1. web測試用例怎麼編寫
不是很明白樓主的意思
我想你是希望能在web進行一些調試,並能顯示調試信息吧
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> New Document </TITLE>
<META http-equiv="Content-Type" content="text/html; charset=gb2312">
<META NAME="Generator" CONTENT="EditPlus">
<SCRIPT LANGUAGE="VBScript">
'調試專用
Dim DebugID
Sub Debug(byval Msg)
dim sHtml
DebugID=DebugID+1
sHtml="<TABLE ID=TDebug border=1 CELLSPACING=0 CELLPADDING=0 BorderColor=#FF6600 style='PADDING:4,4,4,4;BORDER-COLLAPSE:collapse' bgcolor=#FFCC99 width='100%' align='center'><TR><TD><b>Debug(" & DebugID & "):</b><br>"
sHtml=sHtml & Msg & "</TD></TR></TABLE>"
document.Write sHtml
End Sub
</SCRIPT>>
</HEAD>
<BODY>
<SCRIPT LANGUAGE="VBScript">
Call Debug(Time)
</SCRIPT>
</BODY>
</HTML>
2. 怎麼給javaWeb項目寫測試用例
文件名:Calutor.java
package com.sc.zy;
public class Calutor {
public int add(int num1,int num2){
return num1+num2;
}
public int sub(int num1,int num2){
return num1-num2;
}
public int mul(int num1,int num2){
return num1*num2;
}
public int div(int num1,int num2){
if(num2==0){
throw new MyException();
}
return num1/num2;
}
}
文件名:MyException.Java
package com.sc.zy;
public class MyException extends RuntimeException {
}
文件名:CalutorTest.java
package com.sc.zy;
import junit.framework.Assert;
import org.junit.After;
import org.junit.AfterClass;
import org.junit.Before;
import org.junit.BeforeClass;
import org.junit.Ignore;
import org.junit.Test;
public class CalutorTest {
private Calutor c;
@BeforeClass
public static void setUpBeforeClass(){
System.out.println("=====static init=======");
}
@AfterClass
public static void tearDownAfterClass(){
System.out.println("=====static destory=======");
}
@Before
public void setUp(){
System.out.println("=======@before=======");
c=new Calutor();
}
@After
public void tearDown(){
System.out.println("=======@after=======");
}
@Test
public void testAdd(){
int sum=c.add(1, 2);
Assert.assertEquals(3, sum);
}
@Test(expected=com.sc.zy.MyException.class)
public void testDiv(){
c.div(1, 0);
}
@Ignore
public void testDiv1(){
int d=c.div(1, 5);
Assert.assertEquals(0, d);
}
}
3. 如何進行Web滲透測試
什麼是滲透測試?
滲透測試,是滲透測試工程師完全模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標網路、主機、應用的安全作深入的探測,發現系統最脆弱的環節。
如何進行Web滲透測試?
完整web滲透測試框架當需要測試的web應用數以千計,就有必要建立一套完整的安全測試框架,流程的最高目標是要保證交付給客戶的安全測試服務質量。
1、立項:項目建立,時間安排,人力分配,目標制定,廠商介面人確定;
系統分析&威脅分析:針對具體的web應用,分析系統架構、使用的組件、對外提供的介面等,以STRIDE為威脅模型進行對應的安全威脅分析,輸出安全威脅分析表,重點關注top3威脅;
制定測試用例:根據威脅分析的結果制定對應的測試用例,測試用例按照模板輸出,具備可執行性;
測試執行&漏洞挖掘:測試用例執行&發散測試,挖掘對應的安全問題or漏洞;
問題修復&回歸測試:指導客戶應用開發方修復安全問題or漏洞,並進行回歸測試,確保安全問題or漏洞得到修復,並且沒有引入新的安全問題;
項目總結評審:項目過程總結,輸出文檔評審,相關文檔歸檔。
2、Web應用的滲透測試流程
主要分為3個階段,分別是:信息收集→漏洞發現→漏洞利用,下面仔細分析一下各個階段流程:
一、信息收集
在信息收集階段,我們需要盡量多的收集關於目標web應用的各種信息,比如:腳本語言的類型、伺服器的類型、目錄的結構、使用的開源軟體、資料庫類型、所有鏈接頁面,用到的框架等
腳本語言的類型:常見的腳本語言的類型包括:php、asp、aspx、jsp等
測試方法:
1 爬取網站所有鏈接,查看後綴
2 直接訪問一個不存在頁面後面加不同的後綴測試
3 查看robots.txt,查看後綴
伺服器的類型:常見的web伺服器包括:apache、tomcat、IIS、ngnix等
測試方法:
1 查看header,判斷伺服器類型
2 根據報錯信息判斷
3 根據默認頁面判斷
目錄的結構:了解更多的目錄,可能發現更多的弱點,如:目錄瀏覽、代碼泄漏等。
測試方法
1 使用字典枚舉目錄
2 使用爬蟲爬取整個網站,或者使用google等搜索引擎獲取
3 查看robots.txt是否泄漏
使用的開源軟體:我們如果知道了目標使用的開源軟體,我們可以查找相關的軟體的漏洞直接對網站進行測試。
測試方法
指紋識別(網路上有很多開源的指紋識別工具)
資料庫類型:對於不同的資料庫有不同的測試方法。
測試方法
1 使應用程序報錯,查看報錯信息
2 掃描伺服器的資料庫埠(沒做NAT且防火牆不過濾時有效)
所有鏈接頁面:這個跟前面的獲取目錄結構類似,但是這個不只是獲取網站的所有功能頁面,有時候還可以獲取到管理員備份的源碼。
測試方法
1 使用字典枚舉頁面
2 使用爬蟲爬取整個網站,或者使用google等搜索引擎獲取
3 查看robots.txt是否泄漏
用到的框架:很多網站都利用開源的框架來快速開發網站,所以收集網站的框架信息也是非常關鍵的。
測試方法
指紋識別(網路上有很多開源的指紋識別工具)
二、漏洞發現
在這個階段我們在做測試的時候要對症下葯,不能盲目的去掃描,首先要確定目標應用是否使用的是公開的開源軟體,開源框架等、然後在做深一度的漏洞掃描。
關於開源軟體的漏洞發現
開源的軟體:常見的開源軟體有wordpress、phpbb、dedecms等
開源的框架:常見的開源框架有Struts2、 Spring MVC、ThinkPHP等
中間件伺服器:常見的中間件伺服器有jboss、tomcat、Weblogic等
資料庫服務:常見的資料庫服務mssql、mysql、oracle、redis、sybase、MongoDB、DB2等
對於開源軟體的測試方法
1 通過指紋識別軟體判斷開源軟體的版本信息,針對不同的版本信息去開放的漏洞資料庫查找相應版本的漏洞進行測試
2 對於默認的後台登錄頁、資料庫服務埠認證等入口可以進行簡單的暴力破解、默認口令嘗試等操作
3 使用開源的漏洞發現工具對其進行漏洞掃描,如:WPScan
關於自主開發的應用
手動測試:這個階段,我們需要手工測試所有與用戶交互的功能,比如:留言、登入、下單、退出、退貨、付款等操作
軟體掃描:使用免費的軟體掃描,如:appscan、wvs、netsparker,burp等
可能存在的漏洞
Owasp關鍵點
代碼安全之上傳文件
代碼安全之文件包含
代碼安全之SSRF
邏輯漏洞之密碼重置
邏輯漏洞之支付漏洞
邏輯漏洞之越權訪問
平台安全之中間件安全
三、漏洞利用
針對不同的弱點有不同的漏洞利用方式,需要的知識點也比較多。一般這個階段包括兩種方式,一種是手工測試,一種是工具測試
手工測試
手工測試是通過客戶端或伺服器訪問目標服務,手工向目標程序發送特殊的數據,包括有效的和無效的輸入,觀察目標的狀態、對各種輸入的反應,根據結果來發現問題的漏洞檢測技術。手工測試不需要額外的輔助工具,可由測試者獨立完成,實現起來比較簡單。但這種方法高度依賴於測試者,需要測試者對目標比較了解。手工測試可用於Web應用程序、瀏覽器及其他需要用戶交互的程序。
這種方式對於有特殊過濾等操作,或者網路上沒有成型的利用工具的時候可以使用。
工具測試
網路上有很多好用的免費利用工具,比如針對sql注入的sqlmap、針對軟體漏洞的matesploit等。
4. web測試用例設計從哪些方面入手
常用的測試用例方法:
等價類:有效等價類和無效等價類。
邊界值:[1,10]正整數范圍為(0,1,2, 9,10,11),浮點數的話為最接近的范圍點。
因果圖:根據條件組合生成判定表。
正交實驗設計方法:抽取有代表性的元素數據來進行測試。
錯誤推測法:容易發生錯誤的地方進行有針對性地測試。
隨機測試:像一個普通用戶隨意地點擊操作去進行測試。
需求轉化法:通過正常操作、異常操作、特殊規約、用戶提示、數據一致性等要點轉化需求為成高粒度測試點。
對象屬性分析法:文件屬性:大小、路徑、文件名、文件編碼、文件內容、文件內容、
文件讀寫、文件共享。
全路徑覆蓋: 通過對每個業務數據流每個路徑進行測試。
場景法: 場景通常包括 正常場景、異常場景、備選場景、組合場景。
5. web自動化測試中用例是如何維護的
1.用例的維護專門負責的自動化測試人員進行跟蹤維護的2.ui自動化框架測試數據是與代碼分離的
6. 各位大蝦,QTP適合什麼樣的測試用例,我的測試用例是WEB版的,主要是看頁面曲線對不對等的,知道QTP能測試
不過我可以給你個思路。
首先我要測試時要知道我們具體要測試什麼?這就是測試目標的分析,通過一些文檔,也與程序員的溝通把webservice中需要測試的功能點都列出來。
webservice是什麼?Web Service是一個應用組件,它邏輯性的為其他應用程序提供數據與服務.
例如使用QTP來測試webservice中數據提供的一些功能,webservice中根據程序員的設計,有一些取數據的介面,這些介面可以在webservice頁面直接調用並返回,一般返回xml格式的類型。我就可以用QTP來錄制這個過程,使用檢查點來檢查一般是xml檢查點。
具體的實現推薦你去個論壇。加入論壇的QTP群,學習氛圍很好,有問題發出來一定有人回你的。
7. 求web兼容性測試用例
參考下面方法
一、分別在不同電腦上安裝不同版本的IE
優點:准確性高,三台電腦分別安裝IE6、7、8,顯然測試得出的結果是最准確的。
缺點:浪費伺服器資源,測試人員操作麻煩,需要不斷切換測試機器。
二、在一台電腦上安裝IETest
優點:能90%的模擬出不同瀏覽器的渲染效果,只需安裝在一台測試機器上即可。
缺點:
1)如果測試機器安裝的為IE6或IE7,那麼IETest不能模擬IE8.
2)如果測試機器安裝的為IE8,那麼IETest才能模擬IE6、7、8.
3)測試出的渲染效果與瀏覽器得實際效果存在差異,不一定準確.
三、在IE8上安裝IE Develop ToolBar
優點:通過此工具可以模擬IE7的渲染效果,擁有有IE7、8的真實渲染效果。
缺點:
1)無法模擬IE6的渲染效果。
2)一定要在一台測試機器上安裝IE8才能使用。
8. web的功能測試怎樣測試
首先,查找需求說明、網站設計等相關文檔,分析測試需求。
制定測試計劃,確定測試范圍和測試策略,一般包括以下幾個部分:功能性測試;界面測試;性能測試;資料庫測試;安全性測試;兼容性測試
設計測試用例:
功能性測試可以包括,但不限於以下幾個方面:
鏈接測試。鏈接是否正確跳轉,是否存在空頁面和無效頁面,是否有不正確的出錯信息返回。
提交功能的測試。
多媒體元素是否可以正確載入和顯示。
多語言支持是否能夠正確顯示選擇的語言等。
界面測試可以包括但不限於一下幾個方面:
頁面是否風格統一,美觀
頁面布局是否合理,重點內容和熱點內容是否突出
控制項是否正常使用
對於必須但未安裝的控制項,是否提供自動下載並安裝的功能
文字檢查
性能測試一般從以下三個方面考慮:
壓力測試;負載測試;強度測試
資料庫測試要具體決定是否需要開展。資料庫一般需要考慮連結性,對數據的存取操作,數據內容的驗證等方面。
安全性測試:
基本的登錄功能的檢查
是否存在溢出錯誤,導致系統崩潰或者許可權泄露
相關開發語言的常見安全性問題檢查,例如SQL注入等
如果需要高級的安全性測試,確定獲得專業安全公司的幫助,外包測試,或者獲取支持
兼容性測試,根據需求說明的內容,確定支持的平台組合:
瀏覽器的兼容性;
操作系統的兼容性;
軟體平台的兼容性;
資料庫的兼容性
開展測試,並記錄缺陷。合理的安排調整測試進度,提前獲取測試所需的資源,建立管理體系(例如,需求變更、風險、配置、測試文檔、缺陷報告、人力資源等內容)。
定期評審,對測試進行評估和總結,調整測試的內容。
敲黑板!重點:推薦大家使用自動化測試工具TestWriter(測功能、測兼容性、測回歸的零編碼自動化測試工具 ),吼吼~