web測試筆記

工具總結：

網站兼容性測試工具：multibrowser

Cookie工具：iecookiesview

超鏈接工具：xneu，http link validor

http協議的請求相應抓包工具：httpdebugger pro

服務器：tomcat

安全測試工具：nmap（主機端口服務os等嗅探），scrawlr（sql注入工具）

性能測試工具：ab，jmeter，lr，qtp，百度統計和排名www.alexa.cn網站

 

Web:通過瀏覽器訪問服務器， B/S 架構

Web技術學校網站：www.3cschool.com.cn

安裝apache，不要有中文和空格在路徑中，httpd的conf文件中設置端口號；工程要部署在htdocs文件夾下；

 

Web的地址：域名，需阿里雲購買，阿里雲還可以購買服務器，還有很多其他網站可以購買域名和服務器。域名與服務器是映射關係，一個域名可以對應多個服務器，一個服務器也可以對應多個域名。雲服務器一般是centos，遠程訪問去部署服務器，

 

開關網絡服務：service httpd start, service httpd stop, service httpd restart,

查看端口：lsof –i:80

 

Web應用架構：瀏覽器，web服務器，應用服務器，數據庫，存儲設備

大型的web應用，如天貓淘寶雙11，用LB 負載均衡，將請求可以均衡到不同的服務器；

 

技能：安裝apache，部署web工程，查看網頁源碼F12；

 

Cookie： 名稱，值，超期時間

 

Web測試：兩大板塊，五大技術領域；

兩大板塊：UI測試,如門戶，業務測試如電商，

五大技術領域：功能，自動化，性能，接口，安全；

 

UI測試：外觀及用戶交互部分的測試，包含：

   頁面佈局，文字內容及大小，滾動條，對其他語言的支持，tab翻頁，各種鏈接有效，

   圖片：大小，清晰，含義正確，鏈接有效正確，風格一致，按含義合理分類佈局，顏色搭配合理，圖片無法顯示時容錯處理，提示信息錯誤；

   內容測試：價格，符號，語法，拼寫，邏輯，習慣做法，

   瀏覽器兼容性測試：

   表單測試：登錄註冊，查詢，訂購，信息記錄，背後就是在對數據庫進行增刪改查。

            提交—重置，郵件聯繫---郵箱登記，數量—負數、小數、特殊符號、上限、非數字----錯誤提示，頁面的右鍵功能，添加----非空、相應輸入框控制，批量操作，翻頁操作，

 驗證碼測試：大小位置，刷新，點擊，錯誤提示，大小寫，顯示速度，完整性，更換速度，

 

 整體思考測試點，反向思考測試點，

Cookie測試：存儲用戶訪問網頁的信息記錄，下次訪問網頁會根據用戶歷史記錄提供特定內容給用戶，

   有的網站要求一定要用cookie，那麼就要測試不同cookie設置下網站是否正常使用，一般情況下即使cookie設置高，不能影響網站的使用，最好是有相應提示；

   Cookie設置：工具—internet選項—隱私—選擇internet區域設置，高是禁用

   刪除cookie：工具—internet選項—常規—瀏覽歷史記錄—刪除cookie；

   Cookie有效期：過了就重新開始；

   Cookie與電腦緩存的區別：電腦緩存包含了瀏覽器緩存和程序緩存，cookie是瀏覽器緩存的一部分，cookie是服務器主動推送給瀏覽器的信息，其他瀏覽器緩存是瀏覽器主動保存服務器的圖片等信息；

工具：iecookiesview

 

超鏈接測試：

是否可以打開，鏈接地址是否正確，打開是否速度正常等等；

Xenu:免費，適用有下載的鏈接，只能對已經部署的超鏈接進行測試，缺點不判斷下載文件是否正確，

     Options設置線程及鏈接層級及報告內容，

Html linkvalidator:收費，特點是對沒有部署的頁面也對超鏈接進行測試，即可測試本機的文件夾裏的鏈接，也可以測試網站上的超鏈接，綠的是通過的，紅色有問題，黃色等待測試，report菜單生成報告；這個軟件200多塊錢

 

http協議詳解：

dns原理：瀏覽器訪問服務器的詳細過程，客戶端提出域名請求後，客戶端的dns服務器先查本地dns緩存和host文件將網址翻譯成IP地址，找不到就查省dns服務器緩存，不行就到全國dns，再找不到就到全球dns去查直到找到爲止；

          （dns緩存記錄的就是域名與ip的對應關係，dns服務端口53）

           Localhost對應的IP就是127.0.0.1

http協議是請求/響應協議：就是一問一答的方式，簡單快速靈活無連接無狀態，

        請求：get，head，post，請求行，消息報頭，請求正文，

        Get： 獲取查詢資源信息

GET目錄 ？參數1&參數2/版本

              Host：請求發給的服務器

              操作系統版本；

              連接狀態connection：keep alive 保活

         Post：向指定資源提交數據處理的請求；

        Get與post的區別：get的消息放在協議頭，在網址的地址欄可以看到，且不能超過255個字符否則被切斷，而post是放內容在消息體裏面，數據大小無限制，故post比get安全，get比post簡單快速；

   測試點：賬號密碼的輸入框就不能用get方法，要用post方法，否則get方法會把賬號密碼顯示在地址欄裏面從而被記錄；

   測試需瞭解知識點：前端，後端，協議，接口，web服務器，性能測試工具，

   Http協議工具： http debuggerpro6.2 ，顯示網站的request和response，定位分析問題，注意適時停止抓包，不然系統死掉

    https是加密的，比http安全。

   頁面響應碼：100-199：收到請求，需繼續處理

200—299服務器成功接收並處理完成，

300-399，客戶端請求的資源已經到了其他地址，並告訴此地址；

400-499：表示客戶端的請求有錯誤

500-599，表示服務端出現錯誤

常見：200成功，302跳轉，400客戶端預防錯誤，403，服務器拒絕服務，404請求的資源不存在，500服務器發送錯誤

 

Tomcat安裝：

Path是給cmd命令使用的默認環境路徑，指到到bin，

Java-home是給tomcat使用的默認環境路徑，指到java版本文件夾即可；

環境設置：用戶，只對該用戶有效，系統設置：對所有用戶有效；

先裝jdk，把jdk的安裝路徑給java-home和path環境變量，再裝tomcat；

Tomcat的monitor設置一下控制檯，

Tomcat目錄：bin啓動文件夾，conf配置文件夾：server端口名字部署位置是webapps，lib第三方庫文件夾，logs主要看localhost本機日誌，localhost-access前端訪問日誌，

部署：安裝tomcat，將網站內容部署在webapps中，將數據庫內容部署在programdata的mysql的data中，設置tomcat的web-info-class文件中的config文件的數據庫驅動路徑及賬號密碼，重啓tomcat和mysql服務，

 

Web問題定位分析（問題排查）

1. 網址是否錯誤，拼寫端口

2. 網絡是否連通，ping命令，服務是否啓動；

3. 端口是否被佔用：netstat –ano|findstr 8080

4. 查看日誌

 

Web性能測試

與壓力測試區別，測試目的不一樣，性能是爲了確定在一定負荷下運行速度等性能指標是否符合要求，壓力是爲了測試得出最大負載能力，

性能環境要求及結果指標：用戶量，cpu佔用率，內存，用戶響應時間

快速解決：換硬件

 

併發用戶數據：系統註冊用戶數(遊客不算)，在線用戶數（註冊，登錄和遊客），併發用戶數是對系統產生壓力的用戶數量；

嚴格併發，非嚴格併發，

請求響應時間：=網絡傳輸時間+服務器處理時間+前端響應時間

事務響應時間：

吞吐量：服務器處理的總數據量，

吞吐率：一秒時間內服務器處理的數據量，

TPS：根據業務來分的，一秒內服務器處理交易或事務的數據量，重要指標，

     思考時間，是用來模擬用戶操作時消耗的時間

點擊率：每秒用戶點擊次數，

Pv：page view一個網友的瀏覽量，

Uv：unique visit獨立電腦客戶端訪問量，一天內多次登錄只能算作一次，

Ip：一天內同一ip只被計算一次

網站排名：www.alexa.cn   裏面有PV，uv，ip等統計，對公網統計，

百度統計：可以統計目標網站的訪問情況，註冊後新增一個網頁，獲得代碼加入到網頁的</head>標籤中，與百度統計建立關係進行統計，

RPS：每秒相應請求數，場景：當很多請求併發的時候，新增的請求能否得到響應，

 

Apache  ab， 開源，簡單，運營使用，安裝了apachehttpd，裏面自帶

LR併發量收費，

Apache Jmeter,開源，（簡單的性能和自動化測試）

   要預先安裝JDK，再安裝linux版本的jmeter，打開bin的jmeter.bat直接執行

   Linux下要先在windows下創建測試計劃生產jmx文件傳到linux執行

   對CPU的測試，多電腦測試TD（test driver）

   性能測試流程：性能測試規劃（人員，時間）-—環境搭建工具選擇—創建

   jmeter測試計劃（網址協議線程數監控器）---按場景實施測試計劃—分析及報告

   Jmeter功能組件：線程組，sample，配置組件，邏輯控制組件，前置後置控制器，定時器，斷言，監控與報告

   介紹：

   Sample：動作型元素，根據協議，beanshell sample自己寫動作， http是進行網頁網站測試，soap接口測試，

  邏輯控制器：運行一次還是多次，循環一次還是多次，固定控制器（思考時間），操作邏輯的控制；

  配置控制器：配置網址，端口等；

  斷言：將得到的結果與預期比對，從而發現和定位問題，常用響應斷言

  監控組：聚合報格，查看結果樹，

  不支持同時兩個測試計劃運行

  組件的作用域：放在線程組上面則時全局作用域，如果在某組件下面則作用域只在此組件內，

  Jmeter腳本錄製與回放：badboy，自帶錄製功能（創建一個代理）

  Jmeter創建代理：先在工作臺上添加一個代理服務器，在internet選項—鏈接—代理服務器：127.0.0.1,8090，jmeter工作臺中啓動代理，cmd查端口監聽；

  將代理器的目標控制器改成測試計劃—線程組，就可以在線程組裏錄製一個網頁登錄過程。

 

Web安全測試

1. 防範被破解密碼：

Web系統的賬號密碼不要太容易猜，linux/unix：root，windows：admin，管理員賬號密碼禁止被登錄，登錄後再切換到管理員賬號，

Ssh服務器如何禁止管理員登錄？

密碼複雜度：大小寫，字母數字組合，不少於8個字符等規則，

連續3次輸錯密碼鎖定30分鐘；

1. 內部安全：服務器機房監控、出入登記、防靜電處理、服務器密碼動態管理，

2. 安全需求：防止危險狀態的措施：root用戶不能遠程登錄服務器只能普通用戶登錄後切換root，或者屏蔽哪些ip段；

3. 安全設計：加密算法，安全架構，容錯，冗餘，

4. 方法：功能安全性驗證，漏洞掃描（nmap，Sql注入），模擬***（發數據包或猜密碼），

5. Web安全組織：wasc，web安全威脅分類，

6. 常見web安全（百度解決辦法）：

桌面漏洞：windows，linux操作系統漏洞

服務漏洞：apache，tomcat服務器漏洞，

Web服務器虛擬託管：阿里雲服務器，http代理服務器，

網頁內可嵌入對象，

密碼過於簡單

移動網站的破解插件

僞基站***：

SQL注入：將sql輸入截獲並處理（對輸入數據做限制）scrawlr

Nmap：linux下網絡掃描和嗅探工具，用以評估網絡系統安全（在線主機，操作系統，端口，服務）

多瀏覽器測試：multibrowser,支持主流瀏覽器並可進行對比，