軟件測試與質量保障課件：Web系統(tǒng)測試

Web系統(tǒng)測試華中農(nóng)業(yè)大學信息學院計算機科學系典型的Web應用結構

例：例：Web系統(tǒng)的測試范圍

功能測試性能測試安全性測試易用性測試（UI測試）兼容性測試數(shù)據(jù)庫測試其他測試如:分辨率,流量1.Web系統(tǒng)功能測試頁面內容測試頁面鏈接測試表單測試設計語言測試數(shù)據(jù)庫測試

Cookies測試測試工具QT（1）頁面內容測試內容測試用來檢測Web應用系統(tǒng)提供信息的正確性、準確性和相關性。正確性準確性相關性頁面內容測試（續(xù)）文本標簽網(wǎng)頁中的文字標簽（2）鏈接測試鏈接是使用戶可以從一個頁面瀏覽到另一個頁面的主要手段，是Web應用系統(tǒng)的一個主要特征。鏈接對于網(wǎng)站用戶而言意味著能不能流暢的使用整個網(wǎng)站提供的服務，因而鏈接將作為一個獨立的項目進行測試。鏈接測試（續(xù)）檢查的內容：測試所有鏈接是否能正確鏈接；測試所鏈接的頁面是否存在；保證Web應用系統(tǒng)上沒有孤立的頁面，所謂孤立頁面是指沒有鏈接指向該頁面。方法：自動化測試工具XenuLinkSleuth免費綠色免安裝軟件HTMLLinkValidator共享（30天試用）IBMappScan(安全)（3）表單測試當用戶給Web應用系統(tǒng)管理員提交信息時，需要使用表單操作，如：用戶注冊、登陸、信息提交等。必須測試提交操作的完整性，以校驗提交給服務器的信息的正確性。SQL注入：Netsparkerweb安全掃描器

（4）設計語言測試Web設計語言版本的差異可以引起客戶端或服務器端嚴重的問題，例如使用哪種版本的HTML等。除了HTML的版本問題外，不同的腳本語言，例如Java、JavaScript、ActiveX、VBScript或Perl等也要進行驗證。（5）數(shù)據(jù)庫測試在使用了數(shù)據(jù)庫的Web應用系統(tǒng)中，可能發(fā)生兩種錯誤：數(shù)據(jù)一致性錯誤：由于用戶提交的表單信息不正確而造成的輸出錯誤：由于網(wǎng)絡速度或程序設計問題等引起的（6）Cookies測試Cookies通常用來存儲用戶信息和用戶在某個應用系統(tǒng)的操作。當一個用戶使用Cookies訪問了某一個應用系統(tǒng)時，Web服務器將發(fā)送關于用戶的信息，把該信息以Cookies的形式存儲在客戶端計算機上，這可用來創(chuàng)建動態(tài)和自定義頁面或者存儲登陸等信息。Cookies測試（續(xù)）Cookies測試的內容：Cookies是否起作用？是否按預定的時間進行保存？刷新對Cookies有什么影響等。如果在Cookies中保存了注冊信息，請確認該Cookies能夠正常工作而且已對這些信息已經(jīng)加密。如果使用Cookies來統(tǒng)計次數(shù)，需要驗證次數(shù)累計正確。2.Web系統(tǒng)性能測試連接速度測試負載測試壓力測試測試工具LoadRunner網(wǎng)頁性能Firefox插件：Yslow，F(xiàn)indbug，PageSpeedDynatrace這個工具檢查網(wǎng)頁性能也不錯

（1）連接速度測試用戶連接到Web應用系統(tǒng)的速度根據(jù)上網(wǎng)方式的變化而變化，他們或許是電話撥號，或是寬帶上網(wǎng)。如果Web系統(tǒng)響應時間太長（例如超過5秒鐘），用戶就會因沒有耐心等待而離開。（2）性能測試性能測試是通過自動化的測試工具模擬多種正常、峰值以及異常負載條件來對系統(tǒng)的各項性能指標進行測試。時間性能：軟件的一個具體事務的響應時間空間性能：軟件運行時所消耗的系統(tǒng)資源性能測試（1）我讓他背1袋米(輕松)我讓他背1袋米，但讓他去操場上跑圈，看多久累倒（吃力）我讓他背3袋米去操場跑圈，看多久累倒（極限）我讓他背1袋、2袋、3袋、4袋…發(fā)現(xiàn)最多背3袋性能測試（2）-分類一般性能測試負載測試壓力測試大數(shù)據(jù)量測試配置測試穩(wěn)定性測試莫過于追求差別，注重綜合應用！一般性能測試一般性能測試：驗證軟件在正常環(huán)境和系統(tǒng)條件下重復使用時是否還能滿足性能指標，如運行速度、響應時間、占有系統(tǒng)資源等，不施加任何壓力。單機版軟件在其推薦配置下運行軟件，檢查CPU的利用率、內存的占有率等性能指標及軟件主要事務的平均響應時間。C/S、B/S軟件測試單個用戶登錄后，系統(tǒng)主要事務的響應時間和服務器的資源消耗情況?？煽啃詼y試可靠性測試從驗證的角度出發(fā)，檢驗系統(tǒng)的可靠性是否達到預期的目標，同時給出當前系統(tǒng)可能的可靠性增長情況。穩(wěn)定性測試即連續(xù)運行被測系統(tǒng)，檢查系統(tǒng)運行時的穩(wěn)定程度24*7方式只背1袋米，去操場上跑圈，看多久累倒負載測試負載測試通常讓被測系統(tǒng)在其能忍受的壓力的極限范圍之內連續(xù)運行，來測試系統(tǒng)的可靠性。某個時刻同時訪問Web系統(tǒng)的用戶數(shù)量在線數(shù)據(jù)處理的數(shù)量輕松->極限負載測試（續(xù)）負責測試的方法：使用測試工具模擬并發(fā)用戶以及獲取測試結果WebloadLoadRunnerJMeter…壓力測試壓力測試是持續(xù)不斷地給被測系統(tǒng)增加壓力，直到將系統(tǒng)壓垮為止，用來測試系統(tǒng)所能承受的最大壓力。實際破壞一個Web應用系統(tǒng)。壓力測試是測試系統(tǒng)的限制和故障恢復能力，也就是測試Web應用系統(tǒng)會不會崩潰，在什么情況下會崩潰。負載/壓力測試關注什么？驗證系統(tǒng)能否同一時間響應大量的用戶，用戶傳送大量數(shù)據(jù)時能否響應，系統(tǒng)能否長時間運行。瞬間訪問高峰每個用戶傳送大量數(shù)據(jù)長時間使用性能測試總結性能測試工具-LR性能測試工具原理：錄制+回放模擬用戶實際操作場景，監(jiān)控并分析運行結果。LoadRunner的性能測試流程測試計劃錄制測試腳本創(chuàng)建運行場景運行測試監(jiān)控場景分析測試結果性能測試總結LR的工作原理(4)安全測試安全測試：檢查系統(tǒng)對非法侵入的防范能力。目的：驗證安裝在系統(tǒng)內的保護機制能否在實際中保護系統(tǒng)且不受非法入侵，不受非法干擾。（應對入侵、自我防護和應變）(4)安全測試在安全測試中，測試者扮演著試圖攻擊系統(tǒng)的角色：嘗試去通過外部的手段來獲取系統(tǒng)的密碼使用可以瓦解任何防守的客戶軟件來攻擊系統(tǒng)使系統(tǒng)“癱瘓”，其他用戶無法訪問有目的地引發(fā)系統(tǒng)錯誤，期望在恢復過程中侵入系統(tǒng)通過瀏覽非保密的數(shù)據(jù)，從中找到進入系統(tǒng)的鑰匙–系統(tǒng)的安全測試要設置一些測試用例試圖突破系統(tǒng)的安全保密措施，檢驗系統(tǒng)是否有安全保密的漏洞。(4)安全測試內容目錄登錄日志文件數(shù)據(jù)加密腳本語言SSL網(wǎng)絡抓包：httpwatch目錄設置Web安全的第一步就是正確設置目錄。目錄安全是Web安全性測試中不可忽略的問題。如果Web程序或Web服務器的處理不當，通過簡單的URL替換和推測，會將整個Web目錄暴露給用戶，這樣會造成Web的安全性隱患。每個目錄下應該有index.html或main.html頁面，或者嚴格設置Web服務器的目錄訪問權限，這樣就不會顯示該目錄下的所有內容，從而提高安全性。登錄很多站點都需要用戶先注冊后登錄使用，從而校驗用戶名和匹配的密碼，以驗證他們的身份，阻止非法用戶登錄。登錄角色權限用戶名唯一性口令強度和加密強度最大口令時效最小口令時效最小口令長度口令復雜度口令鎖定日志文件日志文件對保證Web應用系統(tǒng)的安全性是至關重要的。需要測試相關信息是否寫進了日志文件、是否可追蹤。在后臺，要注意驗證服務器日志工作正常。加密當使用了安全套接字時，還要測試加密是否正確，檢查信息的完整性。SSL很多站點使用SSL（SecuritySocketLayer）安全協(xié)議進行傳送。SSL表示安全套接字協(xié)議層，是由Netscape首先發(fā)表的網(wǎng)絡數(shù)據(jù)安全傳輸協(xié)議。SSL是利用公開密鑰/私有密鑰的加密技術，在位于HTTP層和TCP層之間，建立用戶和服務器之間的加密通信，從而確保所傳送信息的安全性?？缯军c腳本攻擊（1）惡意的用戶會在發(fā)出的郵件中，附帶一個圖標或是使用HTML文本；當用戶點擊的使用，隱藏的腳本就會被激活，并在用戶的瀏覽器中被執(zhí)行?？缯军c腳本攻擊（2）利用跨站點腳本執(zhí)行…如果我能讓你運行我寫的JavaScript，我就能…從你正在瀏覽的域中偷到你的完全修改你所看到的頁面內容從現(xiàn)在開始，跟蹤你在瀏覽器中的每一個動作把你重定向到一個惡意的站點利用瀏覽器脆弱點控制你的機器–XSS是目前最大的安全風險(mostexploited)跨站點腳本執(zhí)行過程4.易用性測試導航測試圖形測試圖形用戶界面（GUI）測試可靠性測試導航測試導航描述了用戶在一個頁面內操作的方式，在不同的用戶接口控制之間，或在不同的連接頁面之間。Web應用系統(tǒng)導航幫助要盡可能地準確。導航的頁面結構、導航、菜單、連接的風格要一致。圖形測試在Web應用系統(tǒng)中，適當?shù)膱D片和動畫既能起到廣告宣傳的作用，又能起到美化頁面的功能。一個Web應用系統(tǒng)的圖形可以包括圖片、動畫、邊框、顏色、字體、背景、按鈕等。圖形用戶界面（GUI）測試整體界面測試界面測試要素界面內容測試（a）整體界面測試整體界面是指整個Web應用系統(tǒng)的頁面結構設計，是給用戶的一個整體感。對最終用戶進行調查的過程。一般Web應用系統(tǒng)采取在主頁上做一個調查問卷的形式，來得到最終用戶的反饋信息。（b）界面測試要素界面測試要素主要包括：符合標準和規(guī)范靈活性正確性直觀性舒適性實用性一致性(c)界面測試內容站點地圖和導航條測試站點地圖和導航條位置是否合理、是否可以導航等。內容布局是否合理，滾動條等簡介說明。確認測試的站點是否有地圖。站點地圖和/或導航條可以引導用戶進行瀏覽。需要驗證站點地圖是否正確。確認地圖上的鏈接是否確實存。地圖有沒有包括站點上的所有鏈接。5.數(shù)據(jù)庫測試數(shù)據(jù)庫為Web應用系統(tǒng)的管理、運行、查詢和實現(xiàn)用戶對數(shù)據(jù)存儲的請求等提供空間。在Web應用中，常用的數(shù)據(jù)庫類型是關系型數(shù)據(jù)庫，可以使用SQL對信息進行處理。數(shù)據(jù)庫測試是Web網(wǎng)站測試的一個基本組成部分。對于測試人員，要真正了解后臺數(shù)據(jù)庫的內部結構和設計概念，制定詳細的數(shù)據(jù)庫測試計劃，至少能在程序的某個流程點上并發(fā)地查詢數(shù)據(jù)庫。數(shù)據(jù)庫測試的主要因素數(shù)據(jù)的完整性測試的重點是檢測數(shù)據(jù)損壞程度。設定適當?shù)臋z查點可以減輕數(shù)據(jù)損壞的程度。比如，檢查事務日志以便及時掌握數(shù)據(jù)庫的變化情況。數(shù)據(jù)有效性數(shù)據(jù)有效性能確保信息的正確性，使得前臺用戶和數(shù)據(jù)庫之間傳送的數(shù)據(jù)是準確的。在工作流上的變化點上檢測數(shù)據(jù)庫，跟蹤變化的數(shù)據(jù)庫，判斷其正確性。數(shù)據(jù)操作和更新，根