Ⅰ 什么是web测试
web测试本身就属于软件测试。软件测试的种类很多,大类的话分为B/S和C/S的。LZ说的WEB测试属于B/S测试,只不过WEB测试更重视性能和安全方面的测试。 .s
Ⅱ web测试方法有哪些测试技术又有哪些软件测试工具又有哪些呢,优劣势分别是什么
web网站本质上带有web服务器和客户端浏览器的C/S结构的应用程序。主要考虑web页面、TCP/IP通讯、Internet链接、防火墙和运行在 web页面上的一些程序(例如,applet、javascrīpt、应用程序插件),以及运行在服务器端的应用程序(例如,CGI脚本、数据库接口、日志程序、动态页面产生器,asp等)。另外,因为服务器和浏览器类型很多,不同版本差别很小,但是表现出现的结果却不同,连接速度以及日益迅速的技术和多种标准、协议。使得web测试成为一项正在不断研究的课题。其它要考虑的如下:
1、服务器上期望的负载是多少(例如,每单位时间内的点击量),在这些负载下应该具有什么样的性能(例如,服务器反应时间,数据库查询时间)。性能测试需要什么样的测试工具呢(例如,web负载测试工具,其它已经被采用的测试工具,web 自动下载工具,等等)?
2、系统用户是谁?他们使用什么样的浏览器?使用什么类型的连接速度?他们是在公司内部(这样可能有比较快的连接速度和相似的浏览器)或者外部(这可能有使用多种浏览器和连接速度)?
3、在客户端希望有什么样的性能(例如,页面显示速度?动画、applets的速度等?如何引导和运行)?
4、允许网站维护或升级吗?投入多少?
5、需要考虑安全方面(防火墙,加密、密码等)是否需要,如何做?怎么能被测试?需要连接的Internet网站可靠性有多高?对备份系统或冗余链接请求如何处理和测试?web网站管理、升级时需要考虑哪些步骤?需求、跟踪、控制页面内容、图形、链接等有什么需求?
6、需要考虑哪种HTML规范?多么严格?允许终端用户浏览器有哪些变化?
7、页面显示和/或图片占据整个页面或页面一部分有标准或需求吗?
8、内部和外部的链接能够被验证和升级吗?多久一次?
9、产品系统上能被测试吗?或者需要一个单独的测试系统?浏览器的缓存、浏览器操作设置改变、拨号上网连接以及Internet中产生的“交通堵塞”问题在测试中是否解决,这些考虑了吗?
10、服务器日志和报告内容能定制吗?它们是否被认为是系统测试的主要部分并需要测试吗?
11、CGI程序、applets、javascrīpts、ActiveX 组件等能被维护、跟踪、控制和测试吗?
测试技术大体分为黑盒和白盒测试,当然有的还用灰盒测试。
而功能、性能、用户界面、兼容性、安全测试都属于测试方法。大部分的测试是手动的,用基本的办公软件就可以解决;部分白盒测试需要了解程序内部的语句、数据结构和算法逻辑。
现在企业认同的高名气软件就是功能测试工具:QTP 性能测试工具:LOADRUNNER
bug追踪、记录工具:Bugfree、Bugzilla、TD等,用一个即可。
而QTP和LOADRUNNER是性能非常庞大的软件,如果可以熟练的分析出录制的内容,那么就入门了。可以运用到工作上。
说道这些软件的劣势,就是实现自动化需要这个团队购买正版软件、组织和培训组内成员进行新知识的培训。这些都是成本的一部分。
Ⅲ Web测试的主要内容和测试方法有哪些
1功能测试 2 1.1链接测试 2 1.2表单测试 2 1.3数据校验 3 1.4 cookies测试 3
1功能测试 2
1.1链接测试 2
1.2表单测试 2
1.3数据校验 3
1.4 cookies测试 3
1.5数据库测试 3
1.6应用程序特定的功能需求 4
1.7设计语言测试 4
2性能测试 4
2.1连接速度测试 4
2.2负载测试 4
2.3压力测试 5
3用户界面测试 6
3.1导航测试 6
3.2图形测试 6
3.3内容测试 7
3.4表格测试 7
3.5整体界面测试 7
4兼容性测试 8
4.1平台测试 8
4.2浏览器测试 8
4.3分辨率测试 8
4.4 Modem/连接速率 9
4.5打印机 9
4.6组合测试 9
5安全测试 9
5.1目录设置 9
5.2登录 10
5.3日志文件 10
5.4脚本语言 10
6接口测试 10
6.1服务器接口 10
6.2外部接口 11
6.3错误处理 11
7结论 11
在Web工程过程中,基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。基于Web的系统测试与传统的软件测试不同,它不但需要检查和验证是否按照设计的要求运行,而且还要测试系统在不同用户的浏览器端的显示是否合适。重要的是,还要从最终用户的角度进行安全性和可用性测试。然而,Internet和Web媒体的不可预见性使测试基于Web的系统变得困难。因此,我们必须为测试和评估复杂的基于Web的系统研究新的方法和技术
Ⅳ 能介绍一下web测试的技术吗
Web测试技术- -
由于Web应用与用户直接相关,又通常需要承受长时间的大量操作,因此Web项目的功能和性能都必须经过可靠的验证。这就要经过Web项目的全面测试。
Web测试通常通过界面测试、功能测试、性能测试几个方面来进行。测试方法则根据测试内容的不同而不同。下面就这三个方面分别进行说明。
一、界面测试
界面测试就是对Web项目的界面部分进行正确性、灵活性、直观性、一致性、舒适性等方面的验证。这部分的测试看似简单,但实际上包含的测试项目庞杂,又可间接对应用程序的准确性进行验证,同时它的实用性与最终用户直接相关,因此决不可低估它的地位。
界面测试包括的主要内容有:页面的规范性、舒适性、正确性、直观性、实用性、一致性几个方面。
页面的规范性主要是指布局、色调和美观性的统一。这通常在项目初期确定,测试阶段需要验证最终页面的实现是否与之前的确定方案相吻合。包括各个页面元素的布局和位置是否合理、外形是否准确,色调是否正确美观,CSS风格设置是否统一,等等。
页面的正确性包括页面元素的基本功能是否实现,是否具有完善的容错处理,显示方式是否正确,各项链接是否准确,各个脚本程序是否存在、准确,等等。
页面的直观性包括界面是否整洁鲜明、不拥挤,是否包括了冗余功能,主要功能和操作流程是否突出,等等。
页面的一致性包括各种快捷键和菜单选项是否与通用的习惯相符(比如F1为帮助信息、Tab键进行元素间跳转等),包含术语和命令与命令行方式是否一致,按钮位置是否符合习惯(如各种设置页面均该包括确定和取消按钮,且确定按钮位置在前)等。
页面的灵活性包括页面是否具有完善的容错处理方案,统一操作是否有符合不同用户习惯的多种操作方式,处理结果是否有多种显示方式,操作是否支持键盘鼠标两种方式,包含数据量大的时候是否支持查找或排序操作,页面是否在各种分辨率下均被支持,屏幕大小变化,等等。
页面的舒适性包括界面操作逻辑是否合理、符合用户习惯,在用户操作错误时是否有合理的信息提示,等等。
以上各个方面的测试是可以同时进行的。方法通常是根据操作逻辑和页面内容制定详细的测试case文档,按照各个case逐个走查。注意要case要覆盖全部情况。页面若针对多个不同的用户群,应尽可能的由不同操作习惯的测试人员充当各种角色参与测试。
二、功能测试
界面的功能一般包括后台数据的增删查改、用户输入输出校验、状态信息的显示和保存等,这些通常是通过CGI程序、Javascript程序、Cookies等来协同完成的。测试要根据目标功能对包含程序逐一进行验证。
功能测试主要包含以下几个部分:
是否能够提供用户正常的登录,是否具有登录失败时的合理处理,是否具有登录用户的状态信息存储,以及密码的差错校验和修改能力。
对于用户输入,是否具有合法性检查,是以何种方式实现,这种方式是否适应所有情况和变化。若以javascript来实现,是否考虑了用户禁用javascript程序时的情况。
若页面包含有Cookies,要验证Cookie包含信息已经加密且信息准确。
对于每一个提交的表单,要验证后台程序是否能够准确接收和处理,以及是否包含了各种异常情况的处理。如果包含数据库操作或文件读写操作,要保证数据库工作正常,且后台程序对之具有完善的容错能力。
这部分的测试方法很多,总体的功能验证可以通过引入测试工具来进行。有一些工具可以模拟网页表单的提交过程,测试人员只需要提前写好表单输入数据及预期输出结果,便可以对一系列功能进行批量验证。
三、性能测试
性能测试主要考虑服务器端在负载压力足够大的情况下,是否能保证性能长期稳定。这需要对服务器进行各种极限情况的测试,包括用户数目、运行时间、反复启停等情况的极限情况。这项测试通常能够找出系统的内存泄露或边界情况的问题。
性能测试通常通过工具来进行,如loadrunner、webload、was、ewl、E-Test等,主要方法都是先编写出测试脚本,然后运行得出报告。这些工具基本都是利用线程技术模拟虚拟用户来实现的。
四、测试工具
网上介绍较多的包括以下一些工具:
E-Test功能很强大,其实现采用的不是Post URL的方式,因此可以支持多内码的测试数据,基本可以测试大部分的Web站点。
Microsoft Web Application Stress Tool利用脚本回放来代替手工劳动,验证页面表单对各种输入的响应结果,同时也能够提供一定的性能测试结果。
PureLoad是一个很好的性能测试工具,完全用Java写成,可以测试各种C/S程序,如SMTP Server等。它和Microsoft Web Application Stress Tool都使用Post URL的方法测试Web项目,对大量使用JavaScript的页面不太适合。
Linkbot是专门用来做页面链接测试的工具。
MI公司的winrunner,compuware的qarun,Rational的SQA robot等可以用来做客户端的功能测试和服务器端的压力性能测试。
也有一些工具是用来做测试流程管理的,比如Test Plan Control,test manager等等。
Ⅳ web性能测试
从理论上都可以。
jmeter可以定制自己的sampler。
action 测试可以直接通过http协议进行测试。
2. service 和 的代码测试, 则需要写代码自己实现sampler了。
But, 白盒级别的性能测试是否有必要通过jmeter 这个可以讨论一下。 其实你自己写一个 threadgroup, 进行白盒测试, 就无必要用 jmeter了。 有点重。
Ⅵ 对于Web安全问题有哪些常用的测试方法
今天小编要跟大家分享的文章是关于对于Web安全问题有哪些常用的测试方法?安全问题一直是我们重点关注的问题,开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。今天小编就来跟大家说一说Web安全问题有哪些常用的测试方法有哪些,让我们一起来看一看吧~
一、常见的Web安全问题
常见的Web安全问题有:
sql注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。
二、手动安全测试
对于手动安全测试来说:
1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;
2、在登录输入框的地方输入‘or1=1--或“or1=1--等看是否有SQL注入;
3、在注重SQL注入的同时,一般在有输入框的地方输入
三、自动化安全问题
对于自动化安全测试来说:
测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)
1、在使用之前务必确认自己绑定的Host;
2、配置URL、开发环境、错误显示类型;
3、结果保存后可根据提示的问题类型和解决建议进行分析。
四、Web安全测试考虑测试点
Web安全测试通常要考虑的测试点:
1、输入的数据没有进行有效的控制和验证
2、用户名和密码
3、直接输入需要权限的网页地址可以访问
4、认证和会话数据作为GET的一部分来发送
5、隐藏域与CGI参数
6、上传文件没有限制
7、把数据验证寄希望于客户端的验证
8、跨站脚本(XSS)
9、注入式漏洞(SQL注入)
10、不恰当的异常处理
11、不安全的存储
12、不安全的配置管理
13、传输中的密码没有加密
14、弱密码,默认密码
15、缓冲区溢出
16、拒绝服务
五、SQL注入
SQL注入:
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
(select*form表Whereid=1or1
1or1是输入框输入的
这样会导致满足id=1或1的数据都查出来
而所有的数据都满足1
这样就查出来了很多不该被查出来的数据
这就是sql注入)
以上就是小编今天为大家分享的关于对于Web安全问题有哪些常用的测试方法?的文章,希望本篇文章能够对正在从事Web相关工作的小伙伴们有所帮助。想要了解更多Web相关知识记得关注北大青鸟Web前端培训官网。
来源:蜻蜓91Testing
Ⅶ Web测试的主要内容和测试方法有哪些
测试分类:
1、界面测试
1)给用户的整体感:舒适感;凭感觉能找到想要找的信息;设计风格是否一致
2)各控件的功能
2、功能测试
1)删除/增加某一项:是否对其他项造成影响,这些影响是否都正确
2)列表默认值检查
3)检查按钮功能是否正确:新建、编辑、删除、关闭、返回、保存、导入、上一页、下一页、页面跳转、重置(常见错误)
4)字符串长度检查:超出长度
5)字符类型检查
6)标点符号检查:空格、各种引号、Enter键
7)特殊字符:常见%、“、”
8)中文字符:是否乱码
9)检查信息完整:查看信息,查看所填信息是否完整更新;更新信息,更新信息与添加信息是否一致
10)信息重复:需唯一信息处,比如重复的名字或ID、重名是否区分大小写、加空格
11)检查删除功能:不选择任何信息,按Delete,看如何处理;选择一个或多个进行删除;多页选、翻页选删除;删除是否有提示
12)检查添加和修改是否一致:添加必填项,修改也该必填;添加为什么类型,修改也该什么类型
13)检查修改重名:修改时把不能重名的项改为已存在的内容
14)重复提交表单:一条已经成功提交的记录,返回后再提交
15)检查多次使用返回键:返回到原来页面,重复多次
16)搜索检查:存在或不存在内容,看搜索结果是否正确;多个搜索条件,同时输入合理和不合理条件;特殊字符
17)输入信息的位置
18)上传下载文件检查:功能是否实现,
上传:上传文件是否能打开、格式要求、系统是否有解释信息、将不能上传的文件格式修改后缀为可上传的文件格式;
下载:下载是否能打开、保存、格式要求
19)必填项检查:必填项未填写;是否有提示,如加*;对必填项提示返回后,焦点是否自动定位到必填项
20)快捷键检查:是否支持快捷键Ctrl+C、Ctrl+V、backspace;对不允许做输入的字段(如:下拉选项),对快捷方式是否也做了限制
21)Enter键检查:输入结束后按Enter键,系统如何处理
22)刷新键检查:按浏览器刷新键如何处理
23)回退键检查:按浏览器回退键如何处理
24)空格检查:输入项输入一个或多个空格
25)输入法半角全角检查:比如,浮点型,输入全角小数点“。”或“. ”,如4. 5;全角空格
26)密码检查:输入加密方式的极限字符;密码尽可能长
27)用户检查:不同种类管理员用户的不同权限,是否可以互相删除、管理、编辑;一般用户的权限;注销功能,老用户注销再注册,是否为新用户
28)系统数据检查:数据随业务过程、状态的变化保持正确,不能因为某个过程出现垃圾数据,也不能因为某个过程而丢失数据。
29)系统可恢复性检查:以各种方式把系统搞瘫,测试系统是否可以迅速恢复
30)确认提示检查:系统更新、删除操作:是否有提示、取消操作;提示是否准确;事前、事后提示
31)数据注入检查:对数据库注入,特殊字符,对SQL语句进行破坏
32)时间日期检查:时间、日期、时间验证:日期范围是否符合实际业务;对于不符合实际业务的日期是否有限制
33)多浏览器验证
3、性能测试
1)压力测试:实际破坏一个Web应用系统,测试系统的反应,测试系统的限制和故障恢复能力
2)负载测试:在某一负载级别上的性能,包括某个时刻同时访问Web的用户数量、在线数据处理的数量
3)强度测试:测试对象在性能行为异常或极端条件下(如资源减少或用户过多)的可接受性,以此验证系统软硬件水平
4)数据库容量测试:通过存储过程往数据库表中插入一定数量的数据,看是否能及时显示
5)预期指标的性能测试:在需求分析和设计阶段会提出一些性能指标,对于预先确定的性能要求要首先进行测试
6)独立业务性能测试:对核心业务模块做用户并发测试,包括同一时刻进行完全一样的操作、同一时刻使用完全一样的功能
7)组合业务性能测试:模拟多用户的不同操作,最接近实际用户使用情况,按用户实际的实际使用人数比例来模拟各个模块的组合并发情况
8)疲劳强度性能测试:系统稳定运行情况下,以一定负载压力来长时间运行系统的测试
9)网络性能测试:准确展示带宽、延迟、负载、端口的变化是如何影响用户的相应时间的
10)大数据量性能测试:实时大数据量,模拟用户工作时的实时大数据量;极限状态下的测试,系统使用一段时间,积累一段数据量时能否正常运行,以及对前面两种进行结合
11)服务器性能测试:在进行用户并发性能测试、疲劳强度、大数据量性能测试时,完成对服务器性能的监控,并进行评估
12)一些特殊的测试:配置测试、内存泄漏的一些特殊测试
4、可用性测试(接口测试)
1)整体界面测试
2)多媒体测试
3)导航测试
5、客户端兼容性
平台测试:windows;unix;macintosh;linux
浏览器测试:不同厂商的浏览器对Java、Javascript、ActiveX、plug-ins或不同的HTML的规格
不同的支持;框架和层次结构在不同浏览器也不同的显示
6、安全性
安全性测试要求:
1)能够对密码试探工具进行防范
2)能够防范对Cookie攻击的常用手段
3)敏感数据保证不用明文传输
4)能防范通过文件名猜测和查看html文件内容获取重要信息
5)能保证在网站收到工具后在给定时间内恢复,重要数据丢失不超过1小时
web的性能测试工具:
随着Web2.0技术的迅速发展,许多公司都开发了一些基于Web的网站服务,通常在设计开发Web应用系统的时候很难模拟出大量用户同时访问系统的实际情况。
因此,当Web网站遇到访问高峰时,容易发生服务器响应速度变慢甚至服务中断。
为了避免这种情况,需要一种能够真实模拟大量用户访问Web应用系统的性能测试工具进行压力测试,来测试静态HTML页面的响应时间,甚至测试动态网页(包括ASP、PHP、JSP等)的响应时间,为服务器的性能优化和调整提供数据依据。
1、企业级自动化测试工具WinRunner
MercuryInteractive公司的WinRunner是一种企业级的功能测试工具,用于检测应用程序是否能够达到预期的功能及正常运行。
2、工业标准级负载测试工具Loadrunner
LoadRunner是一种预测系统行为和性能的负载测试工具
3、全球测试管理系统testdirector
TestDirector是业界第一个基于Web的测试管理系统,它可以在您公司内部或外部进行全球范围内测试的管理。
4、功能测试工具RationalRobot
IBMRationalRobot是业界最顶尖的功能测试工具,它甚至可以在测试人员学习高级脚本技术之前帮助其进行成功的测试。
它集成在测试人员的桌面IBMRationalTestManager上,在这里测试人员可以计划、组织、执行、管理和报告所有测试活动,包括手动测试报告。
这种测试和管理的双重功能是自动化测试的理想开始。
5、单元测试工具xUnit系列
目前的最流行的单元测试工具是xUnit系列框架,常用的根据语言不同分为JUnit(java),CppUnit(C++),DUnit(Delphi),NUnit(.net),PhpUnit(Php)等等。
该测试框架的第一个和最杰出的应用就是由ErichGamma(《设计模式》的作者)和KentBeck(XP(ExtremeProgramming)的创始人)提供的开放源代码的JUnit.
6、功能测试工具SilkTest
BorlandSilkTest2006属于软件功能测试工具,是Borland公司所提出软件质量管理解决方案的套件之一。
这个工具采用精灵设定与自动化执行测试,无论是程序设计新手或资深的专家都能快速建立功能测试,并分析功能错误。
7、性能测试工具WAS
是由微软的网站测试人员所开发,专门用来进行实际网站压力测试的一套工具。
透过这套功能强大的压力测试工具,您可以使用少量的Client端计算机仿真大量用户上线对网站服务所可能造成的影响。
8、自动化白盒测试工具Jtest
Jtest是parasoft公司推出的一款针对java语言的自动化白盒测试工具,它通过自动实现java的单元测试和代码标准校验,来提高代码的可靠性。
parasoft同时出品的还有C++test,是一款C/C++白盒测试工具。
9、功能和性能测试的工具JMeter
JMeter是Apache组织的开放源代码项目,它是功能和性能测试的工具,100%的用java实现。
10、性能测试和分析工具WEBLOAD
webload是RadView公司推出的一个性能测试和分析工具,它让web应用程序开发者自动执行压力测试;webload通过模拟真实用户的操作,生成压力负载来测试web的性能。
(7)web协议测试扩展阅读:
漏洞测试
企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的,是通过代码堆积起来的。如果这个代码只供企业内部使用,那么不会带来多大的安全隐患。
但是如果放在互联网上使用的话,则这些为实现特定功能的代码就有可能成为攻击者的目标。
天眼举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击,来获取管理员的密码等等破坏性的动作。
有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时,其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。
为此在为网站某个特定功能编写代码时,就要主动出击。从编码的设计到编写、到测试,都需要认识到是否存在着安全的漏洞。
天眼在日常过程中,在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。
已知的病毒、木马不能够在所开发的插件中有机可乘。通过这层层把关,就可以提高代码编写的安全性。
Ⅷ 如何测试webservice和websocket接口
WebSocket是html5新增加的一种通信协议,目前流行的浏览器都支持这个协议,例如Chrome,Safari,Firefox,Opera,IE等等,对该协议支持最早的应该是chrome,从chrome12就已经开始支持,随着协议草案的不断变化,各个浏览器对协议的实现也在不停的更新。该协议还是草案,没有成为标准,不过成为标准应该只是时间问题了,从WebSocket草案的提出到现在已经有十几个版本了,目前最新的是版本17,所对应的协议版本号为13,目前对该协议支持最完善的浏览器应该是chrome,毕竟WebSocket协议草案也是Google发布的。
1. WebSocket API简介
首先看一段简单的javascript代码,该代码调用了WebSockets的API。
[javascript] view plain
var ws = new WebSocket(“ws://echo.websocket.org”);
ws.onopen = function(){ws.send(“Test!”); };
ws.onmessage = function(evt){console.log(evt.data);ws.close();};
ws.onclose = function(evt){console.log(“WebSocketClosed!”);};
ws.onerror = function(evt){console.log(“WebSocketError!”);};
这份代码总共只有5行,现在简单概述一下这5行代码的意义。
第一行代码是在申请一个WebSocket对象,参数是需要连接的服务器端的地址,同http协议使用http://开头一样,WebSocket协议的URL使用ws://开头,另外安全的WebSocket协议使用wss://开头。
Ⅸ web安全测试主要测试哪些内容
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理配置管理配置管理配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手