概论
文章中提到的东西都是工作中实践过的经验,并不保证全面性.
Web测试一般包含如下内容:
- 功能测试
- 性能测试
- 用户界面测试
- 兼容性测试
- 安全性测试
其实这只是大概的区分,各种不同的类别的测试之间其实是有很多交集的.比如:
- 当网站出现性能问题的时候,同时网站的某些功能可能会失效,比如页面打开失败,表单提交失败等等
- 当网站在一个它不兼容的浏览器下运行的时候,也会导致功能失效,用户界面出现混乱,甚至性能问题
以上的五项内容中的每一项都可以是一个大的主题做深入的分析.
另外,对于所有的web测试人员来说,学会使用Firebug以及Fiddler这样的抓包工具绝对是必不可少的。这些工具的使用应该始终贯穿的测试工作之中
一.功能测试
对于一般被测试的软件,我可以用"树"来比喻一个软件.一颗树有主干,分支和叶子.主干和分支代表软件的流程,叶子代表软件的局部步骤(页面). 我们测试软件的时候既要保证软件的流程正确,也要保证组成流程的各个分支步骤页面的正确性.
拿淘宝来购物来说,我们可以把登录页面,购物车页面之类的当成是叶子,完成一个购物流程,当成一个主干或者分支. 软件就是由这很多的叶子以及相对少一些的分支组成.
经典的教科书上往往会介绍如下功能测试测试用例的设计方法:
- 边界值划分
- 等价类
- 正交表
- 决策表
当我们测试单个页面的时候,往往会用到这些方法.但是这些方法只是测试到了软件的局部.
除此之外,我们还要考虑被测试软件的工作流程,保证所有的提供给用户的工作流程都可以跑通,这个时候,探索式测试可以派上用场.有时候,我们还需要化流程图来辅助测试.
关于探索式测试,详见探索式测试读书笔记一文
另外,还有更重要的几点:
- 每当打开页面或者提交数据的时候,多打开Fiddler或者Firebug看看到底发送了哪些http请求,以及关键请求的http response是什么.当发现功能异常之后,根据我们用Fiddler看到的数据,往往可以自己判断问题到底是出在前台的JS还是后台service. 关于Fiddler,详见Fiddler小结一文
- 有空多看看系统的日志,哪里能找到一些隐藏在页面之外的异常
- 当我们在页面上完成了一些功能之后,要彻底明白系统背后(数据库)到底完成了什么东西,我们提交的数据到底被存储到哪里去了
综上所述,我们做功能测试的总体思路是从 点(树叶)->面(主干,分支)->后台(根)
二.性能测试
性能测试主要要从前端和后台两个角度去理解,我们可以首先使用Fiddler去大概判断网站的性能问题是出在前台还是后台.
如果Http请求的大部分时间是花在html,css,js之类的静态资源加载上,那么基本是前台性能有问题.如果某个后台的service特别费时,那么后台必定存在性能问题
前台性能
除了用Fiddler看性能外,我们可以使用Yahoo的Firefox YSlow插件去检测前端的性能.此外,关于前端性能具体的优化策略,可以参阅<High Performance Web Sites>,其中主要涉及到http协议和浏览器缓存机制
详见Web前端优化14条原则一文
后台性能
对于大部分测试工程师来说是很难直接去优化后台性能的,但是依然能去发现一些有意义的线索
- 用Fiddler去查看http请求,如果某个请求特别耗时,则可能存在性能问题
- 后台代码设计到SQL查询的时候,往往测试员也是有基础去测试那些SQL的查询时间和执行时间,如果因为数据量大而导致查询太慢的话,可以建议使用数据库的索引
- 后台的cache机制: 我们的项目大量的使用了后台的cache机制
总之,做性能测试绝对不是简单地直接拿Loadrunner或者Jmeter去录制一下脚本,然后运行,分析结果.这一切的前提应该是充分了解了被测试系统的前台跟后台的性能
三.用户界面测试
这点关注不多,主要如下:
- 字体大小颜色(主要通过修改css文件)
- 弹窗的风格最好保持统一
四,兼容性测试
主要考虑如下几个因素组合:
- 不同的操作系统
- 不同的浏览器
- 浏览器的不同版本
- 显示器的不同分辨率
- 不同的浏览设备(PC,手机,平板)
五.安全性测试
安全性测试主要知道有如下几点:
-
SQL注入:后台使用Preparedstatement去处理SQL
- XSS攻击:这个问题非常复杂.学习中..
做为一个测试工程师,我觉得应该记住如下3点:
- 前台的JS验证是不可靠的
- 用户进行任何输入都是有可能的
- Web本身似乎也是不安全的:无法解释更多....
接下去举一些实际的例子:
隐藏的按钮
当我们用Firebug看页面的HTML的时候,往往能找到一些隐藏的内容,比如某个元素的 class="gradient hide",或者类似的东西.当我们直接修改掉这些属性之后,这些隐藏的东西就会在页面上暴露出来,对系统的安全造成隐患.
另外如果有某些值也可能会存储在隐藏域中
Disabled按钮
与隐藏的按钮类似,页面上经常有些可见但是灰调的按钮,也可以尝试改变他的属性,让它变成可以触发的,或许会有所发现
不该被访问的URL
如果某个URL不该被某些人访问,一定要在权限上去控制.仅仅去掉某个链接/按钮是不够的
后台Service
如果网站后台的Service能被捕捉到,而且又没有权限控制,那将是灾难性的
相关推荐
1.界面测试 2.功能测试 测试技术:页面走查、结合兼容性测试对不同分辨率下页面显示效果 界面测试要素:直观性-界面洁净,功能或响应应明显出现在预期地方;帮助系统真的有用吗?
关于web测试的心得经验,对web测试的几种类型都进行了详细的说明
软件测试中的web测试总结.docx软件测试中的web测试总结.docx
现在做web测试,遇到安全测试,在这里跟大家分享我的测试心得,web测试之安全测试方法:sql注入方法
104、在分别测试winform的C/S结构与测试WEB结构的软件是,应该采取什么样的方法分别测试?他们存在什么样的区别与联系? 27 105、在测试winform的C/S结构软件时,发现这个软件的运行速度很慢,您会认为是什么原因?...
AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入...
网络安全面试题,适合刚找工作的实习生
(7)web测试技术经典案例 (8)WIN2003邮件服务器构建 (9)测试总结 (10)防火墙技术 (11)路由器配置命令 (12)企业防火墙安全防护配置七大问题 (13)网站功能测试 (14)在 Windows xp 上安装 GreenAMP 和 BugFree 的详细...
转一篇访客的心得,共鸣一下: 最近在测试Web的输入框的时候,老是不知道从何处下手,去网上搜罗了一些资料,作了一个简单的总结,总的情况有一下几个方面: 1.验证输入与输出的信息是否一致; 2.输入框之前的...
这是一篇在VM下面搭建WEB/DHCP/FTP/DNS服务器的的实验报告、记录了从开始安装VM、XP、sever2003 然后搭建四种服务器,并在xp上去访问的流程报告
简而言之,Selenium就是一款可以录制用户操作,帮助Web测试人员简化重复劳动的工具。目前为止Selenium有两种版本:Selenium1(SeleniumRC,RemoteControl):传统Selenium框架,支持多种编程语言脚本生成。但需要...
1、进一步巩固、加深所学专业课程《XML Web Service开发》的基本理论知识,以及学习在.net集成开发环境下的程序开发、调试(单步调试、断点、跟踪、开关)及测试方法; 2、通过独立开发系统,进行理论联系实际,...
Java项目之springcloud基于web的智慧养老平台(源码 + 说明文档) 3系统分析 8 3.1可行性分析 8 3.1.1技术可行性 8 3.1.2经济可行性 8 3.1.3操作可行性 8 3.1.4 运行可行性 9 3.2系统性能需求分析 9 3.3系统功能分析 ...
•启动Web服务器,测试。 (2)Serv-U FTP服务器的配置 •安装Serv-U FTP服务器; •创建用户,绑定发布目录; •设定目录权限; •测试。 4.IIS下WEB服务器的配置过程 (一)、进入 我的电脑-> 控制面板->管理...
基于ssm基于web的邮票鉴赏系统(源码 + 说明文档) 第二章 开发技术介绍 1 2.1系统开发平台 1 2.2平台开发相关技术 1 2.2.1 Java技术 1 2.2.2 mysql数据库介绍 1 2.2.3 MySQL环境配置 1 2.2.4 B/S架构 2 2.2.5 SSM...
本人也是总结心得体会,将做过的性能测试实例以饷大家,希望对各位做测试的朋友有所帮助。该方案是针对某公司 随着测试越来越重要,其中的性能测试也受到越来越多的关注。比较普遍的性能测试工具是Loadrunner7.51...
本人收集整理修改代码已经测试过,配置好数据库,完整可以使用。将学习心得分享给大家,不错,推荐!感谢提供资源信息的网友。
MS17-010漏洞复现 Meterpreter后渗透 MS08-067 漏洞复现 跨网段攻击 MSF恶意程序利用 暴力破解(low、medium、high) Web渗透测试实战-SQL注入(low) web渗透测试实战-SQLMAP ...web渗透测试实战-文件上传
AuthMatrix是Burp Suite的扩展,它提供了一种简单的方法来测试Web应用程序和Web服务中的授权。 借助AuthMatrix,测试人员可以集中精力彻底定义用户,角色和针对其特定目标应用程序的请求的表。 这些表的结构与各种...
这是一个集成的有关web编程基础的学习课件和一些测试题以及一些最后的课程设计,即web编程的大作业,还有我的一些心得! 希望大家不要介意,也希望大家能够给我一些建议!谢谢大家!