web测试

兼容性一直是前端工程师心中永远的痛.手机浏览器,因为基本是webkit(blink)内核当道,很多公司,不用考虑IE系的浏览器,所以感觉兼容性上的问题可能会少一些. 但是手机端,虽然出了很多工具,但是调试依然比PC端麻烦很多.而且很多坑是因为手机浏览器本身的bug,一旦出现,相应的解决方案很难根据以前的经验进行推测.只能寄希望于谷歌 + 猜. 这里记录一下我做手机端浏览器 曾经 踩过的坑.之所以用”曾经”,随着版本的更新,有些问题没了. 另外我(我司)没有足够的人力和物力对很多手机浏览器进行测试,我也只需要兼容iPhone 4s(老大有一个4s的玩物,不然可以从5开始!-!)以上系列和很新的安卓手机.这点和大公司没法比,群里有个百度的朋友,低版本的安卓和 windows phone都要兼容…所以这篇文章当抛砖引玉了 (1)position:fixed position:fixed 应该是反映最多的问题.但是手机屏幕很小,对于一些要重点突出的地方,还特别需要fixed在视口的某个位置, 我遇到的问题包括: 呼出系统输入法后,fixed元素位置乱飘. fixed的元素是后弹出的,点击发生 击穿 现象(会触发弹层下面元素的click) 涉及整页动画时,元素位置乱飘 如果祖先元素使用了 transform 相关的样式,fixed元素的不按照视口来定位. 解决的思路 用代码,触发一下滚动

Web渗透测试概述 安全组织达成共识的通用说法是： 渗透测试是通过模拟恶意黑客的攻击方式，来评估计算机网络系统安全的一种评估方法。 Web渗透测试——只是针对于Web应用的渗透测试 Sql注入是典型的输入不充分例子。 目录穿越：直接穿越到系统文件，直接输入到客户端，泄露配置文件。 建议输入和输出都进行过滤。 黑客攻击思路： Web渗透测试像是体检，只是做前两步，发现漏洞后和研发部门解决问题 来源： CSDN 作者： 山鬼谣弋痕夕 链接： https://blog.csdn.net/weixin_30363263/article/details/83585144

1 短信炸弹 漏洞描述 短信轰炸攻击是常见的一种攻击，攻击者通过网站页面中所提供的发送短信验证码的功能处，通过对其发送数据包的获取后，进行重放，如果服务器短信平台未做校验的情况时，系统会一直去发送短信，这样就造成了短信轰炸的漏洞。 渗透测试 手工找到有关网站注册页面，认证页面，是否具有短信发送页面，如果有，则进行下一步。 通过利用burp或者其它抓包截断工具，抓取发送验证码的数据包，并且进行重放攻击，查看手机是否在短时间内连续收到10条以上短信，如果收到大量短信，则说明存在该漏洞。 风险评级： 可对任意手机号轰炸判定为高风险 只可对当前手机号轰炸或单个手机号码做了限制，但变换手机号码仍然可以不断发送的，判定为低风险。 安全建议 合理配置后台短信服务器的功能，对于同一手机号码，同一验证发送次数不超过5-10次，且对发送时间间隔做限制 当发送超过一定次数（可以为0），加入验证码验证。 2 邮件炸弹 漏洞描述 应用系统未限制邮件的发送次数和频率，造成短时间内大量邮件发送至接收者邮箱，造成大量垃圾邮件。 渗透测试 手工找到有关网站注册页面，认证页面，是否具有邮件发送页面，如果有，则进行下一步 通过利用burp或者其它抓包截断工具，抓取发送邮件的数据包，并且进行重放攻击，查看邮箱是否在短时间内连续收到10封以上邮件，如果收到大量邮件，则说明存在该漏洞 风险评级： 可对任意邮箱轰炸

一、功能测试 测试用例是测试的核心，测试用例的设计是一种思维方式的体现，在用例的设计中，用的比较多的方法是边界值分析法和等价类划分法，下面主要从输入框，搜索功能，添加、修改功能，删除功能，注册、登录功能以及上传图片功能等11个方面进行总结说明。 1、输入框 输入框是测试中最容易出现bug的地方，所以在测试时，一定要多加注意。 2、搜索功能 （1）比较长的名称是否能查到？ （2）空格 或空 （3）名称中含有特殊字符，如：’ $ % & *以及空格等 （4）关键词前面或后面有空格 （5）如果支持模糊查询，搜索名称中任意一个字符是否能搜索到 （6）输入系统中不存在与之匹配的条件 （7）两个查询条件是否为2选1，来回选择是否出现页面错误 （8）输入脚本语言,如：等 3、添加、修改功能 （1）是否支持tab键 （2）是否支持enter键 （3）不符合要求的地方是否有错误提示 （4）保存后，是否也插入到数据库中？ （5）字段唯一的，是否可以重复添加 （6）对编辑页列表中的每个编辑项进行修改，点击保存，是否保存成功？ （7）对于必填项，修改为空、空格或其他特殊符号，是否可以编辑成功 （8）在输入框中，直接回车 （9）是否能够连续添加 （10）在编辑的时候，要注意编辑项的长度限制，有时，添加时有长度限制，但编辑时却没有（添加和修改规则是否一致） （11）添加时，字段是唯一的，不允许重复，但有时

Web测试和App测试从流程上来说，没有区别 。都需要经历测试计划方案，用例设计，测试执行，缺陷管理，测试报告等相关活动。从技术上来说，WEB测试和APP测试其测试类型也基本相似，都需要进行 功能测试、性能测试、安全性测试、GUI测试 等测试类型。 他们的主要区别在于具体测试的细节和方法有区别，比如：性能测试，在WEB测试只需要测试响应时间这个要素，在App测试中还需要考虑流量测试和耗电量测试。 兼容性测试： 在WEB端是兼容浏览器，在App端兼容的是手机设备。而且相对应的兼容性测试工具也不相同，WEB因为是测试兼容浏览器，所以需要使用不同的浏览器进行兼容性测试（常见的是兼容IE6，IE8，chrome，firefox）如果是手机端，那么就需要兼容不同品牌，不同分辨率，不同android版本甚至不同操作系统的兼容。（常见的兼容方式是兼容市场占用率前N位的手机即可），有时候也可以使用到兼容性测试工具，但WEB兼容性工具多用IETester等工具，而App兼容性测试会使用Testin这样的商业工具也可以做测试。 安装测试： WEB测试基本上没有客户端层面的安装测试，但是App测试是存在客户端层面的安装测试，那么就具备相关的测试点。还有，App测试基于手机设备，还有一些手机设备的专项测试。如交叉事件测试，操作类型测试，网络测试（弱网测试，网络切换） 交叉事件测试：

一、功能 测试 1、链接测试　　 （1）、测试所有链接是否按指示的那样确实链接到了该链接的页面； （2）、测试所链接的页面是否存在； （3）、保证Web应用系统上没有孤立的页面(所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问)。 2、表单测试 （1）、注册、登陆、信息提交等，必须测试提交操作的完整性，以校验提交给服务器的信息的正确性； （2）、用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等； （3）、检验默认值的正确性； （4）、如表单只能接受指定的某些值，测试时跳过这些字符，看系统是否会报错。 3、Cookies测试(session测试同) （1）、Cookies是否起作用； （2）、Cookies是否按预定的时间进行保存； （3）、刷新对Cookies有什么影响。 4、设计语言测试 （1）、使用哪种版本的HTML； （2）、验证不同的脚本语言。例如Java、Javascrīpt、 ActiveX、VBscrīpt或Perl等。 5、数据库测试 （1）、数据一致性错误：主要是由于用户提交的表单信息不正确而造成的； （2）、输出错误：主要是由于网络速度或程序设计问题等引起的。 二、性能测试 1、连接速度测试 （1）、Web系统响应时间； （2）、超时的限制。 2、负载测试 （1）、某个时刻同时访问Web系统的用户数量； （2）

功能测试 1、链接测试 　　链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先，测试所有链接是否按指示的那样确实链接到了该链接的页面；其次，测试所链接的页面是否存在；最后，保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。 　　链接测试可以自动进行，现在已经有许多工具可以采用。链接测试必须在集成测试阶段完成，也就是说，在整个Web应用系统的所有页面开发完成之后进行链接测试。 　　2、表单测试 　　当用户给Web应用系统管理员提交信息时，就需要使用表单操作，例如用户注册、登陆、信息提交等。在这种情况下，我们必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。例如：用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等。如果使用了默认值，还要检验默认值的正确性。如果表单只能接受指定的某些值，则也要进行测试。例如：只能接受某些字符，测试时可以跳过这些字符，看系统是否会报错。 　　3、Cookies测试 　　Cookies通常用来存储用户信息和用户在某应用系统的操作，当一个用户使用Cookies访问了某一个应用系统时，Web服务器将发送关于用户的信息，把该信息以Cookies的形式存储在客户端计算机上

输入框 字符型输入框 字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符“~！@#￥%……&*？[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入 长度检查：最小长度、最大长度、最小长度-1、最大长度+1、输入超多的字符比如把整个文章拷贝过去 空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格 多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示） 安全性检查：输入特殊字符串 （null,NULL, ,javascript,<script>,</script>,<title>,<html>,<td>）、输入脚本函数(<script>alert("abc")</script>)、doucment.write("abc")、<b>hello</b>） 数值型输入框 边界值：最大值、最小值、最大值+1、最小值-1 位数：最小位数、最大位数、最小位数-1、最大位数+1、输入超长值、输入整数 异常值、特殊字符：输入空白（NULL）、空格或"~!@#$%^&*等可能导致系统错误的字符、禁止直接输入特殊字符时，尝试使用粘贴拷贝查看是否能正常提交、word中的特殊功能，通过剪贴板拷贝到输入框，分页符，分节符类似公式的上下标等

Web项目测试流程大致包含的几个阶段：立项、需求评审、用例评审、测试执行、测试报告文档 立项后测试需要拿到的文档 1.需求说明书 2.原型图（及UI图） 3.接口文档 4.数据库字典（表的数量、缓存机制） 需求评审 参加人员：开发、测试及需求人员，由需求人员主持讲解 为了会议的有效举行，测试及开发人员需要在会议开始之前熟悉需求文档及原型，将有疑问的点标注出来再会议中一一确认，对不明确的点要督促开发及需求一并关注，对不能立马得到肯定回复的点记录在一起，会议结束后，邮件整理好发出给各位参与人员。 在项目可控的进度中，需求评审是必要的环节。当然，有些比较小的项目会忽略此阶段，个人认为这是非常有必要的环节，这不但减少了后期开发、测试、需求人员的意见分歧，还保证了项目的进度。 用例编写（同时根据开发计划编写测试计划） 用例功能类型 大致分为7类： 1.主流程：该模块实现的主要功能流程 2.备选流：不一定完成执行一个功能，而是终止了流程 3.异常流：由于某些异常原因，使流程的功能无法实现 4.业务规则：必填项，强制的要求 5.正常类：返回功能、必填项输入范围、页面按钮的切换等 6.异常类：网络异常、返回异常等 7.界面检查：针对每个页面的样式及内容检查 注：几个大类中主流程、正常类、异常类和界面检查四个大类使用的比较多，一个项目不需要涵盖所有的用例类别

一、 功能测试 1、链接测试　　 （1）、测试所有链接是否按指示的那样确实链接到了该链接的页面； （2）、测试所链接的页面是否存在； （3）、保证Web应用系统上没有孤立的页面(所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问)。 2、表单测试 （1）、注册、登陆、信息提交等，必须测试提交操作的完整性，以校验提交给服务器的信息的正确性； （2）、用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等； （3）、检验默认值的正确性； （4）、如表单只能接受指定的某些值，测试时跳过这些字符，看系统是否会报错。 3、Cookies测试(session测试同) （1）、Cookies是否起作用； （2）、Cookies是否按预定的时间进行保存； （3）、刷新对Cookies有什么影响。 4、设计语言测试 （1）、使用哪种版本的HTML； （2）、验证不同的脚本语言。例如Java、Javascrīpt、 ActiveX、VBscrīpt或Perl等。 5、数据库测试 （1）、数据一致性错误：主要是由于用户提交的表单信息不正确而造成的； （2）、输出错误：主要是由于网络速度或程序设计问题等引起的。 二、性能测试 1、连接速度测试 （1）、Web系统响应时间； （2）、超时的限制。 2、负载测试 （1）、某个时刻同时访问Web系统的用户数量； （2）