• 功能测试通常从以下几个角度来对软件测试进行评价：

- 软件是否正确实现了需求规格说明书中明确定义的需求。

- 软件是否遗漏了需求规格说明书中明确定义的需求。

- 软件是否将需求规格说明书中未定义的需求实现。

- 软件是否对异常情况进行了处理，容错性好。

- 软件是否满足用户的使用需求。

- 软件是否满足用户的隐性需求。

• 在大多数情况下，功能测试主要关注于业务逻辑层面。而我们为大家介绍的功能测试，则忽略具体系统的业务逻辑，主要关注于WEB 系统通用的一些测试点。

- 表单测试

- 链接测试

- Cookie验证

表单测试

什么是表单?

HTML 表单用于搜集不同类型的用户输入。通长把文本框、下拉框、标签、按钮控件放在一个表单中，用于接收用户的输入。网站页面通过提交表单把用户的输入信息提交到服务器。

表单测试项

表单控件完整、布局合理

表单控件数据校验

表单控件联动

表单数据的提交完整、正确

功能符合业务需求

表单控件显示内容正确，且功能正常

链接测试

• 原理

从待测网站的根目录开始遍历所有的网页文件，对所有网页文件中的超级链接、图片文件、包含文件、CSS文件、页面内部链接等所有链接进行读取。以求最大程度的发现被测网站不完整是不存在的资源，并提交给相关人员进行整改。

• 链接测试分为三个方面：

- 测试所有链接是否按指示的那样确实链接到了该链接的页面;

- 测试所链接的页面是否存在;

- 保证Web 应用系统上没有孤立的页面。所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

COOKIE测试

是Web服务器保存在用户硬盘上的一段文本。Cookie允许一个Web站点在用户的电脑上保存信息并且随后再取回它。信息的片断以‘名/值’对(name-value pairs)的形式储存。

例如： C:\Users\jack\AppData\Local\Microsoft\Windows\Temporary Internet Files

1、Cookie是否正确保存用户信息。

2、Cookie清楚不影响程序的功能

3、Cookie有效期验证。

##################

可用性测试

• 站点整体布局、风格适宜

• 页面导航直观

• 页面内容准确

• 使用过程是否方便、易理解

• 注意快捷方式

• 满足区域文化

• 考虑用户群体

容量测试

• 模拟真实数据量下的验证。功能测试往往构造几条测试数据，可以完成功能

验证即可。但是系统在真正使用时，往往数据量是比较大的，另外会存在各种

情况的数据，数据量大的时候可能会出现一些缺陷。

构造测试数据：

• A、手工构造。

• B、编码构造。

• C、生产环境导出。

• D、数据生成器 Datafactory

安全性测试

• 认证与授权

• Session和cookie

• 文件上传漏洞

• SQL 注入

• XSS 跨站攻击

• DDoS拒绝服务攻击

认证和授权

• 认证的目的是为了认出用户是谁，而授权的目的是为了决定用户能够做什么。

• 认证：Authentication （who am I ?）

• 认证实际上就是一个验证凭证的过程。

• 多因素认证的强度要高于单因素的认证，但是在用户体验上，多因素认证或多或少会带来一些不方便的地方。

• 密码策略：长度、复杂度，要经过不可逆的加密后保存在数据库中。

• 多因素认证：支付宝

• 登录失败的错误提示消息不应该明确告知是用户名不存在还是密码错误，避免客户端使用暴力破解方式。

• 必须要登录成功后才能访问的页面中都需要用Session 对客户端进行验证，确认当前Session 已经登录过，否则访问该页面时应该自动跳转到登录页面。避免客户端直接在URL 地址栏输入某个地址进行访问，绕开登录验证。

• 登录失败后的限制策略，比如连接5 次登录失败，应该暂停用户登录，并将该信息发送给系统管理员，并告知客户端的IP 地址。

• 登录时应该使用图片验证码，包括后续的一些表单提交的动作，都要使用图片验证码。避免使用工具发送数据包，目前图片验证码是被证明最可靠的防攻击手段之一。

• 授权：Authorization （what can I do?）

• 某个主体对某个对象需要实施某种操作，而系统对这种操作的限制就是权限控制。

• 用户只能访问被授权的模块和功能。

• 用户不能通过直接输入URL 地址的方式进行越权访问。

• 权限的控制只能由系统管理员来维护，其它用户不能做任何修改。

• 权限控制要细，最好细到增删查改这种功能上，并且不同模块有不同的权限。

Session和Cookie

• 对客户端生成Session ID 时最好与IP 地址进行绑定，避免非法客户端获取到别人的Session ID 后来冒充合法用户。

• Cookie 的信息由于是保存在客户端，是公开的，所以对于关键信息需要加密处理。

• Cookie 的作用域需要定义清楚，不能一味的全部定义成 / ，这样很有可能站点虚拟目录之间的Cookie 信息互相影响，产生冲突。除非我们的站点只有一个虚拟目录。

• 一些重要的具有控制功能的数据不能保存在Cookie 当中，而必须将它保存在Session 中，避免人为地篡改Cookie 非法获取到系统控制权。

Session测试

• Session 不能过度使用，会加重服务器维护Session 的负担。

• Session 的过期时间设置是否合理。

• Session 过期后是否客户端是否生成新的SessionID。

文件上传漏洞

• 对文件类型进行过滤，比如只能允许上传图片或压缩文件。不能允许用户上传可执行程序或代码

• 见案例：访问secure中的两个php文件

• apache\bin\php.ini disable_function=phpinfo system

• 不能单纯只是以文件的后缀名来进行类型的判断

• 不能单纯只是在客户端使用Javascript 对文件类型进行判断，而应该在服务器端进行

• 文件上传的大小必须有限制

SQL注入

• 注入攻击的本质，是把用户输入的数据当成代码执行。

• 两个关键条件：

- 用户能够控制输入

- 原本程序要执行的代码，拼接了用户输入的数据。

• 攻击演示：http://localhost:8008/secure

SQL注入防治

• 不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；

• 不要使用动态拼装SQL，可以使用参数化的SQL 或者直接使用存储过程进行数据查询存取。

• 不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

• 不要把机密信息直接存放，加密敏感信息。

• 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

• 将服务器设置修改为支持自动将单引号和双引号进行转义。

• SQL 注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用SQL 注入检测工具如IBM 的AppScan 等。

跨站攻击概述

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

盗取Cookie

重定向用户到钓鱼网站

操纵受害者的浏览器

蠕虫攻击

跨站攻击测试方法

主要看代码里对用户输入的地方和变量有没有做长度和对 ”<” ,”>”, ”;” , ”’”等字符是否做过滤。还有要注意的是对于标签的闭合。

举例：在用户的输入域输入“”,如果提交数据后，系统以普通字符串形式显示则证明没有此漏洞，如果显示为一个文本输入框，则证明存在此漏洞。

DDoS拒绝服务攻击

• DDos攻击原理就是模拟真实用户来使用系统，但是模拟的量是非常大的，这样通过利用大量合理的请求造成资源过载，导致服务不可用，从而导致系统无法为真正用户提供服务。

• DDoS攻击，基本原理均是基于网络协议来进行的。

浏览器兼容性测试概述

浏览器是Web客户端最核心的构件，来自不同厂商的浏览器对Java，、JavaScript、 ActiveX、 plug-ins或不同的HTML规格有不同的支持。例如，ActiveX是Microsoft的产品，是为Internet Explorer而设计的，javascript是Netscape的产品，Java是Sun的产品等等。

主流浏览器：IE系列、FireFox、Chrome、Safari、360浏览器、腾讯TT等。Web网站要兼容不同厂商、不同版本的浏览器以及相应的插件和设置。

浏览器兼容性测试内容

手工测试：

测试一款主流的浏览器，其它浏览器测试主要业务流程。同时可以借助一些工具提升测试效率：如IETester。

在线测试：

目前一些浏览器兼容性测试厂商推出在线测试平台，可以进行在线测试，如： http://browsershots.org/

前端测试

互联网进入Web2.0时代，各种类似桌面软件的Web应用大量涌现，网站的前端由此发生了翻天覆地的变化。网页不再只是承载单一的文字和图片，各种富媒体让网页的内容更加生动，网页上软件化的交互形式为用户提供了更好的使用体验，这些都是基于前端技术实现的。

 JavaScript

 CSS

 XHtml

 Flash

Web访问时间组成

Web前端：

网络通道的建立

信息的传输

页面加载

浏览器渲染

Web后端：

服务器业务逻辑处理

数据库数据处理

Web 前端性能测试项

雅虎前端研发团队提出的前端32条准则：

CSS内容置顶(瀑布流)

CSS最新传输，可以使浏览器逐步加载已将下载的网页内容。这对内容比较多的网页尤其重要，用户不用一直等待在一个白屏上，而是可以先看已经下载的内容，用户体验较好。

JavaScript 脚本置底

JavaScript脚本对于页面展示没有帮助，主要用于后期用户的输入或异步加载处理，所以要放置到HTML代码底部，最后传输。

另外就是将JavaScript或CSS中的空格和注释全去掉，精简这些文件

HTTP 请求次数优化

1.尽量减少HTTP请求数：

合并文件到一个文件中，减少文件请求。

合并多个小图到一个大图，再使用CSS Sprites技术进行拆分

报文Header使用Expires属性，进行图片等内容缓存

2.文件压缩传输

Gzip通常可以减少70%网页内容的大小，包括脚本、样式表、图片等文件。Gzip比deflate更高效，主流服务器都有相应的压缩支持模块。