軟件測(cè)試與質(zhì)量保障課件：Web系統(tǒng)測(cè)試

Web系統(tǒng)測(cè)試華中農(nóng)業(yè)大學(xué)信息學(xué)院計(jì)算機(jī)科學(xué)系典型的Web應(yīng)用結(jié)構(gòu)

例：例：Web系統(tǒng)的測(cè)試范圍

功能測(cè)試性能測(cè)試安全性測(cè)試易用性測(cè)試（UI測(cè)試）兼容性測(cè)試數(shù)據(jù)庫(kù)測(cè)試其他測(cè)試如:分辨率,流量1.Web系統(tǒng)功能測(cè)試頁(yè)面內(nèi)容測(cè)試頁(yè)面鏈接測(cè)試表單測(cè)試設(shè)計(jì)語(yǔ)言測(cè)試數(shù)據(jù)庫(kù)測(cè)試

Cookies測(cè)試測(cè)試工具QT（1）頁(yè)面內(nèi)容測(cè)試內(nèi)容測(cè)試用來檢測(cè)Web應(yīng)用系統(tǒng)提供信息的正確性、準(zhǔn)確性和相關(guān)性。正確性準(zhǔn)確性相關(guān)性頁(yè)面內(nèi)容測(cè)試（續(xù)）文本標(biāo)簽網(wǎng)頁(yè)中的文字標(biāo)簽（2）鏈接測(cè)試鏈接是使用戶可以從一個(gè)頁(yè)面瀏覽到另一個(gè)頁(yè)面的主要手段，是Web應(yīng)用系統(tǒng)的一個(gè)主要特征。鏈接對(duì)于網(wǎng)站用戶而言意味著能不能流暢的使用整個(gè)網(wǎng)站提供的服務(wù)，因而鏈接將作為一個(gè)獨(dú)立的項(xiàng)目進(jìn)行測(cè)試。鏈接測(cè)試（續(xù)）檢查的內(nèi)容：測(cè)試所有鏈接是否能正確鏈接；測(cè)試所鏈接的頁(yè)面是否存在；保證Web應(yīng)用系統(tǒng)上沒有孤立的頁(yè)面，所謂孤立頁(yè)面是指沒有鏈接指向該頁(yè)面。方法：自動(dòng)化測(cè)試工具XenuLinkSleuth免費(fèi)綠色免安裝軟件HTMLLinkValidator共享（30天試用）IBMappScan(安全)（3）表單測(cè)試當(dāng)用戶給Web應(yīng)用系統(tǒng)管理員提交信息時(shí)，需要使用表單操作，如：用戶注冊(cè)、登陸、信息提交等。必須測(cè)試提交操作的完整性，以校驗(yàn)提交給服務(wù)器的信息的正確性。SQL注入：Netsparkerweb安全掃描器

（4）設(shè)計(jì)語(yǔ)言測(cè)試Web設(shè)計(jì)語(yǔ)言版本的差異可以引起客戶端或服務(wù)器端嚴(yán)重的問題，例如使用哪種版本的HTML等。除了HTML的版本問題外，不同的腳本語(yǔ)言，例如Java、JavaScript、ActiveX、VBScript或Perl等也要進(jìn)行驗(yàn)證。（5）數(shù)據(jù)庫(kù)測(cè)試在使用了數(shù)據(jù)庫(kù)的Web應(yīng)用系統(tǒng)中，可能發(fā)生兩種錯(cuò)誤：數(shù)據(jù)一致性錯(cuò)誤：由于用戶提交的表單信息不正確而造成的輸出錯(cuò)誤：由于網(wǎng)絡(luò)速度或程序設(shè)計(jì)問題等引起的（6）Cookies測(cè)試Cookies通常用來存儲(chǔ)用戶信息和用戶在某個(gè)應(yīng)用系統(tǒng)的操作。當(dāng)一個(gè)用戶使用Cookies訪問了某一個(gè)應(yīng)用系統(tǒng)時(shí)，Web服務(wù)器將發(fā)送關(guān)于用戶的信息，把該信息以Cookies的形式存儲(chǔ)在客戶端計(jì)算機(jī)上，這可用來創(chuàng)建動(dòng)態(tài)和自定義頁(yè)面或者存儲(chǔ)登陸等信息。Cookies測(cè)試（續(xù)）Cookies測(cè)試的內(nèi)容：Cookies是否起作用？是否按預(yù)定的時(shí)間進(jìn)行保存？刷新對(duì)Cookies有什么影響等。如果在Cookies中保存了注冊(cè)信息，請(qǐng)確認(rèn)該Cookies能夠正常工作而且已對(duì)這些信息已經(jīng)加密。如果使用Cookies來統(tǒng)計(jì)次數(shù)，需要驗(yàn)證次數(shù)累計(jì)正確。2.Web系統(tǒng)性能測(cè)試連接速度測(cè)試負(fù)載測(cè)試壓力測(cè)試測(cè)試工具LoadRunner網(wǎng)頁(yè)性能Firefox插件：Yslow，F(xiàn)indbug，PageSpeedDynatrace這個(gè)工具檢查網(wǎng)頁(yè)性能也不錯(cuò)

（1）連接速度測(cè)試用戶連接到Web應(yīng)用系統(tǒng)的速度根據(jù)上網(wǎng)方式的變化而變化，他們或許是電話撥號(hào)，或是寬帶上網(wǎng)。如果Web系統(tǒng)響應(yīng)時(shí)間太長(zhǎng)（例如超過5秒鐘），用戶就會(huì)因沒有耐心等待而離開。（2）性能測(cè)試性能測(cè)試是通過自動(dòng)化的測(cè)試工具模擬多種正常、峰值以及異常負(fù)載條件來對(duì)系統(tǒng)的各項(xiàng)性能指標(biāo)進(jìn)行測(cè)試。時(shí)間性能：軟件的一個(gè)具體事務(wù)的響應(yīng)時(shí)間空間性能：軟件運(yùn)行時(shí)所消耗的系統(tǒng)資源性能測(cè)試（1）我讓他背1袋米(輕松)我讓他背1袋米，但讓他去操場(chǎng)上跑圈，看多久累倒（吃力）我讓他背3袋米去操場(chǎng)跑圈，看多久累倒（極限）我讓他背1袋、2袋、3袋、4袋…發(fā)現(xiàn)最多背3袋性能測(cè)試（2）-分類一般性能測(cè)試負(fù)載測(cè)試壓力測(cè)試大數(shù)據(jù)量測(cè)試配置測(cè)試穩(wěn)定性測(cè)試莫過于追求差別，注重綜合應(yīng)用！一般性能測(cè)試一般性能測(cè)試：驗(yàn)證軟件在正常環(huán)境和系統(tǒng)條件下重復(fù)使用時(shí)是否還能滿足性能指標(biāo)，如運(yùn)行速度、響應(yīng)時(shí)間、占有系統(tǒng)資源等，不施加任何壓力。單機(jī)版軟件在其推薦配置下運(yùn)行軟件，檢查CPU的利用率、內(nèi)存的占有率等性能指標(biāo)及軟件主要事務(wù)的平均響應(yīng)時(shí)間。C/S、B/S軟件測(cè)試單個(gè)用戶登錄后，系統(tǒng)主要事務(wù)的響應(yīng)時(shí)間和服務(wù)器的資源消耗情況?？煽啃詼y(cè)試可靠性測(cè)試從驗(yàn)證的角度出發(fā)，檢驗(yàn)系統(tǒng)的可靠性是否達(dá)到預(yù)期的目標(biāo)，同時(shí)給出當(dāng)前系統(tǒng)可能的可靠性增長(zhǎng)情況。穩(wěn)定性測(cè)試即連續(xù)運(yùn)行被測(cè)系統(tǒng)，檢查系統(tǒng)運(yùn)行時(shí)的穩(wěn)定程度24*7方式只背1袋米，去操場(chǎng)上跑圈，看多久累倒負(fù)載測(cè)試負(fù)載測(cè)試通常讓被測(cè)系統(tǒng)在其能忍受的壓力的極限范圍之內(nèi)連續(xù)運(yùn)行，來測(cè)試系統(tǒng)的可靠性。某個(gè)時(shí)刻同時(shí)訪問Web系統(tǒng)的用戶數(shù)量在線數(shù)據(jù)處理的數(shù)量輕松->極限負(fù)載測(cè)試（續(xù)）負(fù)責(zé)測(cè)試的方法：使用測(cè)試工具模擬并發(fā)用戶以及獲取測(cè)試結(jié)果WebloadLoadRunnerJMeter…壓力測(cè)試壓力測(cè)試是持續(xù)不斷地給被測(cè)系統(tǒng)增加壓力，直到將系統(tǒng)壓垮為止，用來測(cè)試系統(tǒng)所能承受的最大壓力。實(shí)際破壞一個(gè)Web應(yīng)用系統(tǒng)。壓力測(cè)試是測(cè)試系統(tǒng)的限制和故障恢復(fù)能力，也就是測(cè)試Web應(yīng)用系統(tǒng)會(huì)不會(huì)崩潰，在什么情況下會(huì)崩潰。負(fù)載/壓力測(cè)試關(guān)注什么？驗(yàn)證系統(tǒng)能否同一時(shí)間響應(yīng)大量的用戶，用戶傳送大量數(shù)據(jù)時(shí)能否響應(yīng)，系統(tǒng)能否長(zhǎng)時(shí)間運(yùn)行。瞬間訪問高峰每個(gè)用戶傳送大量數(shù)據(jù)長(zhǎng)時(shí)間使用性能測(cè)試總結(jié)性能測(cè)試工具-LR性能測(cè)試工具原理：錄制+回放模擬用戶實(shí)際操作場(chǎng)景，監(jiān)控并分析運(yùn)行結(jié)果。LoadRunner的性能測(cè)試流程測(cè)試計(jì)劃錄制測(cè)試腳本創(chuàng)建運(yùn)行場(chǎng)景運(yùn)行測(cè)試監(jiān)控場(chǎng)景分析測(cè)試結(jié)果性能測(cè)試總結(jié)LR的工作原理(4)安全測(cè)試安全測(cè)試：檢查系統(tǒng)對(duì)非法侵入的防范能力。目的：驗(yàn)證安裝在系統(tǒng)內(nèi)的保護(hù)機(jī)制能否在實(shí)際中保護(hù)系統(tǒng)且不受非法入侵，不受非法干擾。（應(yīng)對(duì)入侵、自我防護(hù)和應(yīng)變）(4)安全測(cè)試在安全測(cè)試中，測(cè)試者扮演著試圖攻擊系統(tǒng)的角色：嘗試去通過外部的手段來獲取系統(tǒng)的密碼使用可以瓦解任何防守的客戶軟件來攻擊系統(tǒng)使系統(tǒng)“癱瘓”，其他用戶無(wú)法訪問有目的地引發(fā)系統(tǒng)錯(cuò)誤，期望在恢復(fù)過程中侵入系統(tǒng)通過瀏覽非保密的數(shù)據(jù)，從中找到進(jìn)入系統(tǒng)的鑰匙–系統(tǒng)的安全測(cè)試要設(shè)置一些測(cè)試用例試圖突破系統(tǒng)的安全保密措施，檢驗(yàn)系統(tǒng)是否有安全保密的漏洞。(4)安全測(cè)試內(nèi)容目錄登錄日志文件數(shù)據(jù)加密腳本語(yǔ)言SSL網(wǎng)絡(luò)抓包：httpwatch目錄設(shè)置Web安全的第一步就是正確設(shè)置目錄。目錄安全是Web安全性測(cè)試中不可忽略的問題。如果Web程序或Web服務(wù)器的處理不當(dāng)，通過簡(jiǎn)單的URL替換和推測(cè)，會(huì)將整個(gè)Web目錄暴露給用戶，這樣會(huì)造成Web的安全性隱患。每個(gè)目錄下應(yīng)該有index.html或main.html頁(yè)面，或者嚴(yán)格設(shè)置Web服務(wù)器的目錄訪問權(quán)限，這樣就不會(huì)顯示該目錄下的所有內(nèi)容，從而提高安全性。登錄很多站點(diǎn)都需要用戶先注冊(cè)后登錄使用，從而校驗(yàn)用戶名和匹配的密碼，以驗(yàn)證他們的身份，阻止非法用戶登錄。登錄角色權(quán)限用戶名唯一性口令強(qiáng)度和加密強(qiáng)度最大口令時(shí)效最小口令時(shí)效最小口令長(zhǎng)度口令復(fù)雜度口令鎖定日志文件日志文件對(duì)保證Web應(yīng)用系統(tǒng)的安全性是至關(guān)重要的。需要測(cè)試相關(guān)信息是否寫進(jìn)了日志文件、是否可追蹤。在后臺(tái)，要注意驗(yàn)證服務(wù)器日志工作正常。加密當(dāng)使用了安全套接字時(shí)，還要測(cè)試加密是否正確，檢查信息的完整性。SSL很多站點(diǎn)使用SSL（SecuritySocketLayer）安全協(xié)議進(jìn)行傳送。SSL表示安全套接字協(xié)議層，是由Netscape首先發(fā)表的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸協(xié)議。SSL是利用公開密鑰/私有密鑰的加密技術(shù)，在位于HTTP層和TCP層之間，建立用戶和服務(wù)器之間的加密通信，從而確保所傳送信息的安全性?？缯军c(diǎn)腳本攻擊（1）惡意的用戶會(huì)在發(fā)出的郵件中，附帶一個(gè)圖標(biāo)或是使用HTML文本；當(dāng)用戶點(diǎn)擊的使用，隱藏的腳本就會(huì)被激活，并在用戶的瀏覽器中被執(zhí)行。跨站點(diǎn)腳本攻擊（2）利用跨站點(diǎn)腳本執(zhí)行…如果我能讓你運(yùn)行我寫的JavaScript，我就能…從你正在瀏覽的域中偷到你的完全修改你所看到的頁(yè)面內(nèi)容從現(xiàn)在開始，跟蹤你在瀏覽器中的每一個(gè)動(dòng)作把你重定向到一個(gè)惡意的站點(diǎn)利用瀏覽器脆弱點(diǎn)控制你的機(jī)器–XSS是目前最大的安全風(fēng)險(xiǎn)(mostexploited)跨站點(diǎn)腳本執(zhí)行過程4.易用性測(cè)試導(dǎo)航測(cè)試圖形測(cè)試圖形用戶界面（GUI）測(cè)試可靠性測(cè)試導(dǎo)航測(cè)試導(dǎo)航描述了用戶在一個(gè)頁(yè)面內(nèi)操作的方式，在不同的用戶接口控制之間，或在不同的連接頁(yè)面之間。Web應(yīng)用系統(tǒng)導(dǎo)航幫助要盡可能地準(zhǔn)確。導(dǎo)航的頁(yè)面結(jié)構(gòu)、導(dǎo)航、菜單、連接的風(fēng)格要一致。圖形測(cè)試在Web應(yīng)用系統(tǒng)中，適當(dāng)?shù)膱D片和動(dòng)畫既能起到廣告宣傳的作用，又能起到美化頁(yè)面的功能。一個(gè)Web應(yīng)用系統(tǒng)的圖形可以包括圖片、動(dòng)畫、邊框、顏色、字體、背景、按鈕等。圖形用戶界面（GUI）測(cè)試整體界面測(cè)試界面測(cè)試要素界面內(nèi)容測(cè)試（a）整體界面測(cè)試整體界面是指整個(gè)Web應(yīng)用系統(tǒng)的頁(yè)面結(jié)構(gòu)設(shè)計(jì)，是給用戶的一個(gè)整體感。對(duì)最終用戶進(jìn)行調(diào)查的過程。一般Web應(yīng)用系統(tǒng)采取在主頁(yè)上做一個(gè)調(diào)查問卷的形式，來得到最終用戶的反饋信息。（b）界面測(cè)試要素界面測(cè)試要素主要包括：符合標(biāo)準(zhǔn)和規(guī)范靈活性正確性直觀性舒適性實(shí)用性一致性(c)界面測(cè)試內(nèi)容站點(diǎn)地圖和導(dǎo)航條測(cè)試站點(diǎn)地圖和導(dǎo)航條位置是否合理、是否可以導(dǎo)航等。內(nèi)容布局是否合理，滾動(dòng)條等簡(jiǎn)介說明。確認(rèn)測(cè)試的站點(diǎn)是否有地圖。站點(diǎn)地圖和/或?qū)Ш綏l可以引導(dǎo)用戶進(jìn)行瀏覽。需要驗(yàn)證站點(diǎn)地圖是否正確。確認(rèn)地圖上的鏈接是否確實(shí)存。地圖有沒有包括站點(diǎn)上的所有鏈接。5.數(shù)據(jù)庫(kù)測(cè)試數(shù)據(jù)庫(kù)為Web應(yīng)用系統(tǒng)的管理、運(yùn)行、查詢和實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)存儲(chǔ)的請(qǐng)求等提供空間。在Web應(yīng)用中，常用的數(shù)據(jù)庫(kù)類型是關(guān)系型數(shù)據(jù)庫(kù)，可以使用SQL對(duì)信息進(jìn)行處理。數(shù)據(jù)庫(kù)測(cè)試是Web網(wǎng)站測(cè)試的一個(gè)基本組成部分。對(duì)于測(cè)試人員，要真正了解后臺(tái)數(shù)據(jù)庫(kù)的內(nèi)部結(jié)構(gòu)和設(shè)計(jì)概念，制定詳細(xì)的數(shù)據(jù)庫(kù)測(cè)試計(jì)劃，至少能在程序的某個(gè)流程點(diǎn)上并發(fā)地查詢數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)測(cè)試的主要因素?cái)?shù)據(jù)的完整性測(cè)試的重點(diǎn)是檢測(cè)數(shù)據(jù)損壞程度。設(shè)定適當(dāng)?shù)臋z查點(diǎn)可以減輕數(shù)據(jù)損壞的程度。比如，檢查事務(wù)日志以便及時(shí)掌握數(shù)據(jù)庫(kù)的變化情況。數(shù)據(jù)有效性數(shù)據(jù)有效性能確保信息的正確性，使得前臺(tái)用戶和數(shù)據(jù)庫(kù)之間傳送的數(shù)據(jù)是準(zhǔn)確的。在工作流上的變化點(diǎn)上檢測(cè)數(shù)據(jù)庫(kù)，跟蹤變化的數(shù)據(jù)庫(kù)，判斷其正確性。數(shù)據(jù)操作和更新，根