混了三年的功能测试菜鸟随笔(自己闲着蛋疼看的)

shenyang_7331 · 发表于 2016-7-7 14:14:36

1.阶段一：简单的功能测试(边界值，有效等价性等…简单的run case能力)
2.阶段二：阶段一+UI体验度（参照：UI测试需要关注点 http://www.educity.cn/se/624726.html）
3.阶段三：阶段二+安全性（参照：安全性测试总结 http://www.51testing.com/html/25/n-212325.html），个人感觉菜鸟现阶段了解安全性测试中的  XSS、及SQL注入：
   （XSS 解释：传统的跨站利用方式一般都是攻击者先构造一个跨站网页，然后在另一空间里放一个收集cookie的页面，接着结合其它技术让用户打开跨站页面以盗取用户的cookie，以便进一步的攻击。个人认为这种方式太过于落后，对于弊端大家可能都知道，因为即便你收集到了cookie你也未必能进一步渗透进去，多数的cookie里面的密码都是经过加密的，如果想要cookie欺骗的话，同样也要受到其它的条件的限约。而本文提出的另一种思路，则从一定程度上解决上述的问题。对于个人而言，比较成熟的方法是通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。）
   （SQL注入解释：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击）
一般建议安全性开发使用：https、密码传递需要加密，非明文、不要缓存。
4.阶段四：阶段三+自动化测试（selenium 和 QTP）
selenium学习及使用：参照 http://www.51testing.com/zhuanti/selenium.html
QTP学习及使用：参照 http://www.51testing.com/html/67/n-217267.html
5.阶段五：阶段四+性能测试（loadrunner 和 JMeter）
loadrunner使用：参照 http://bbs.51testing.com/thread-1002418-1-1.html
JMeter使用：参照 http://bbs.51testing.com/thread-1036267-1-1.html