web测试
web测试包括
webUI测试、表单测试、cookie测试、超链接测试、兼容性测试、安全测试、性能测试
1.webUI测试
包括整体页面测试、图形测试、导航测试、内容测试、兼容性测试
UI测试(用户界面测试):指软件中的可见外观及其与用户交互的部分
包括菜单、对话框、窗口、其他控件
目的
1.测试用户界面的风格是否满足客户要求,文字是否正确,页面是否美观,文字、图片组合是否完美,操作是否友好等
2.确保用户界面符合公司或行业标准;包括用户友好性、个性化、易操作性测试
1.1整体页面测试
测试点:
- 调整页面大小,检测页面的布局是否被压缩,重叠,覆盖等
- 检查需要滚动条的页面是否提供滚动条,并可有效滑动的
- 页面被内容拉长,拉宽后,检查页面的文字是否还能正确显示,对齐方式,格式都都保持一致、正常
- 对外文和繁体的显示,需要支持,不允许出现乱码
- 页面中的tab翻页可以正常切换、支持tab按键切换的要检验使用的正确
- 多个tab页面间的数据交换更新要检验正确性
- 页面推荐的内容要保证有结果,可以正常使用
1.2图形测试
测试要点:
- 要确保图形有明确的用途
- web应用系统的图片尺寸要尽量地小,并且要能清楚地说明某件事情,一般都有链接到某个具体的页面
- 验证所有页面字体的风格是否一致
- 背景颜色应该与字体颜色和前景颜色相搭配
- 检查图片的尺寸、位置是否符合需求
- 对广告图片的点击是否正常,点击后给出的页面是否正确;
- 页面上具有相同意义的图标应保持一致
- 对于链接其他网站的图片,无法显示时是否有容错性处理
1.3导航测试点
- web应用系统是否易于导航,导航是否直观
- web系统的主要部分是否可通过主页进行访问
- web应用系统导航是否准确
- web应用系统的页面结构、导航、菜单、连接的风格是否一致
- 广告图片的点击是否正常,点击后给出的页面是否正确
- 检查页面链接是否可以正常点击,点击后链接到的位置是否正确
- 链接点击后是否正常的发生颜色变化
- 链接的打开方式是否合理(当前窗口、新窗口),是否符合产品设计
1.4内容测试
检测web应用系统提供信息的准确性、准确性和相关性:
- 在商品价格列表中,错误的价格可能引起财务问题甚至导致法律纠纷
- 信息的准确性是指是否有语法或拼写错误
- 信息的相关性是指是否在当前页面可以找到与当前浏览信息相关的信息列表或入口,也就是一般web站点中的所谓“相关文章列表”
1.5静态文字测试
- 检测页面或一组中多个页面的字体、size、颜色、位置等因素是否符合需求
- 检查页面文字图标的间距、行距是否统一,对齐方式是否统一
- 静态文字的含义是否符合需求
- 静态文字中是否存在拼写错误
webUI测试典型错误
- 文字或图片重叠、裁剪、没对齐
- 重复菜单或链接
- 提示信息错误、Tooltip不显示
- jscuow页面链接错误
- 页面链接错误
- 页面访问资源不可用
- 出现“404页面错误”
- 按钮不工作、功能没有实现
- 错误信息提示不合理
- 文档无法下载
2.超链接测试
链接是Web应用系统的一个主要特征,它是在页面之间切换和指导用户去未知地址的页面的主要手段
测试内容:
- 测试所有链接是否按指示的那样确实链接到该链接的页面
- 测试所链接的页面是否存在
- 保证web应用系统上没有孤立的页面,所谓孤立页面是指没有链接指向该页面
- 链接提示信息是否正确
注意:web应用系统的所有页面开发完成之后链接测试
测试点:
- 点击后能否跳转
- 鼠标悬浮变色、手形、提示
- 是否有孤立的页面
- 响应时间,不能超过5s
- 新标签还是当前窗口
超链接检测工具:Xenu、HTML LInk Validator
3.兼容性测试
浏览器的兼容性
测试浏览器的选择:主流浏览器(市场占有率高)、根据客户需求
主流浏览器:IE8-12,chrome,firefox
测试点:
-
界面上的元素布局
-
功能按钮是否可用
-
各种控件
-
每个功能点的表格如下
兼容性测试的作用
- 首先保证功能可用
- 尽可能做到平台无关性
- 产品的市场
4.表单测试
测试点:
- 数据的添加,等价类划分、边界值、数据重复提交(流程测试法),验证数据是否添加成功
- 数据修改测试:是否修改成功(其他参见数据的添加)
- 查询测试:表单是否可以提交,权限,组合查询(每个单选、然后组合一个最长的sql语句)
- 数据删除测试:权限、前后台一致、删除前进行确认
- 验证码:清晰可读、不要太模糊;换一张;重新输入;有效时间合理;正确输入是否有效
删除测试:
- 删除正在使用信息,系统能否正确处理
- 不选择任何记录,直接执行删除,检查系统如何处理,是否会出错
- 关闭删除确认对话框后,记录是否被删除
- 重新使用已删除的数据
5.cookie测试
测试点:
1.登陆后删除cookie,网站提示登录
2.修改cookie时间,改服务器时间,改cookie时间
3.cookie中的信息加密
地址栏输入:javascript:alert(document.cookie)
6.安全测试
https://segmentfault.com/a/1190000020022428?utm_source=tag-newest
常见安全漏洞
一、SQL注入
SQL注入(SQL Injection),是最常见影响非常广泛的漏洞。攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而入侵数据库来执行未授意的任意查询。
SQL注入可能造成的危害有:网页、数据被篡改,核心数据被窃取,数据库所在的服务器被攻击,变成傀儡主机。
例如有些网站没有使用预编译sql,用户在界面上输入的一些字段被添加到sql中,很有可能这些字段包含一些恶意的sql命令。如:password = "1' OR '1'='1";即使不知道用户密码,也能正常登录。
测试方法:
在需要进行查询的页面,输入正确查询条件 and 1=1等简单sql语句,查看应答结果,如与输入正确查询条件返回结果一致,表明应用程序对用户输入未进行过滤,可以初步判断此处存在SQL注入漏洞
二、XSS跨站脚本攻击
SS(Cross Site Script),与SQL注入相似,XSS是通过网页插入恶意脚本,主要用到的技术也是前端的HTML和JavaScript脚本。当用户浏览网页时,实现控制用户浏览器行为的攻击方式。
一次成功的XSS,可以获取到用户的cookie,利用该cookie盗取用户对该网站的操作权限;也可以获取到用户联系人列表,利用被攻击者的身份向特定的目标群发送大量的垃圾信息,等等。
XSS分为三类:存储型(持久性XSS)、反射型(非持久性XSS)、DOM型。
测试方法:
在数据输入界面,输入:,保存成功后如果弹出对话框,表明此处存在一个XSS 漏洞。
或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞。
三、CSRF跨站伪造请求攻击
CSRF(Cross Site Request Forgery),利用已登录的用户身份,以用户的名义发送恶意请求,完成非法操作。
例如:用户如果浏览并信任了存在CSRF漏洞的网站A,浏览器产生了相应的cookie,用户在没有退出该网站的情况下,访问了危险网站B 。
危险网站B要求访问网站A,发出一个请求。浏览器带着用户的cookie信息访问了网站A,因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求,所以就会处理危险网站B的请求,这样就完成了模拟用户操作的目的。这就是CSRF攻击的基本思想。
测试方法:
- 同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功,如果仍然能操作成功即存在风险。
2.使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登录界面。
四、文件上传漏洞
文件上传攻击是指攻击者上传了一个可执行文件到服务器上,并执行。
这种攻击方式是最直接有效的。上传的文件可以是病毒、木马、恶意脚本或者是webshell等等。
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以说是一种网页后门。攻击者在受影响系统防止或插入webshell后,可以通过webshell方便进入系统,达到控制网站服务器的目的。
测试方法:
对上传的文件类型、大小等进行严格校验,禁止上传恶意代码的文件。
对相关目录的执行权限进行校验,可以通过浏览器访问Web 服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,则可能存在安全问题。
五、URL跳转漏洞
URL跳转漏洞,即未经验证的重定向漏洞,是指Web程序直接跳转到参数中的URL,或者在页面中引入了任意开发者的URL,将程序引导到不安全的第三方区域,从而导致安全问题。
测试方法:
1.使用抓包工具抓取请求。
2.抓取302的url,修改目标地址,查看是否能跳转。
ps:不过现在很多跳转都加了referer的校验导致攻击者跳转失败。
总结
以上便是一些常见的Web安全漏洞及测试方法,在当下网络安全越来越被重视的情况下,Web安全测试在测试流程中的重要性也日益凸显,虽然也存在AppScan等漏洞扫描工具,测试人员对常见的安全漏洞也需要有一定的认知。
7.性能测试
关注在一定条件下软件系统能做的多好
性能测试关键指标
1.并发用户数量
2.请求响应时间:网络传输(请求)时间 + 服务器处理(时间)+ 前端展现时间
3.事务响应时间 :完整的行为,例如:用户登录--点击链接--退出系统
发送请求--web服务器接收请求--进行处理--从数据库中取数据--生成页面给用户
4.吞吐量
5.吞吐率 (是单点)
6.TPS:每秒系统能够处理的交易或者事务的数量,衡量系统处理能力的重要指标
事务数量/时间
7.资源利用率:对不同的系统资源的使用程度,如:服务器的cpu利用率,磁盘利用率
是分析系统性能指标进而改善性能的主要依据,是web性能测试的重点
主要针对:web服务器、操作系统、数据库服务器、网络
8.PV/UV/IP
PV:访问量,高不一定代表访客多
UV: 独立访客,一台客户端为一个访客,每天只被计算一次
IP:独立IP, 每天相同Ip地址计算一次
思考时间:用户操作时,每个请求或操作之间的间隔时间,是为了更加真实模拟用户的操作场景
性能测试的关注点
用户角度:响应时间
管理员角度:资源、数据库资源、扩展性
系统设计人员的角度:架构设计
从测试工程师的角度:
1.系统用户数:系统的注册用户数
2.在线用户数:登录系统的用户
3.并发用户数:系统可以同时承载的正常使用系统功能的用户数量,即对服务器压力的用户数量
广义的并发:多个用户对被测系统发起多个请求,可以是同一操作,也可以不同,属于混合场景
严格意义的并发:所有用户在同时做同一件事情