fiddler

- scrapy环境的安装 a. pip3 install wheel b. 下载twisted http://www.lfd.uci.edu/~gohlke/pythonlibs/#twisted c. 进入下载目录，执行 pip3 install Twisted‑17.1.0‑cp35‑cp35m‑win_amd64.whl d. pip3 install pywin32 e. pip3 install scrapy - scrapy使用 - 1.创建一个工程：scrapy startproject ProName （注 startproject 中间没有空格） - 2.cd ProName - 3.创建爬虫文件：scrapy genspider first www.xxx.com - 4.执行：（allowed_domains 注释掉） - settings.py: - 不遵从rbotes协议 - 进行UA伪装 - 指定日志等级：LOG_LEVEL = ‘ERROR’ scrapy crawl spiderName - 持久化存储 - 基于终端指令： - 前提：只可以将parse方法的返回值进行本地文件的持久化存储 - 指令：scrapy crawl spiderName -o filePath - 基于管道： - 编码流程： 1.数据解析 2

一、软件测试功能测试 测试用例编写是软件测试的基本技能；也有很多人认为测试用例是软件测试的核心；软件测试中最重要的是设计和生成有效的测试用例；测试用例是测试工作的指导，是软件测试的必须遵守的准则。 黑盒测试常见测试用例编写方法 1、等价类 选取少数有代表性的数据，这一类数据等价于这一类的其它值；找出最小的子集，可以发现最多的错误；特性：必须设计的用例；涵盖了大部分情况； 2、边界值 所谓边界条件，是指输入和输出等价类中那些恰好处于边界、超过边界、或在边界以下的状态 ；特征：选择一个或多个元素，以便等价类的每一个边界都经过了测试；与仅仅关注输入条件不同，还需要考虑结果空间（输出等价类）设计测试用例； 3、因果图 输入条件的组合进行分析。用一个系统的方法选择出高效的测试用例集； 分析思路： a、分析规格说明描述，确定原因和结果，并赋予标识符； b、分析规格说明语义，找出原因与原因之间，原因与结果之间关系，画出因果图； c、有些原因与原因之间，原因与结果之间组合不会出现，用记号表明约束或限制条件； d、因果图转换为判定表； e、判定表的每一列作为依据，设计测试用例； 4、判定表驱动法 分析和表达多逻辑条件下执行不同操作的情况的工具 ；略过因果图的绘制，直接列出所有组合进行筛选； 5、正交实验法 利用因果图来设计测试用例时, 输入原因与输出结果之间的因果关系

一、软件测试功能测试 测试用例编写是软件测试的基本技能；也有很多人认为测试用例是软件测试的核心；软件测试中最重要的是设计和生成有效的测试用例；测试用例是测试工作的指导，是软件测试的必须遵守的准则。 黑盒测试常见测试用例编写方法 1、等价类 选取少数有代表性的数据，这一类数据等价于这一类的其它值；找出最小的子集，可以发现最多的错误；特性：必须设计的用例；涵盖了大部分情况； 2、边界值 所谓边界条件，是指输入和输出等价类中那些恰好处于边界、超过边界、或在边界以下的状态 ；特征：选择一个或多个元素，以便等价类的每一个边界都经过了测试；与仅仅关注输入条件不同，还需要考虑结果空间（输出等价类）设计测试用例； 3、因果图 输入条件的组合进行分析。用一个系统的方法选择出高效的测试用例集； 分析思路： a、分析规格说明描述，确定原因和结果，并赋予标识符； b、分析规格说明语义，找出原因与原因之间，原因与结果之间关系，画出因果图； c、有些原因与原因之间，原因与结果之间组合不会出现，用记号表明约束或限制条件； d、因果图转换为判定表； e、判定表的每一列作为依据，设计测试用例； 4、判定表驱动法 分析和表达多逻辑条件下执行不同操作的情况的工具 ；略过因果图的绘制，直接列出所有组合进行筛选； 5、正交实验法 利用因果图来设计测试用例时, 输入原因与输出结果之间的因果关系

一、软件测试功能测试 测试用例编写是软件测试的基本技能；也有很多人认为测试用例是软件测试的核心；软件测试中最重要的是设计和生成有效的测试用例；测试用例是测试工作的指导，是软件测试的必须遵守的准则。 黑盒测试常见测试用例编写方法 1、等价类 选取少数有代表性的数据，这一类数据等价于这一类的其它值；找出最小的子集，可以发现最多的错误；特性：必须设计的用例；涵盖了大部分情况； 2、边界值 所谓边界条件，是指输入和输出等价类中那些恰好处于边界、超过边界、或在边界以下的状态 ；特征：选择一个或多个元素，以便等价类的每一个边界都经过了测试；与仅仅关注输入条件不同，还需要考虑结果空间（输出等价类）设计测试用例； 3、因果图 输入条件的组合进行分析。用一个系统的方法选择出高效的测试用例集； 分析思路： a、分析规格说明描述，确定原因和结果，并赋予标识符； b、分析规格说明语义，找出原因与原因之间，原因与结果之间关系，画出因果图； c、有些原因与原因之间，原因与结果之间组合不会出现，用记号表明约束或限制条件； d、因果图转换为判定表； e、判定表的每一列作为依据，设计测试用例； 4、判定表驱动法 分析和表达多逻辑条件下执行不同操作的情况的工具 ；略过因果图的绘制，直接列出所有组合进行筛选； 5、正交实验法 利用因果图来设计测试用例时, 输入原因与输出结果之间的因果关系

抓包 抓包是爬虫里面经常用到的一个词，完整的应该叫做抓取 数据请求响应包 ，而Fiddler这款工具就是干这个的 普通https抓包设置 打开Fiddler ------> Options .然后打开的对话框中，选择HTTPS tab页，如图所示： 说明 (配置完后记得要重启Fiddler) 选中"Decrpt HTTPS traffic", Fiddler就可以截获HTTPS请求 Ignore server certificate errors忽略证书错误 第一次会提示是否信任fiddler证书及安全提醒，选择yes，之后也可以在系统的证书管理中进行管理。 配置Fiddler允许远程连接 切换tab选项卡到 Connections 配置端口 选中"Allow remote computers to connect". 是允许别的机器把HTTP/HTTPS请求发送到Fiddler上来 等会设置手机代理时需要。设置好后重启fiddler保证设置生效。 到现在为止，其实Fiddler已经可以抓取你电脑上浏览器访问的数据了，如果不行，重启Fiddler和浏览器即可 记录本机的IP 打开cmd窗口，不会的自行百度 在里面输入 ipconfig 获取你的ip4地址 ，这个地址一定要记住，后面配置模拟器的时候是需要用的~ ip 192.168.137.1 下载模拟器

今天和大家聊聊 CSRF(Cross — Site Request Forgery) 跨站点请求伪造 背景： 节后上班的第一天，无心工作，还被告知今天的文章还没有发，心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞，该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求，可能会存在盗号风险，心更塞。惨痛的教训总结最深刻的经验，这波经验无私奉献给你们。 一、CSRF 原理 什么是 CSRF ？危害是什么？简单理解， CSRF 是一种危险的恶意请求利用 ，攻击者利用用户本地的cookie ，冒充用户发送一些恶意的请求，而这些请求对服务器来说是完全合法的。可能造成的后果是攻击者冒用用户名义发送消息、盗取账号、消耗账号内资源等。 用一个网上流传甚广的例子来说明 这就是 CSRF 攻击攻击原理及过程，为了大家更好理解，以上的过程简化为 浏览器在接收到这些攻击性代码后，根据网站 B 的请求，在用户不知情的情况下携带 Cookie 信息，向网站 A 发出请求。网站 A 并不知道该请求其实是由 B 发起的，所以会根据用户 的 Cookie 信息以 用户 的权限处理该请求，导致来自网站 B 的恶意代码被执行。 二、检测 CSRF CSRF 危害这么大，测试工程师在测试中怎么检测？ 1.手动检测 用最通俗易懂的话告诉大家怎么操作： 步骤一 ：在搜狗浏览器（来一波广告

在日常的测试工作中，大家是否会遇到类似的问题呢？ 1、比如页面数据不够，翻页功能无法测试 2、页面某些功能暂时没有找到满足要求的数据 3、做数据分析的时候，需要用到大量的数据，而现有环境中数据量满足不了 ...... 怎么去解决数据的问题呢？ 1）、基于GUI构造测试数据 好处： 1、不光是在造数据，本质上还是一次端到端的测试 2、没有过多技能要求，熟悉页面，能在页面进行操作就行 缺点： 1、创建数据的效率很低 2、创建数据依赖太多（依赖后台接口、测试环境和开发的支持） 3、基于 GUI 的测试数据创建方法不适合封装成测试数据工具 4、造数据的成本高，稳定性差，依赖性太强 2）通过api调用（python的faker库，jmeter等方式） 优点： 1、生成的数据可靠 2、效率高 3、构造数据的脚本可以改成接口case 4、能跳过前台，不依赖于前端 缺点： 1、需要学习成本 2、需要整理接口 3、有个别的业务，需要用到接口之外的一些其他参数（可能有部分数据是前端处理之后传给接口的），处理起来非常麻烦 3)通过数据库(sql)生成测试数据 优点： 1、效率比较高 缺点 1、整理数据库的关系非常困难，整理一个业务对应的所有sql很不容易 4）基于线上现有业务数据脱敏后导入测试环境 在涉及到大数据测试时，往往需要大量的数据用于验证逻辑，这个时候可以考虑将线上数据脱敏后

接口测试作为集成测试的一部分，通过直接调用被测试的接口来确定系统在功能性、可靠性、安全性和性能方面是否能达到预期，有些情况是功能测试无法覆盖的，所以接口测试是非常必要的。 接口测试分为两种，一种是webservice接口，走soap协议通过http传输，请求报文和返回报文都是xml格式的，测试时通过工具soapUI进行测试。使用情况比较少；另一种http api接口，走http传输协议，通过路径来区分调用的方法，最常用的是get和post请求。 　　get请求和post请求的区别在哪里呢？网上的答案为： 　　1、get请求可以在浏览器中请求到，post请求的测试需要借助工具 　　2、get请求使用url和cookie传参，post的数据放在body中 　　3、post比get更安全，因为传递的参数在url上是看不到的 　　4、get请求的url会有限制，而post请求的数据可以非常大 　　5、一般get请求是来获取数据，post请求是传递数据的 　　其实，对于现在飞速发展的 互联网来说，上面的说法已经不严谨了。首先，post请求的参数也可以写在url里，但是这种情况不多见；其次表面上看起来，post利用body传参，比get的url传参安全，但其实只要用抓包工具（fiddler，Charles等），post的参数也是一览无余；再次，现在的浏览器非常强大，可以输入支持很长的URL

一、进行接口测试准备的东西 1.接口测试工具：apipost、jmeter等 2.接口文档，没有接口文档就用接口信息获取工具 3.接口信息收取工具：fiddler抓包工具、浏览器开发者工具（f12）等 二、web接口测试需要获取的东西 web接口测试需要知道的三个条件 1.请求方式：get、post、put、patch、delete等 2.url地址：分为http请求和https是请求，如： http://www. baidu.com 和 https://www. baidu.com 3.body传递的参数：一般是以json的格式传递参数如："name":"xiaoming","pwd":"123"。一般以post传递参数请求为多。 三、fiddler抓包工具 fiddler是由 C# 开发的最强大好用的免费web调试工具之一，可记录所有客户端和服务见的 http 以及 https 请求，可监视设断点，甚至修改输入输出数据，它还包含了一个强大的基于事件脚本的子系统，并且能使用 .net 语言来拓展。 fiddler就是通过我们对网页的操作使用而进行的接口信息的抓取的。抓取之后按照上面需求的请求方法、url和body来查找需要的数据。 这是一个简单的登录请求被fiddler抓取到的信息，我们可以用到的分别是： 1.Protocol请求类型：http或https。这里是http 2