶颈 给出较适合的软硬件配置方案 检验硬件配置能否满足客户要求 系统调优(硬件调优、数据库调优) 出一份报告给客户看 1.4 性能指标 (举例) 平均响应时间(秒) 成功率(%) 系统最大处理能力(请求/秒) 系统支持的最大并发用户数 系统预期响应时间(秒) 1.5 性能测试过程 确定目的 设计方案 测试实施 数据分析 2 性能测试过程详述 2.1 确定目的 2.1.1 如何确定测试目的 问主管 问项目经理 问市场人员 问客户 看需求规格说明书 看系统设计文档 靠经验 2.1.2 确定分析方法 需要收集哪些数据 由这些数据怎样分析出测试目的 2.1.3 注意事项 并非所有目的都是合理的(典型例子:测一下所有用户同时点击某个功能) 要找到真正的目的,而不是光问出一句话,有时候,一个人说的并不是他真正要的 各种方法所收集到的目的很可能是不同的,要综合分析,并与相关人员确认 2.2 设计方案 2.2.1 选择具有代表性的功能 最常用的 最耗资源的 2.2.2 设计测试环境 各台机器软硬件配置 系统的各个程序运行在哪台机器上 2.2.3 选定测试工具 通常是选用现成的测试工具,例如loadrunner,但也可能需要自己编写 2.2.4 设计测试步骤 系统运行的步骤 测试数据(界面输入的数据,数据库表中的记录数、索引情况) 2.2.5 确定要记录的原始数据 由测试目的决定 举例: 成功次数、失败次数 测试总时长 CPU占用率(平均、最大) 内存占用 磁盘I/O 2.2.6 注意事项 一般来说,系统的各个程序运行在哪台机器上,在这个阶段可以初步确定,但在测试实施阶段可能还要作出调整 确定数据库表的记录数时,采用从严的原则,在客户实际使用可能产生的数据量的基础上乘以1.5到10倍 确定需要记录哪些原始数据时,采用从宽的原则,即不确定是否需要时,尽量记录下来 2.3 测试实施 2.3.1 搭环境 2.3.2 运行测试工具,记录原始数据 2.3.3 对原始数据进行初步分析 根据成功、失败次数确定本组数据是否有效(成功率大约95%,成功次数大于20) 根据成功、失败次数确定是否需要调整一组数据的测试时长 根据数据的发散情况确定本组数据是否有效 根据前后数据的对比确定本组数据是否有效 根据前后数据的对比确定是否需要在同样情况下再次测试 根据CPU占用率确定下一步的负荷 ...... 2.3.4 重复上面2步 2.4 数据分析 根据原始数据计算出性能指标,对当初确定的目的作出一个结论 3 性能测试的误区 做性能测试主要就是测试工具的使用 测试工具可以自动生成我所需要的报表 我做不好性能测试,是因为对测试工具不熟悉 4 常见问题 主管要我做性能测试(或压力测试、负荷测试),我该怎么办? 我用工具测了一些数据出来,我要怎样分析?我们的系统到底性能怎么样?
接口测试之功能测试、性能测试安全测试详解
HUA6911的博客
09-09 186
性能测试指标是衡量系统性能的评价标准,常用的系统性能测试指标包括:响应时间、并发用户/并发、点击率,吞吐量、TPS/QPS、PV/UV;由于用户在进行一系列操作流程时有一定的时间间隔(即用户思考时间)或者服务器处理请求有先后顺序,于是,就产生了绝对并发和相对并发概念的区分。吞吐量是指系统处理客户请求数量的总和,可以指网络上传输数据包的总和,也可以指业务中客户端与服务器交互数据量的总和。绕开前端界面,组织接口所需要的数据,展开接口测试。登录---搜索商品---加购物车---下单---支付---评价。
做好性能测试的6个关注点
伤心的辣条
04-26 586
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。3、异常测试:性能测试的情况在一定的话务(一般是模拟现场的用户)的情况下,进行硬件倒换,双机倒换,业务切换等。1、性能测试的环境配置需要能够尽可能的模拟版本的现场使用,包括外网的设备,软件网元,各种硬件平台,操作系统,软件平台;2、单个功能的性能对比数据:验证本版本中,新增的功能和特性打开的时候,此功能对于版本的性能的影响。
性能测试注意事项
weixin_51575330的博客
06-07 126
6 监控和分析:在测试过程中监控系统的状态,及时发现问题并记录测试结果,以便后续分析和改进。5.测试计划和脚本:制定详细的测式计划和脚本,包括测试少集、负载设置、 并发用户数等。测试报告:撰写详细的测试报告,包括测试结果、问题列表、风险评估、改进建议等。1目标和指标:明确测试的目标和指标,,例如响应时间、吞吐量 并发用户数等。.风险控制:评估测试可能导致的风险,并采取必要的措施进行控制和管理。3,数据准备:准备真实的数据集,以便测试能够反映出预期的负載情况。
接口测试之功能测试,性能测试安全测试
小宝的宝呢的博客
04-04 5725
目录 一,功能测试 1,单接口功能 手工测试中的单个业务模块,一般对应一个接口 借助工具,代码。绕开前端界面,组织接口所需要的数据,展开接口测试。 2,业务场景功能 二,性能测试 1,响应时长 2,吞吐量 3,并发熟练 4,服务器资源利用率 三,安全性测试 1,攻击安全 2,业务安全 一,功能测试 1,单接口功能 手工测试中的单个业务模块,一般对应一个接口 例如: 登录业务------登录接口 加入购物车业务------加入购物车接口 订单业务------订单.
性能测试怎么做?性能测试重点和各项性能测试流程(超级详细)
qq_48811377的博客
06-25 1384
1)性能测试一般分为:负载测试、压力测试、基准测试、稳定性测试、扩展性测试。2)常见的性能测试指标:响应时间;TPS/QPS;并发用户;PV/UV;点击率;吞吐量;资源开销3)性能测试的场景:业务场景:系统的业务处理流程;测试场景:对业务场景的真实模拟;单场景:只涉及单个业务流程的测试场景;混合场景:每个业务流程在混合的业务流程中占的比重会不同,尽可能符合实际的业务需要。性能测试目标1)了解系统的各项性能指标。
2023软件测试工具大全(自动化、接口、性能、安全、测试管理)
MXB_1220的博客
04-24 3659
软件测试是保障软件质量的重要环节,而现代化的软件开发过程中,测试工具的应用已经成为了必不可少的一部分。不同的测试工具可以支持不同类型的测试,如自动化、接口、性能和安全等。本文将围绕“软件测试工具大全(自动化、接口、性能、安全、测试管理)”展开讨论,介绍各类测试工具的特点和适用场景,以帮助读者更好地选择和使用测试工具。本文介绍了软件测试工具大全,包括自动化测试工具、接口测试工具、性能测试工具、安全测试工具和测试管理工具。不同类型的测试工具有不同的特点和适用场景,可以根据具体需求选择和使用。
Jmeter性能测试常见问题
05-05
之前看了一个月的测试找到的资料,感觉挺好的,这里也是想测试一下看能不能上传文件,Jmeter性能测试常见问题
安全测试注意的事项
2201_75362610的博客
04-19 135
(一)WEb安全测试执行的时候,对于被测试的系统,都会差生一些或大或小的影响,所以在进行Web安全测试的时候,一般只在测试环境中进行,要自己搭建环境,一般的公司都有一套自己的测试环境可以专门来做WEb产品发布之前的安全测试。那么如果在现网中测试,必须配置专门的数据,安全测试是一门非常谨慎的测试活动,所以除了测试用来测试的数据其他的数据都不可以进行测试(修改删除)。(二)内部测试的时候可以去掉一些安全防护的软件(防火墙,保护措施设备等)这样可以保证发现的安全漏洞会更多一点。
划重点!入门安全测试,这几点要注意!
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-26 202
总的来说,入门安全测试需要学习基本的计算机和网络知识,掌握安全测试原理和方法,熟悉常用的安全测试工具,实践安全测试技术,并不断学习和保持更新。安全测试时从内容安全、数据合规、功能合规、隐私保护等安全角度考虑,在需求迭代流程中评估安全风险,通过引入安全测试工具,编写安全角度的测试用例及测试用例执行,以挖掘安全漏洞和风险的一系列动作。:了解安全测试的基本概念、原则和技术是入门的重要一步。根据应用程序和系统的特点,可能会出现其他类型的漏洞,因此综合使用不同的测试方法和工具来进行全面的安全测试是很重要的。
软件测试基础:自动化测试、安全测试、性能测试
人生不怕起点低,就怕没追求
08-20 1525
自动化测试的意义: 缩短软件开发测试周期,可以让产品更快投放市场 测试效率高,充分利用硬件资源 节省人力资源,降低测试成本 增强测试的稳定性和可靠性 提高软件测试的准确度和精确度,增加软件信任度 软件测试工具使测试工作相对比较容易,但能产生更高质量的测试结果 自动化测试应用场景分析 首先要考虑的是什么样的项目适合自动化? 决定项目是否采用自动化测试,通常要关注以下几个方面: 需求变更有计划性,并且频率不高 项目周期长,资源丰富 脚本重复利用率 代码规范 考虑了什么样的项目可以使用自动化,接下来我们要了解的.
软件项目测试要做性能测试安全测试吗
Adelineyoung8的博客
11-20 36
安全测试中,测试人员扮演攻击者的角色,围绕系统进行游戏,以发现软件存在的安全漏洞和隐患,避免在生产环境中被攻击者利用,造成数据泄露、系统被篡改等严重后果。在软件测试报告中,安全测试的结果和发现的安全问题应该被详细记录和分析,以帮助开发人员修复安全漏洞,提高软件的安全性。在软件测试报告中,性能测试的结果和数据要注意详细记录下来并进行分析,才有助于开发人员了解软件性能的瓶颈,及时进行优化。所以,我们在编写软件测试报告时,要充分重视性能和安全测试过程,并将测试结果和分析结论进行详细记录和呈现。
性能测试注意事项
ywl185的专栏
09-29 630
1、性能测试准备 拿到测试任务后,我们的首要任务是分析测试任务,在开始测试之前我们要弄清几个问题: 要测试什么或测试的对象时谁要测试什么问题或我们想弄清楚或是论证的问题哪些因素会影响测试结果需要怎样的测试环境应该怎样测试 只有对测试任务非常清楚,测试目标及其明确的前提下,我们才能制定出切实可行的测试计划。明确了测试目标,才能给出详尽的测试计划。 2、测试技术准备
软件性能测试中常注意的事项
emag_testage的专栏
02-28 2417
软件性能测试中常注意的事项整理:Aken1.引言    作为评价产品性能的重要手段,性能测试在软件测试工作中占的比重一直很大,要最终提供一份准确,权威的测试报告,测试人员的努力工作自然不可或缺,但更重要的是测试人员清晰的工作思路,简洁的测试流程和良好的测试方法。2.目前性能测试存在的问题    总结以往进行的性能测试,虽然测试人员自始至终对测试工作都做到了认真负责,但测试报告出
单元测试基本类型讲解
代码艺术家的博客
09-15 1659
单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。对于单元测试中单元的含义,一般来说,要根据实际情况去判定其具体含义,如C语言中单元指一个函数,Java里单元指一个类,图形化的软件中可以指一个窗口或一个菜单等。总的来说,单元就是人为规定的最小的被测功能模块。单元测试是在软件开发过程中要进行的最低级别的测试活动,软件的独立单元将在与程序的其他部分相隔离的情况下进行测试。 这里有几个关键点:①单元是人为规定的 ②单元测试是独立单元,要和其他部分相分离。 单元测试的作用? 1. 提
软件系统安全测试和性能测试的区别,【安全测试】性能测试进阶——基本概念篇...
weixin_35698738的博客
07-22 1518
本系列文章对性能测试中容易混淆的概念,方法进行总结。作为性能测试进阶版本,本文假设使用者已经会使用各种仪表,不会对基本配置进行描述。基本概念HTTP Test Scenario对下框中HTTP协议的,keep alive等的说明:建议直接查看思博伦Avalanche的帮助,已经总结得非常完备。不建议查看网上的文档,因为大多数网上的文档并没有彻底搞清楚这几个值的设置,对测试的影响关系,容易越看越晕,...
埋点测试用例库及注意事项
最新发布
03-20
以下是埋点测试用例库的一些常见注意事项: 1. 埋点位置验证:确保埋点代码在正确的位置插入,例如在用户点击按钮或触发某个事件时。 2. 埋点参数验证:检查埋点代码中的参数是否正确,包括事件名称、属性值、用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值