❶ 零基础如何学习软件测试
零基础学习软件测试的方法有:
一、了解测试基础
例如测试流程,测试方法,测试用例的编写,软件测试计划编写,包括测试的主流模型,还有缺陷管理工具(如禅道jira或其它),了解数据库,这里的了解是指增删改了解,并且“查”要尽量做到熟练。
二、学习并掌握计算机网络方面的知识
主要是协议之类的(如netbeUI协议,IPX/SPX,TCP/IP,OSI等这些协议),然后在把app跟web测试的测试方法及流程,测试思路,前后台的逻辑分析,包括测试点及测试的范围,都细心标记,主要是工具的结合使用。这样能为你后续的工作提高效益,也不至于出现在工作中不知道怎么介入和开展工作的情况。
三、软件测试技术成长
软件测试技术成长可以从以下几个问题入手,去进行查漏补缺,去进行学习!
功能方面:如何设计测试用例?如何进行发散测试?如何防止漏测?
性能方面:用户常用的功能如何才能体验性更好,速度更快?
安全方面:软件有没有做最基本的安全防御?常见的sql注入,CSRF攻击是否对我们的软件安全有威胁?你的软件足够的安全吗?
自动化方面:自动化是什么?在什么情况下做自动化?哪些功能测试用例适合通过自动化脚本来执行?
四、要想有效快速学习软件测试,良好的时间管理方法对你大有裨益。
时间管理每个人有自己不同的方式,对我来说最受益的两条建议就是:
1.按照工作的优先级进行处理,可以参考时间管理的工作四象限法。
2.对自己每天的时间进行记录,长期归纳总结,得出最适合自己的时间管理方案。
(1)sql注入测试用例扩展阅读:
软件测试需要学习测试用例、测试用例的方法、缺陷管理工具、掌握数据库、App测试、python语言、Linux系统、前端语言等技能。
1、测试用例
这是每一个工程师必备技能,也是标志你进入测试行业最低的门槛,关于测试用例可以参考我以前写的文章。
2、测试用例的方法
测试用例的方法,只用掌握相关的方法,才能把测试用例写好,覆盖度高。
3、缺陷管理工具
缺陷管理工具,就是提交bug工具,这是评价软件质量考核之一,也是软件工程师的价值所在。
4、掌握数据库
掌握数据库非常重要,这个世界由许许多多数据组成,软件测试,就是满足客户的需求,但必须数据正确,其实软件工程师需要对数据流向的了解,才能更加深入地了解业务,这也是一项基本技能之一。
5、App测试
App测试,从兴起到目前市场的成熟,APP可以说成为市场上的主流产品。若你不会APP的测试,很多公司是是不要的,所以需要我们深入了解。web测试,其实跟App相似。
7、python语言
python语言是现在最流行的语言,这是测试人员技能升级最好的方式之一,测试人员可以利用他做非常多的事情。
8、Linux系统
Linux系统,测试人员利用它最多的是看日志,更好地为开发定位bug,这也是提升技能之一。
9、前端语言
前端语言,可以让自己更好的判断bug是前端还是后端造成的,多学一点技能对于测试人员非常好的。
❷ HTML5与CSS3项目测试
软件测试技巧
1、添加、修改功能
(1)是否支持tab键
(2)是否支持enter键
(3)不符合要求的地方是否有错误提示
(4)保存后,是否也插入到数据库中
(5)字段唯一的,是否可以重复添加
(6)对编辑页列表中的每个编辑项进行修改,点击保存,是否保存成功
(7)对于必填项,修改为空、空格或其他特殊符号,是否可以编辑成功
(8)在输入框中,直接回车
(9)是否能够连续添加
(10)在编辑的时候,要注意编辑项的长度限制,有时,添加时有长度限制,但编辑时却没有(添加和修改规则是否一致)
(11)添加时,字段是唯一的,不允许重复,但有时,编辑时,却可以修改为相同字段(相同字段包括是否区分大小写以及在输入内容的前后输入空格)
(12)添加含有特殊符号或空格的内容
(13)对于有图片上传功能的编辑框,对于没有上传的图片,查看编辑页面时,是否显示默认图片,如果上传了图片,是否显示为上传图片?
2、删除功能
(1)输入正确数据前加空格,看是否能正确删除?
(2)是否支持enter键
(3)是否能连续删除多个产品?当只有一条数据时,能否成功删除
(4)删除一条数据后,能否再添加相同的数据?
(5)当提供能一次删除多条信息的功能时,注意,删除的数据是否正确?
(6)不选择任何信息,直接点击删除按钮,看有什么错误提示?
(7)删除某条信息时,应该有错误提示信息
3、注册、登录模块
(1)注册成功,但登录失败:注册时,密码设置为一些特殊符号,但登录时,失败
(2)注册时,连续点击提交按钮
(3)注册成功后,页面应该以登录状态跳转到首页
(3)登录时,没区分大小写,注册时,是小写字母,但登录时,用大写字母也能登录进去
(4)登录时,当页面刷新或重新输入新数据时,验证码是否也随之更新
(5)对密码的修改,当把密码修改为很长,或含有特殊符号时,能够修改成功,但却不能成功登录。
4、上传图片测试
(1)文件类型正确,文件大小合适
(2)文件类型正确,文件大小不合适
(3)文件类型错误,文件大小合适
(4)文件类型和大小都合适,上传一个正在使用中的图片
(5)文件类型和大小合适,手动输入一个存在的图片地址来上传
(6)文件类型和大小合适,手动输入一个不存在的图片地址上传
(7)文件类型和大小都合适,手动输入图片名称来上传
5、返回键检查
(1)一条已经成功提交的记录,返回后再提交,看系统是否做了处理
(2)检查多次使用返回键的情况,在有返回键的地方,返回到原来页面重复多次,看是否会出错
6、回车键检查
在输入结束后,直接按回车键,看系统处理如何,是否会报错
7、刷新键检查
在web系统中,使用浏览器的刷新键,看系统处理如何,是否会报错
8、直接URL链接检查
在web系统中,直接输入各功能页面的URL地址,看系统如何处理
9、其他
(1)在测试时,有与网络有关的步骤必须考虑到断网的情况
(2)每个页面都有相应的页面title
(3)在测试的时候要尽量考虑在页面出现滚动条时(滚动条上下滚动下),页面显示是否正常
(4)URL不区分大小写
10、测试中,并发情况的考虑
总结了以下两种情况:
(1)某个字段是唯一的,当多个用户并发点击产生该字段时,检查系统是怎么处理的
(2)对于电子商务网站,当两个或多个用户并发购买量总和大于产品库存量时,能否购买成功
二、界面和易用性测试
1、界面测试,主要测试网站的界面是否和设计一致,是否有错别字,页面布局是否合理,格式是否正确,是否有相应的错误提示信息等。
2、易用性测试,主要是考察所开发出的功能是否人性化,是否易用,是否符合大多数用户的使用习惯等。
3、对Tab和Enter键的测试。
三、兼容性测试
兼容性测试不只是指界面在不同操作系统或浏览器下的兼容,有些功能方面的测试,也要考虑到兼容性,比如涉及到ajax、jquery、javascript等技术的,都要考虑到不同浏览器下的兼容性问题。
四、链接测试
主要是保证链接的可用性和正确性,它也是网站测试中比较重要的一个方面。
五、业务流程测试
业务流程,一般会涉及到多个模块的数据,所以在对业务流程测试时,首先要保证单个模块功能的正确性,其次就要对各个模块间传递的数据进行测试,这往往是容易出现问题的地方,测试时一定要设计不同的数据进行测试。
六、安全性测试
(1)SQL注入
(2)XSS跨网站脚本攻击:程序或数据库没有对一些特殊字符进行过滤或处理,导致用户
所输入的一些破坏性的脚本语句能够直接写进数据库中,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性。
document.write("abc")
<script>alter("abc")</script>
(3)URL地址后面随便输入一些符号
(4)验证码更新问题
1. 在购物网站中如果就剩一个商品了 然后多个人同时去点击购买的时候会怎么处理。
2.搜索功能
(1)比较长的名称是否能查到?
(2)空格 或空
(3)名称中含有特殊字符,如:' $% & *以及空格等
(4)关键词前面或后面有空格
(5)如果支持模糊查询,搜索名称中任意一个字符是否能搜索到
(6)输入系统中不存在与之匹配的条件
(7)两个查询条件是否为2选1,来回选择是否出现页面错误
(8)输入脚本语言,如:<script>alter(“abc”)</script>等
3.添加、修改功能
(1)是否支持tab键
4. 安全测试:
在输入框中输入 >'><script>alert(“XSS”)</script>后,竟然能执行,记录下来.......
查询输入
(1)分别对单条件进行精确查询
(2)输入长度的检验,输入允许的最长值进行查询,是否支持
(3)两个查询条件是否为2选1,来回选择是否出现页面错误
(5)输入特殊字符
(6)输入数字
(7)输入汉字
(8)输入关系表达式 与、或、异或、非、等于
(9)输入空格
(10)条件中含有空格
(11)输入超长字符
(12)输入全角字符
(13)输入单引号
(14)输入单引号引起来的数据
(15)输入双引号
(16)输入双引号引起来的数据
(17)如果支持模糊查询,输入部分查询条件
(18)输入系统中不存在与之匹配的条件
查询结果检查
(1)查询结果按什么顺利排序
(2)查询结果是否根据字段显示排序功能
(3)查询结果是否有分页,如果有,每页最多包含多少记录
(4)查询结果是否匹配
(5)查询结果是否与数据库一致
(6)查询结果是精确查询还是模糊查询
UI验证
(1)文字显示是否正确
(2)页面是否有错别字
(3)输入框大小、文字大小是否合适
(4)页面是否美观
(5)查询结果字段显示是否与需求一致
性能方面
(1)查询处理时间是否能接受
(2)数据库中存在大数据量数据时,查询时间是否能接受
(3)当多个用户同时查询时,输入相同或不同的查询条件系统响应是否及时
对于查询功能,同样可以从以下几个方面来进行用例的设计:
1、功能方面考虑:应用边界值和等价类划分法进行用例的设计
边界值:输入最大长度的文本,能否搜出来?输入空格或空,能否搜索出来?
等价类:要考虑到一些特殊符号的输入查询。
2、易用性方面
3、界面方面
4、安全角度:比如输入一些脚本语言,看是否执行,主要是防XSS攻击问题
5、性能角度:查询效率、并发、响应时间问题的考虑
网页安全缺陷
现在网站开发已经注意到:登陆网站进入其内部网页后,直接拷贝网址,然后粘贴到另一IE窗口输入,可以绕过登陆直接访问。也许商业网站很关注这个问题,但是很多行业软件却很容易忽略。
网页安全缺陷还可能存在于IE弹出的子窗口。有些设计不严格的软件,在主页面关闭的时候子页面还可以运行,这是一个明显的漏洞,而且还大大增加了错误发生的几率。
判断顺序/逻辑缺陷
对界面进行多个输入判断的时候,非常容易出现这种问题。例如判断年月顺序,判断长度,判断非空等。假如操作员仅仅满足单个条件,保存不能成功;而按界面从上之下顺序一一满足条件之后,保存是没有问题的。但是,改变一下输入的次序,校验失效。例如,一一满足条件之后,不保存,倒过来将上面的输入改成非法输入,然后保存,结果居然也能成功,这是因为原先的判断由于发生过,或者根据语句顺序只检查最后一个判断,所以没有报错。这种错误尤其在Java scrīpt脚本的页面中要注意。能够保存不能保证数据正确,有可能引起系统崩溃或者后续数据错误。所以,在测试的时候,不要按照正常的顺序输入,而是要打乱步骤,看看代码是否强健,是否在判断逻辑上没有错误。良好的代码应该经得起折腾,至少保存时会再此全部进行判断,而不只是简简单单走到判断的最后一行。
调试语句和冗余信息
维护项目和升级改造的推广系统最容易潜伏这类缺陷。典型表现在没有删除或者屏蔽调试语句。弹出一个界面不友好的提示信息,会使不明真相的用户产生误以为系统发生了严重故障,从而引起对软件的不信任感。页面中某个角落存在当前客户不需要的冗余按钮和功能也是一种缺陷。多余的功能会使用户以为是额外附加部分而去使用,其结果可想而知;而多余的按钮会误导好奇心强的用户操作,产生不必要的错误。
同样值得关注的还有参数设置,由于没有实际数据,开发人员在调试或者单元测试的时候,习惯性的进行自我设定而忘了删除,软件测试人员可能会忽略掉了这部分测试,也可能导致在客户现场发生错误而影响系统发布和验收。
不可重现的故障
新参加软件测试的人员或者新来的开发人员总是要问,不可重现的缺陷是否需要记录,有必要吗?回答是肯定的。测试必须如实的记录发生的问题,也许不能重现,或者使非软件系统本身问题,但是,可能这些偶然性背后是有规律的,不记录这些,就不可能发现这些规律。
多节点的逆向流转缺陷
当前软件不少喜欢使用工作流来驱动。工作流的问题,就是可能出现多个流向分支。测试容易忽略的部分,就是工作流多节点的逆向流转。例如,通过不通过涉及两个分支,但是流程逆转的时候,有可能不是回到上一节点而是平级的另一个节点去了。软件测试要格外注意这类用例的设计。另外,有些时候默认分支在向前的时候是有默认值的,例如默认通过,那么保存的时候要提示用户是否通过,否则可能由于操作疲劳而走错了节点,引起回退。
输入框缺陷
试过往输入框粘贴数据而不是直接输入吗?可能这里会出现问题。按Ctrl+V的时候,输入框会根据长度大小自动截断输入长度。但是用鼠标,截断可能会失效。有一次测试人员就是用这种方法把一篇Word文档输入进去了,保存的时候,数据库崩溃。有些网站登陆的口令****可以拷贝下来的,只要放在剪贴板里面马上明文显示。(在以后的测试中需要注意的)
❸ 求助这个测试用例的思路~~~大虾们帮帮忙~~~
1.先测试频度是否正确,取三次生成时间验证。
2.记录10次密码,看是否有重复。
3.取上一分钟的密码,在下一分钟时间里输入,看是否处理得当,提示信息是否正确及友好。
4.用错误用户名和正确密码登录,看是否处理得当,提示信息是否正确及友好。
5.用正确用户名和错误密码登录,看是否处理得当,提示信息是否正确及友好。
6.用正确用户名,密码前6位正确,再多输入一次,登录,看是否处理得当,提示信息是否正确及友好。
7.用正确用户名,只输入密码前5位登录,看是否处理得当,提示信息是否正确及友好。
8.用正确用户名,空密码登录,看是否处理得当,提示信息是否正确及友好。
9.用空用户名,空密码登录,看是否处理得当,提示信息是否正确及友好。
还有涉及到sql注入的测试,这边就不详细说了。
❹ 如何做接口测试
做接口测试流程:
测试接口文档。
根据接口文档编写测试用例(用例编写方法完全可以按照黑盒测试的用例编写规则来编写,如:边界值、正交表等等设计方法)。
执行测试,查看接口返回的接口数据是否正确,主要检查返回的接口是否和接口文档中定义的一样,还有要检查返回的数据是否和数据库中的保持一致。
接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。
①目的:测试接口的正确性和稳定性;
②原理:模拟客户端向服务器发送请求报文,服务器接收请求报文后对相应的报文做处理并向客户端返回应答,客户端接收应答的过程;
③重点:检查数据的交换,传递和控制管理过程,还包括处理的次数;
④核心:持续集成是接口测试的核心;
⑤优点:为高复杂性的平台带来高效的缺陷监测和质量监督能力,平台越复杂,系统越庞大,接口测试的效果越明显(提高测试效率,提升用户体验,降低研发成本)。
接口测试范围:
a)业务功能(包括正常、异常场景是否实现)
b)业务规则(覆盖度是否全面)
c)参数验证(边界、业务规则是否达到要求)
d)异常场景(重复提交、并发提交、事务中断、多机环境、大数据量测试)
e)性能测试(响应时间、吞吐量、并发数、资源要求)
f)安全测试(权限验证、SQL注入等)
❺ 如何进行Web渗透测试
什么是渗透测试?
渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标网络、主机、应用的安全作深入的探测,发现系统最脆弱的环节。
如何进行Web渗透测试?
完整web渗透测试框架当需要测试的web应用数以千计,就有必要建立一套完整的安全测试框架,流程的最高目标是要保证交付给客户的安全测试服务质量。
1、立项:项目建立,时间安排,人力分配,目标制定,厂商接口人确定;
系统分析&威胁分析:针对具体的web应用,分析系统架构、使用的组件、对外提供的接口等,以STRIDE为威胁模型进行对应的安全威胁分析,输出安全威胁分析表,重点关注top3威胁;
制定测试用例:根据威胁分析的结果制定对应的测试用例,测试用例按照模板输出,具备可执行性;
测试执行&漏洞挖掘:测试用例执行&发散测试,挖掘对应的安全问题or漏洞;
问题修复&回归测试:指导客户应用开发方修复安全问题or漏洞,并进行回归测试,确保安全问题or漏洞得到修复,并且没有引入新的安全问题;
项目总结评审:项目过程总结,输出文档评审,相关文档归档。
2、Web应用的渗透测试流程
主要分为3个阶段,分别是:信息收集→漏洞发现→漏洞利用,下面仔细分析一下各个阶段流程:
一、信息收集
在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等
脚本语言的类型:常见的脚本语言的类型包括:php、asp、aspx、jsp等
测试方法:
1 爬取网站所有链接,查看后缀
2 直接访问一个不存在页面后面加不同的后缀测试
3 查看robots.txt,查看后缀
服务器的类型:常见的web服务器包括:apache、tomcat、IIS、ngnix等
测试方法:
1 查看header,判断服务器类型
2 根据报错信息判断
3 根据默认页面判断
目录的结构:了解更多的目录,可能发现更多的弱点,如:目录浏览、代码泄漏等。
测试方法
1 使用字典枚举目录
2 使用爬虫爬取整个网站,或者使用google等搜索引擎获取
3 查看robots.txt是否泄漏
使用的开源软件:我们如果知道了目标使用的开源软件,我们可以查找相关的软件的漏洞直接对网站进行测试。
测试方法
指纹识别(网络上有很多开源的指纹识别工具)
数据库类型:对于不同的数据库有不同的测试方法。
测试方法
1 使应用程序报错,查看报错信息
2 扫描服务器的数据库端口(没做NAT且防火墙不过滤时有效)
所有链接页面:这个跟前面的获取目录结构类似,但是这个不只是获取网站的所有功能页面,有时候还可以获取到管理员备份的源码。
测试方法
1 使用字典枚举页面
2 使用爬虫爬取整个网站,或者使用google等搜索引擎获取
3 查看robots.txt是否泄漏
用到的框架:很多网站都利用开源的框架来快速开发网站,所以收集网站的框架信息也是非常关键的。
测试方法
指纹识别(网络上有很多开源的指纹识别工具)
二、漏洞发现
在这个阶段我们在做测试的时候要对症下药,不能盲目的去扫描,首先要确定目标应用是否使用的是公开的开源软件,开源框架等、然后在做深一度的漏洞扫描。
关于开源软件的漏洞发现
开源的软件:常见的开源软件有wordpress、phpbb、dedecms等
开源的框架:常见的开源框架有Struts2、 Spring MVC、ThinkPHP等
中间件服务器:常见的中间件服务器有jboss、tomcat、Weblogic等
数据库服务:常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等
对于开源软件的测试方法
1 通过指纹识别软件判断开源软件的版本信息,针对不同的版本信息去开放的漏洞数据库查找相应版本的漏洞进行测试
2 对于默认的后台登录页、数据库服务端口认证等入口可以进行简单的暴力破解、默认口令尝试等操作
3 使用开源的漏洞发现工具对其进行漏洞扫描,如:WPScan
关于自主开发的应用
手动测试:这个阶段,我们需要手工测试所有与用户交互的功能,比如:留言、登入、下单、退出、退货、付款等操作
软件扫描:使用免费的软件扫描,如:appscan、wvs、netsparker,burp等
可能存在的漏洞
Owasp关键点
代码安全之上传文件
代码安全之文件包含
代码安全之SSRF
逻辑漏洞之密码重置
逻辑漏洞之支付漏洞
逻辑漏洞之越权访问
平台安全之中间件安全
三、漏洞利用
针对不同的弱点有不同的漏洞利用方式,需要的知识点也比较多。一般这个阶段包括两种方式,一种是手工测试,一种是工具测试
手工测试
手工测试是通过客户端或服务器访问目标服务,手工向目标程序发送特殊的数据,包括有效的和无效的输入,观察目标的状态、对各种输入的反应,根据结果来发现问题的漏洞检测技术。手工测试不需要额外的辅助工具,可由测试者独立完成,实现起来比较简单。但这种方法高度依赖于测试者,需要测试者对目标比较了解。手工测试可用于Web应用程序、浏览器及其他需要用户交互的程序。
这种方式对于有特殊过滤等操作,或者网络上没有成型的利用工具的时候可以使用。
工具测试
网络上有很多好用的免费利用工具,比如针对sql注入的sqlmap、针对软件漏洞的matesploit等。
❻ 如何设计出高质量的测试用例
做为一个测试人员,设计测试用例可以说看家本领,不管你到那一个层次,都需要时时揣摩。我也一直在考虑,经过多年的学习和实践,从中得出一些心得,在此班门弄斧一番,另外也想抛一块砖换块玉回去。 我把测试用例分成几个大类,一类是场景用例,一类是个别用例,一类是体验用例。 1. 场景用例,我把用户使用或操作习惯搭配称之为场景,不同的用户可能有不同的操作习惯,所以要完全模拟出用户的操作是比较难的,但是入口确是我们可以控制的,因此我们要整理出达到测试目标的入口,然后根据入口搭配出各种路径,针对这些路径进行覆盖,这样就可以设计出的场景用例。要写好场景用例,需要仔细了解测试目标的业务逻辑,然后根据业务逻辑来筛选出有效场景和无效场景,此类用例贴近用户使用习惯,查不出缺陷则已,一旦查出都是影响比较大的。举例来说:比如一个查询页面,有三个查询条件,其中两个个是选择型输入,一个是输入框,然后加一个按钮。这样的页面,普通用户比较实在,只找他想要的,所以选择条件和输入都比较规矩。这类场景比较好写。但是有些刁钻的用户可能会随意选择,然后输入的时候会空着,或者输入一些奇怪的字符进去。还有一些比较专业的用户,可能会尝试输入一些sql注入之类的东西。如果数据量太大,搜索响应比较慢,性急的用户可能反复点击搜索按钮,或者反复刷新页面。诸如此类的场景我们都会遇到,所以这些场景要保证有保护或者正常,不能出现异常或崩溃。 2. 个别用例,主要是指针对输入或者各类参数进行的针对性的用例,比如上例中的输入框,选择框的针对性用例。这类用例比较好设计,因为大家见得比较多了,这类用例可以抽出其共同部分写成通用用例,这样不但可以让用例看起来清楚,还能突出重点。设计方法不外乎极限值,等价类划分,因果图之类的。 3. 体验用例,用户体验可以说是很重要的部分,做好了产品的粘性就好,竞争力也就强力了,做的不好,用户也就浅尝辄止,没有粘性的产品很难说是成功的产品。用户体验分为视觉体验,操作习惯体验,心理体验几个部分,视觉主要是颜色搭配,界面模式等;操作习惯主要是符合人体工学,符合大众口味,简洁,易于使用,傻瓜型;心理体验方面主要是培养成就感,归属感等。这部分用例扩展出来比较多,而且也是仁者见仁智者见智的事情,我这里就不细说了,大家有兴趣可以探讨一下。 最后一点就是测试用例和测试数据分离,用例中不出现具体的测试数据,保证用例的灵活性和可操作性。
❼ 软件测试和渗透测试的区别是什么
软件测试主要工作内容是验证和确认,发现软件中的缺陷或者不足,然后把发现的问题整理成报告并分析出软件质量的好坏。验证是保证软件正确地实现了一些特定功能的一系列活动;确认是一系列的活动和过程,目的是想证实在一个给定的外部环境中软件的逻辑正确性,即保证软件做了你所期望的事情。
渗透测试主要包括:黑盒测试、白盒测试和灰盒测试。主要做的工作有:信息收集、端口扫描、权限提升、远程溢出攻击、WEB应用测试、SQL注入攻击、跨站攻击、后门程序检查等。
从测试内容来看,就有很大的不同。想要了解更多可以关注“老男孩Linux”公众号。
❽ 软件测试面试题,谁能告诉我这样的题目应该怎么写
除了功能描述的各个点可以作为功能测试用例外,还可以加入比如
安全性测试 比如sql注入,是否有可能跳过登陆验证,浏览器f12是否能看到后台细节等
兼容性测试 不同浏览器,不同操作系统能否正常显示、使用
性能测试 在并发下吞吐率、正确率等
❾ 系统实现时,对用户的登录判断所用的动态SQL语句如下: “SELECT* FROM Users WHERE User_Name=‘”+strUse
使用prepareStatement,可以避免SQL注入。
SQL语句可以修改为:select * from users where user_name = :username and password = :password.