web测试

1、相同点 不管是传统行业的web测试，还是新兴的手机app测试，都离不开测试的基础知识，即是不管怎么变，测试的原理依然会融入在这两者当中。 1）设计测试用例时，依然都是依据边界值分析法、等价类划分等； 2）多数采用黑盒的测试方法，来验证业务功能是否得到正确的应用； 3）需要检查界面的布局、风格和按钮等是否简洁美观、是否统一等； 4）测试页面载入和翻页的速度、登录时长、内存是否溢出等； 5）测试应用系统的稳定性等。 2、不同点 相对于web测试，手机软件测试，除了要考虑基本的功能测试、性能等，还要考虑手机本身固有的属性特征。所以对比web测试和手机测试，手机测试过程中还需要注意如下几个方面特性： 1）手机作为通信工具，来电、去电、接收短信等操作都会对app应用程序产生影响，所以app测试第一个要考虑的属性特征是：中断测试。 中断测试有人为中断、新任务中断以及意外中断等几种情况，主要从以下几个方面进行验证： a.来电中断：呼叫挂断、被呼叫挂断、通话挂断、通话被挂断 b.短信中断：接收短信、查看短信 c.其他中断：蓝牙、闹钟、插拔数据线、手机锁定、手机断电、手机问题（系统死机、重启） 2）手机用户对app产品的安装卸载操作：从上一个版本/上两个版本直接升级到最新版本。 全新安装新版本 新版本覆盖旧版本安装 卸载旧版本，安装新版本 卸载新版本，安装新版本 3

最近整理渗透测试的标准，需要梳理归纳出一个渗透测试的标准流程，参考了很多相关的书籍资料。 （1）IPD常见的流程，（Integrated Product Development）是一套产品开发的模式、理念与方法。熟练应用在互联网企业中。 TR1——概念阶段技术评审点：产品需求和概念技术评审（业务需求评审）。 TR2——计划阶段技术评审点1：需求分解和需求规格评审（功能需求评审，产品级规格）。 TR3——计划阶段技术评审点2：总体方案评审（系统设计， 架构设计 ， 概要设计 ）。 TR4——开发阶段技术评审点1：模块/系统评审（详细设计，BBFV测试结果）。 在产品发布之前，安全测试是TR4版本之后，对Web进行安全测试， 我们使用自动化工具进行的渗透测试（前期的自动化渗透测试），单纯的拿到的是部分常见的的漏洞，比方你发现的跨站脚本，上传漏洞，SQL注入等。这些漏洞并不是针对用户端的代码层的漏洞或者逻辑层的漏洞，对于一些业务逻辑上的漏洞的安全性危害是最大的。常见的这些漏洞会是攻击者进一步获取系统信息升级权限，从而造成对业务逻辑和应用上的攻击。这样就危害大了。 我们常规的安全问题反映在应用上和服务上，应用上主要是移动端，手机，笔记本，台式机等的，服务上主要是服务器。 （2）WEb应用的扫描测试 （使用的工具 APPScan ， Burp Suite ， Nmap，WEbInset

web通用性功能测试脑图： Web 功能测试的点： 一、输入框 1 、字符型输入框： （ 1 ）字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符“ ~ ！ @# ￥ % …… &* ？ []{} ”特别要注意单引号和 & 符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入。 （ 2 ）长度检查：最小长度、最大长度、最小长度 -1 、最大长度 +1 、输入超工字符比如把整个文章拷贝过去。 （ 3 ）空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格 （ 4 ）多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示）、 （ 5 ）安全性检查：输入特殊字符串（ null,NULL, ,javascript,<script>,</script>,<title>,<html>,<td> ）、输入脚本函数 (<script>alert("abc")</script>) 、 doucment.write("abc") 、 <b>hello</b> ） 2 、数值型输入框： （ 1 ）边界值：最大值、最小值、最大值 +1 、最小值 -1 （ 2 ）位数：最小位数、最大位数、最小位数 -1 最大位数 +1 、输入超长值、输入整数 （ 3 ）异常值、特殊字符：输入空白（

某些时候两个概念会混淆在一起。 但是要分开的话，就是这样———————— （引用一下pcl的话） 压力测试（STRESSTEST）和负载测试（LOADTEST）的区别是什么？” 先让我们先了解什是压力测试，负载测试。 压力测试是在一定的负荷条件下，长时间连续运行系统给系统性能造成的影响。 负载测试：在一定的工作负荷下，给系统造成的负荷及系统响应的时间。 从概念上区别他们，可以看出压力测试有个长时间运行，而负载测试负载类型可能是其他类型的。 压力测试主要是为了发现在一（任意）定条件下软件系统的性能的变化情况。通过改变应用程序的输入以对应用程序施加越来越大的负载（并发，循环操作，多用户）并测量在这些不同的输入时性能的改变，也就是通常说的概念：压力测试考察当前软硬件环境下系统所能承受的最大负荷并帮助找出系统瓶颈所在。其实这种测试也可以称为负载测试，但是负载测试通常描述一种特定类型的压力测试——增加用户数量以对应用程序进行压力测试。 比如实际中我们说从比较小的负载开始，逐渐增加模拟用户的数量， 直到应用程序响应时间超时，就是说的负载测试。 ---- 再引用一下web测试中的内容 2、负载测试 　　负载测试是为了测量Web系统在某一负载级别上的性能，以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量，也可以是在线数据处理的数量。例如

一、APP项目与WEB项目 1.APP项目：C/S结构，用户必须安装客户端，APP项目更新需要同时更新客户端和服务端； 2.WEB项目：B/S结构，用户不需要安装客户端，直接浏览器打开，WEB项目更新只需要更新服务端即可。 二、性能测试 1.APP项目：需要关心流量、电量、CPU、GPU、Memory； 2.WEB项目：主要关心相应时间； 3.公共点：正常功能测试，服务端测试； 三、兼容测试 1.APP项目：分辨率、屏幕尺寸、手机设备系统， 适配性->兼容不同安卓版本、不同厂商、不同手机品牌 2.WEB项目：浏览器类型和浏览器版本、电脑系统； 四、专项测试 1.APP项目：测试应用的安装、更新（在线升级测试）、卸载， 以及操作过程中会出现的中断、弱网， 安装后删除安装文件， 网络->3G、4G、WIFI， 中断测试->电话、短信、各种语音打扰， 耗电量测试， 弱网测试->信号差、信号被屏蔽， 流量测试 来源： https://www.cnblogs.com/yuyanhzao/p/11951592.html

1、理解链接需要测试的 测试点 ： 【1】 要测试的链接页面是否存在 【2】 确定存在链接页面，然后就考虑跳转后的页面是不是对应需求的页面 【3】 保证Web系统上没有孤立的页面（没有链接指向该页面） 2、 需要用到的自动化工具Xenu Xenu有一定的局限性：只能测试链接存不存在，无法验证链接的正确性（意思是说只要能够跳转，即使链接内容不正确也不会报错） 下载地址： http://home.snafu.de/tilman/x... 步骤：【1】点击Download 【2】页面自动下拉后，点击“Download”就会自动下载 【3】 解压后双击一键傻瓜式安装（可以修改安装路径） 【4】 安装后会弹出下方窗口，可以选择close关闭，也可查看，这只是一些操作功能。 【5】现在就可以进行测试了，首先点击file,在下拉列表选择Check URL会弹出下列窗口 上方的1窗口可以输入你要测试的网站的网址 比如输入： https://www.myofferdemo.com/a... external lin; 因为进入一个网站也有许多网页而第二个窗口就是选择指定要测试的网址 比如输入：只测试web的，就在网址后加/web,然后点击Add按钮添加 ; 第三个窗口则是不测试什么网址。 【6】 输入网址后点击左下角“ore options..”弹出下方弹框 设置线程意思就是设置多少个用户去访问

该软件下载地址:https://www.jb51.net/softs/659643.html Acunetix Web Vulnerability Scanner（简称：Acunetix WVS）是来自国外的一款权威、专业的商业级Web漏洞扫描程序。 它是领先的网络漏洞扫描器，被广泛称赞包括最先进的 sql 注入和 xss 黑匣子扫描技术。它会自动抓取您的网站，并执行黑匣子和灰色框黑客技术，发现危险的漏洞，可能会危及您的网站和数据。 该软件能够针对sql 注入、xss、xxxe、ssrf、主机头注入和4500其他web 漏洞进行测试，具有最先进的扫描技术，可产生尽可能最少的误报。 通过内置的漏洞管理功能简化web 应用程序安全过程，这些功能可帮助您确定漏洞解决的优先级并进行管理。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力， Acunetix 12重新设计的基于Web的用户界面，让用户使用和管理更加容易。此外，Acunetix 12也可以被多个用户使用。 1、下载软件压缩包文件，首先点击“Acunetix.Web.12.0.180911134.Retail.exe”安装最新版原程序 2、阅读并同意软件安装协议 3、设置登录信息，包括邮箱地址以及登录密码，Email和pwd在安装后，扫描时登录https://localhost:3443用 密码要包含：字母

1.使用说明： 　　本文使用的操作系统：win10 　　电脑上已经安装了Python 3.0的解释器（需要的可以从官网下载，网址： https://www.python.org/ ） 2.环境安装方法（需要联网哦！）： 　　1)检查是否已经安装了python的解释器：win+R----->输入：cmd 回车---->输入：python回车--->出现python的版本信息，表示python解释器是正常安装的----->输入exit() 退出python的解释器的环境 　　2)win+R---->输入：cmd 回车---->输入：pip 回车------>出现以下文字 　　　　　　　　　　　　　　Usage: 　　　　　　　　　　　　　　pip <command> [options] 　　　　　　　　　　　　　　Commands: 　　　　　　　　　　　　　　install………………---->表示pip命令是可以使用的 　　3)win+R---> 输入：cmd 回车进行以下操作： 　　　　查看安装的包：pip show 包名（此处查看的是Selenuim的包） 　　　　安装包：pip install 包名（pip install selenium） 　　　　卸载包：pip uninstall 包名（pip uninstall selenium） 　　　　列举包名：pip list

1.自动化是什么？ 　　定义：使用机器设备代替人工自动完成指定目标的过程 　　实际生活中的例子：工厂中螺丝的自动生成 　　good：减少人工劳动力、提高工作效率、产品规格统一标准、规模化（批量生产） 2.自动化测试是什么？ 　　定义：让程序代替人工去验证系统功能的过程 　　软件测试：校验系统是否满足规定需求，校验预期结果和实际结果之间的差别 　　实际生活中的例子：阿里的仓储 　　可以解决的问题： 　　　　回归测试：项目在发新版本之后对项目之前的功能进行验证 　　　　压力测试：多个用户同时操作软件，统计软件服务器处理对用户请求的能力 　　　　兼容性测试：不同的浏览器上软件是否显示正常 　　　　提高测试效率，保证产品质量 　　good：在较少的时间内运行更多和测试用例 　　　　　自动胡脚本可重复执行 　　　　　减少人为的错误 　　　　　克服手工测试的局限性 　　注意点： 　　　　　自动化测试不能完全代替手工测试 　　　　　自动化测试和手工测试没有谁更厉害之分 　　　　　自动化测试并不能发现更多的bug 　　　　　自动化测试适合部分功能 　　分类： 　　　　web自动化测试（黑盒）、移动自动化测试、接口自动化测试（灰盒）、单元自动化测试（白盒）　 3.web自动化测试是什么？ 　　定义：让程序代替人工自动验证web项目功能的过程（预期结果和实际结果的比较） 　　使用场景：需求稳定、周期长

tomcat 请求处理流程 nginx虚拟主机：3种，基于IP 、基于域名、基于端口 tomcat虚拟主机： ``````````````````````````````````````````````````````````````````````````````````````` tomcat 请求处理流程 tomcat处理流程:用户发送请求到WEB服务器，该请求会披正在监听的Connector连接器接收， 并把该请求交给Service下的Engine来处理，并等待Engine处理的结果。 Engine获得清求后会根据请求的主机信息来匹配相应的Host主机， Host主机会根据请求的路径匹配对应的Context, Context web应用匹配上之后就构建request. response请求对象， 调用指定的Servlet来处理请求。请求处理完成后会将response对象返回给Host主机， Host主机将response对象返回给Engine引擎，Engine 再将response 对象返回给Connector链接器， 最后Connector连接器将response返回给浏览器。 ------------------------------------------------------------------------------------------ 实验1