工具總結:
網站兼容性測試工具:multibrowser
Cookie工具:iecookiesview
超鏈接工具:xneu,http link validor
http協議的請求相應抓包工具:httpdebugger pro
服務器:tomcat
安全測試工具:nmap(主機端口服務os等嗅探),scrawlr(sql注入工具)
性能測試工具:ab,jmeter,lr,qtp,百度統計和排名www.alexa.cn網站
Web:通過瀏覽器訪問服務器, B/S 架構
Web技術學校網站:www.3cschool.com.cn
安裝apache,不要有中文和空格在路徑中,httpd的conf文件中設置端口號;工程要部署在htdocs文件夾下;
Web的地址:域名,需阿里雲購買,阿里雲還可以購買服務器,還有很多其他網站可以購買域名和服務器。域名與服務器是映射關係,一個域名可以對應多個服務器,一個服務器也可以對應多個域名。雲服務器一般是centos,遠程訪問去部署服務器,
開關網絡服務:service httpd start, service httpd stop, service httpd restart,
查看端口:lsof –i:80
Web應用架構:瀏覽器,web服務器,應用服務器,數據庫,存儲設備
大型的web應用,如天貓淘寶雙11,用LB 負載均衡,將請求可以均衡到不同的服務器;
技能:安裝apache,部署web工程,查看網頁源碼F12;
Cookie: 名稱,值,超期時間
Web測試:兩大板塊,五大技術領域;
兩大板塊:UI測試,如門戶,業務測試如電商,
五大技術領域:功能,自動化,性能,接口,安全;
UI測試:外觀及用戶交互部分的測試,包含:
頁面佈局,文字內容及大小,滾動條,對其他語言的支持,tab翻頁,各種鏈接有效,
圖片:大小,清晰,含義正確,鏈接有效正確,風格一致,按含義合理分類佈局,顏色搭配合理,圖片無法顯示時容錯處理,提示信息錯誤;
內容測試:價格,符號,語法,拼寫,邏輯,習慣做法,
瀏覽器兼容性測試:
表單測試:登錄註冊,查詢,訂購,信息記錄,背後就是在對數據庫進行增刪改查。
提交—重置,郵件聯繫---郵箱登記,數量—負數、小數、特殊符號、上限、非數字----錯誤提示,頁面的右鍵功能,添加----非空、相應輸入框控制,批量操作,翻頁操作,
驗證碼測試:大小位置,刷新,點擊,錯誤提示,大小寫,顯示速度,完整性,更換速度,
整體思考測試點,反向思考測試點,
Cookie測試:存儲用戶訪問網頁的信息記錄,下次訪問網頁會根據用戶歷史記錄提供特定內容給用戶,
有的網站要求一定要用cookie,那麼就要測試不同cookie設置下網站是否正常使用,一般情況下即使cookie設置高,不能影響網站的使用,最好是有相應提示;
Cookie設置:工具—internet選項—隱私—選擇internet區域設置,高是禁用
刪除cookie:工具—internet選項—常規—瀏覽歷史記錄—刪除cookie;
Cookie有效期:過了就重新開始;
Cookie與電腦緩存的區別:電腦緩存包含了瀏覽器緩存和程序緩存,cookie是瀏覽器緩存的一部分,cookie是服務器主動推送給瀏覽器的信息,其他瀏覽器緩存是瀏覽器主動保存服務器的圖片等信息;
工具:iecookiesview
超鏈接測試:
是否可以打開,鏈接地址是否正確,打開是否速度正常等等;
Xenu:免費,適用有下載的鏈接,只能對已經部署的超鏈接進行測試,缺點不判斷下載文件是否正確,
Options設置線程及鏈接層級及報告內容,
Html linkvalidator:收費,特點是對沒有部署的頁面也對超鏈接進行測試,即可測試本機的文件夾裏的鏈接,也可以測試網站上的超鏈接,綠的是通過的,紅色有問題,黃色等待測試,report菜單生成報告;這個軟件200多塊錢
http協議詳解:
dns原理:瀏覽器訪問服務器的詳細過程,客戶端提出域名請求後,客戶端的dns服務器先查本地dns緩存和host文件將網址翻譯成IP地址,找不到就查省dns服務器緩存,不行就到全國dns,再找不到就到全球dns去查直到找到爲止;
(dns緩存記錄的就是域名與ip的對應關係,dns服務端口53)
Localhost對應的IP就是127.0.0.1
http協議是請求/響應協議:就是一問一答的方式,簡單快速靈活無連接無狀態,
請求:get,head,post,請求行,消息報頭,請求正文,
Get: 獲取查詢資源信息
GET目錄 ?參數1&參數2/版本
Host:請求發給的服務器
操作系統版本;
連接狀態connection:keep alive 保活
Post:向指定資源提交數據處理的請求;
Get與post的區別:get的消息放在協議頭,在網址的地址欄可以看到,且不能超過255個字符否則被切斷,而post是放內容在消息體裏面,數據大小無限制,故post比get安全,get比post簡單快速;
測試點:賬號密碼的輸入框就不能用get方法,要用post方法,否則get方法會把賬號密碼顯示在地址欄裏面從而被記錄;
測試需瞭解知識點:前端,後端,協議,接口,web服務器,性能測試工具,
Http協議工具: http debuggerpro6.2 ,顯示網站的request和response,定位分析問題,注意適時停止抓包,不然系統死掉
https是加密的,比http安全。
頁面響應碼:100-199:收到請求,需繼續處理
200—299服務器成功接收並處理完成,
300-399,客戶端請求的資源已經到了其他地址,並告訴此地址;
400-499:表示客戶端的請求有錯誤
500-599,表示服務端出現錯誤
常見:200成功,302跳轉,400客戶端預防錯誤,403,服務器拒絕服務,404請求的資源不存在,500服務器發送錯誤
Tomcat安裝:
Path是給cmd命令使用的默認環境路徑,指到到bin,
Java-home是給tomcat使用的默認環境路徑,指到java版本文件夾即可;
環境設置:用戶,只對該用戶有效,系統設置:對所有用戶有效;
先裝jdk,把jdk的安裝路徑給java-home和path環境變量,再裝tomcat;
Tomcat的monitor設置一下控制檯,
Tomcat目錄:bin啓動文件夾,conf配置文件夾:server端口名字部署位置是webapps,lib第三方庫文件夾,logs主要看localhost本機日誌,localhost-access前端訪問日誌,
部署:安裝tomcat,將網站內容部署在webapps中,將數據庫內容部署在programdata的mysql的data中,設置tomcat的web-info-class文件中的config文件的數據庫驅動路徑及賬號密碼,重啓tomcat和mysql服務,
Web問題定位分析(問題排查)
網址是否錯誤,拼寫端口
網絡是否連通,ping命令,服務是否啓動;
端口是否被佔用:netstat –ano|findstr 8080
查看日誌
Web性能測試
與壓力測試區別,測試目的不一樣,性能是爲了確定在一定負荷下運行速度等性能指標是否符合要求,壓力是爲了測試得出最大負載能力,
性能環境要求及結果指標:用戶量,cpu佔用率,內存,用戶響應時間
快速解決:換硬件
併發用戶數據:系統註冊用戶數(遊客不算),在線用戶數(註冊,登錄和遊客),併發用戶數是對系統產生壓力的用戶數量;
嚴格併發,非嚴格併發,
請求響應時間:=網絡傳輸時間+服務器處理時間+前端響應時間
事務響應時間:
吞吐量:服務器處理的總數據量,
吞吐率:一秒時間內服務器處理的數據量,
TPS:根據業務來分的,一秒內服務器處理交易或事務的數據量,重要指標,
思考時間,是用來模擬用戶操作時消耗的時間
點擊率:每秒用戶點擊次數,
Pv:page view一個網友的瀏覽量,
Uv:unique visit獨立電腦客戶端訪問量,一天內多次登錄只能算作一次,
Ip:一天內同一ip只被計算一次
網站排名:www.alexa.cn 裏面有PV,uv,ip等統計,對公網統計,
百度統計:可以統計目標網站的訪問情況,註冊後新增一個網頁,獲得代碼加入到網頁的</head>標籤中,與百度統計建立關係進行統計,
RPS:每秒相應請求數,場景:當很多請求併發的時候,新增的請求能否得到響應,
Apache ab, 開源,簡單,運營使用,安裝了apachehttpd,裏面自帶
LR併發量收費,
Apache Jmeter,開源,(簡單的性能和自動化測試)
要預先安裝JDK,再安裝linux版本的jmeter,打開bin的jmeter.bat直接執行
Linux下要先在windows下創建測試計劃生產jmx文件傳到linux執行
對CPU的測試,多電腦測試TD(test driver)
性能測試流程:性能測試規劃(人員,時間)-—環境搭建工具選擇—創建
jmeter測試計劃(網址協議線程數監控器)---按場景實施測試計劃—分析及報告
Jmeter功能組件:線程組,sample,配置組件,邏輯控制組件,前置後置控制器,定時器,斷言,監控與報告
介紹:
Sample:動作型元素,根據協議,beanshell sample自己寫動作, http是進行網頁網站測試,soap接口測試,
邏輯控制器:運行一次還是多次,循環一次還是多次,固定控制器(思考時間),操作邏輯的控制;
配置控制器:配置網址,端口等;
斷言:將得到的結果與預期比對,從而發現和定位問題,常用響應斷言
監控組:聚合報格,查看結果樹,
不支持同時兩個測試計劃運行
組件的作用域:放在線程組上面則時全局作用域,如果在某組件下面則作用域只在此組件內,
Jmeter腳本錄製與回放:badboy,自帶錄製功能(創建一個代理)
Jmeter創建代理:先在工作臺上添加一個代理服務器,在internet選項—鏈接—代理服務器:127.0.0.1,8090,jmeter工作臺中啓動代理,cmd查端口監聽;
將代理器的目標控制器改成測試計劃—線程組,就可以在線程組裏錄製一個網頁登錄過程。
Web安全測試
防範被破解密碼:
Web系統的賬號密碼不要太容易猜,linux/unix:root,windows:admin,管理員賬號密碼禁止被登錄,登錄後再切換到管理員賬號,
Ssh服務器如何禁止管理員登錄?
密碼複雜度:大小寫,字母數字組合,不少於8個字符等規則,
連續3次輸錯密碼鎖定30分鐘;
內部安全:服務器機房監控、出入登記、防靜電處理、服務器密碼動態管理,
安全需求:防止危險狀態的措施:root用戶不能遠程登錄服務器只能普通用戶登錄後切換root,或者屏蔽哪些ip段;
安全設計:加密算法,安全架構,容錯,冗餘,
方法:功能安全性驗證,漏洞掃描(nmap,Sql注入),模擬***(發數據包或猜密碼),
Web安全組織:wasc,web安全威脅分類,
常見web安全(百度解決辦法):
桌面漏洞:windows,linux操作系統漏洞
服務漏洞:apache,tomcat服務器漏洞,
Web服務器虛擬託管:阿里雲服務器,http代理服務器,
網頁內可嵌入對象,
密碼過於簡單
移動網站的破解插件
僞基站***:
SQL注入:將sql輸入截獲並處理(對輸入數據做限制)scrawlr
Nmap:linux下網絡掃描和嗅探工具,用以評估網絡系統安全(在線主機,操作系統,端口,服務)
多瀏覽器測試:multibrowser,支持主流瀏覽器並可進行對比,