web如何測試

    當我們負責web測試的時候，先了解B/S架構，然后分析如何開始執行測試，一般步驟：從功能測試，兼容測試，安全測試。

功能測試：

一、鏈接測試，鏈接是web應用系統的一個很重要的特征，主要是用於頁面之間切換跳轉：當發現頁面顯示內容與用戶需求不一致時，就是一個bug。

鏈接測試：測試所有鏈接是否按指示的那樣確實鏈接到了該鏈接的頁面；

                測試所鏈接的頁面是否存在；

      只有輸入正確的url地址才能訪問

1.鏈接是否按照既定指示那樣，確實鏈接到了該鏈接的界面

 2.測試該鏈接所鏈接的頁面是否真的存在

 3.保證系統中沒有單獨存在的頁面   即沒有鏈接指向，只能通過正確的URL地址才能訪問

二、表單測試

       這個也可以理解為數據落地；當用戶在web應用系統上向服務器提交信息時，就需要使用表單操作，比如，用戶注冊，登錄，信息變更等等；這種情況下，我們必須測試提交信息的完整性，

表單測試：輸入框的長度限制，比如用戶名要求多少長度；

          輸入框的類型限制，如果只能輸入數值，則跟數值無關的輸入應該不被允許；

          輸入框模式匹配，比如格式要求；

              按鈕點擊時做了自己應該做的事，沒做不應該做的事；

UI測試：測試圖形和內容

圖形測試

       也可以理解為UI測試，其中包括圖片、動畫、邊框、顏色、字體、背景、按鈕等等。

       其中要考慮的幾個重點，我做了一個大概的總結：

       1）圖片要有明確的用途，代表；圖片尺寸盡量小，一般采用JPG或者GIF壓縮

       2）頁面整體風格是否和系統的用途一致

       3）背景顏色，字體，搭配是否合理

內容測試

       這個主要用來檢測web系統提供信息的准確性、相關性

       比如：商品的價格，文字描述；信息的准確性，是否有拼寫錯誤；信息的相關性，比如很多網站的“相關文章列表，視頻列表等”

 

整體界面測試

       這個也就是我們常說的用戶體驗。用戶瀏覽時是否感覺舒適，整體風格等等

       這個我建議一般做一個類似問卷調查的形式，來判定用戶的反饋信息，最好有最終用戶的參與

導航測試

作為測試，很多時候都要站在用戶的角度去思考，那么，作為一個用戶，當他訪問一個web的網站或者系統時，會怎么去操作呢？

       大部分用戶都是目的驅動的，當他訪問一個網站，會很快的瀏覽系統，找不到滿足自己需求的信息時，會很快離開，很少有用戶願意花時間去熟悉系統的結構，因此，導航測試就顯得很重要。

       導航測試，就是在不同的頁面跳轉之間，或者按鈕、對話框、列表以及窗口等，通過考慮這些因素去判斷一個應用是否易於導航：是否直觀？系統的主要模塊是否可以通過主頁訪問或者到達？

       站點是否需要站內地圖或者搜索引擎等其他幫助？

       web系統導航的另外一個重點就是頁面結構、導航、菜單、風格等是否一致，確保用戶可以憑借直覺或者簡單的判斷就可以找到自己想要的內容。

兼容性測試：

平台兼容

       現在有很多的操作系統，比如Windows、Unix、Linux、macintosh等；用戶使用哪個系統取決於用戶，因此，系統兼容測試就很有必要了。

 瀏覽器兼容

       瀏覽器是web客戶端最核心的組件，不同的瀏覽器，對JavaScript，css或者HTML的規格都有不同的支持；

       采用的框架和結構風格在不同瀏覽器中也存在不同的顯示甚至不顯示，不同的瀏覽器對安全性的設置也是不同的。

       測試瀏覽器兼容，有個方法就是創建一個兼容性矩陣，來測試不同廠商不同版本的瀏覽器兼容。

       比如測試IE瀏覽器，可以通過一個叫做IEtester的工具來測試兼容，或者可以通過F12控制台來切換瀏覽器版本來測試兼容以前一些前端元素的顯示等

       鑒於國內市場瀏覽器很多，比如360、搜狗，搜狐、QQ瀏覽器等，這些本土的瀏覽器基本都采用的IE瀏覽器內核的雙核配置

安全測試：

1、認證：避免未經授權的頁面可以直接訪問

測試認證思路：在不登錄的情況下，去訪問只有登錄之后才能訪問的頁面(通過拷貝只有登錄之后才能訪問的頁面的url，在非登錄的情況下，打開ie復制url，觀察頁面是否可以訪問)

1、權限：不同角色權限檢查

測試權限思路：使用不同權限的賬號登錄系統，檢查是否滿足特定的賬號訪問特定的權限，比如互聯網金融理財平台中，使用管理員可以訪問系統管理的頁面，使用其他賬戶不可以訪問系統管理的頁面。

2、session、cookie

避免文件中保存敏感信息到cookie

DDOS:瘋狂向服務器發請求，導致服務器崩潰、使得服務器無法正常處理請求。

3、文件上傳漏洞：上傳了腳本文件、導致訪問腳本文件的時候，執行了里面的腳本，從而暴露安全信息(如：暴露目錄結構)、是否可以上傳非支持的文件格式；<?php phpinfo();?>等

避免文件上傳漏洞：

1、文件上傳的過濾：

1、文件上傳的過濾 通過后綴名、通過二進制來判斷類型

2、通過二進制來判斷類型

        2、修改服務器核心參數、禁止腳本引擎運行系統命令

5、xss跨站攻擊

惡意攻擊者往web頁面里面插入惡意script代碼，當用戶瀏覽該頁的時候，嵌入web里面的script/html代碼會被執行，從而達到惡意攻擊的目的<script>alert(‘...’)</script>

避免xss跨站攻擊：1、最基本最簡單的方法通過replace語句過濾‘<’和’>’

                   2、通過代碼語句過濾html屬性

                     3、過濾特殊字符

6、sql注入：通過在url中拼接sql來訪問數據庫，獲取、修改服務器數據庫的內容

1、獲取字段個數

2、獲取數據庫名稱

3、獲取表名

4、獲取字段名

5、獲取字段值  

 預防sql注入：采用預編譯語句、使用正則表達式過濾傳入的參數、字符串過濾

功能點如何測試：

1、關聯業務：對后續業務影響，業務關聯性考慮

2、UI層面：d 控件的測試、文本框錄入字符限制、長度、類型、按鈕、鏈接

3、數據層面：界面上錄入數據到數據庫中存儲，結果的校驗。

4、拓展的測試面：前端分析、可用性、兼容性、性能、安全性等