[你问我来答第15期]：了解电子商务测试（已结束）

snowyzhe · 发表于 2011-10-16 23:23:21

关注下七哥...正好我们最近也在最电子商务网站的测试，刚做完回归，现在在做浏览器兼容性的测试，不知道七哥关于浏览器兼容性测试有什么建议？我们要测的有IE/FF/CHROME/SAFARI，现在基本上一个测试人员电脑上各个浏览器安装一个版本来测页面...话说现在测试组人多，如果两三个人的话，这种方法就不太可行了，有好的方法或者工具可以辅助么？比如IEtester...

阿七 · 发表于 2011-10-17 14:46:24

回复 60# deng123

你好，我想问一下。如何才能更好的解决电子商务的安全性问题？

Web安全
　　1. 数据验证流程：一个好的web系统应该在IE端，server端，DB端都应该进行验证。但有不少程序偷工减料，script验证完了，就不管了；app server对数据长度和类型的验证与db server的不一样，这些都会引发问题。有兴趣的可参看一下script代码，设计一些case，这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的script代码，然后提交了一个form，引发了一个系统的重大漏洞后门
　　2. 数据验证类型：如果web server端提交sql语句时，不对提交的sql语句验证，那么一个黑客就可暗喜了。他可将提交的sql语句分割，后面加一个delete all或drop database的之类语句，能将你的数据库内容删个精光！我这一招还没实验在internet网站上，不知这样的网站有没有，有多少个。反正我负责的那个web系统曾经发现这样的问题。
　　3. 网络加密，数据库加密不用说了吧。
　　WEB软件最常碰到的BUG为：
1、SQL injection 注入
2、对文件操作相关的模块的漏洞
　　3、COOKIES的欺骗
　　4、本地提交的漏洞
　　●SQL INJETION的测试方法
　　原理：
　　如有一新闻管理系统用文件news.asp再用参数读取数据库里的新闻譬如
　　http://www.xxx.com/news.asp?id=1这一类网站程序
　　如果直接用
　　rs.open "select * from news where id=" &
　　cstr(request("id")),conn,1,1
　　数据库进行查询的话即上面的URL所读取的文章是这样读取的
　　select * from news where id=1
　　懂得SQL语言的就知道这条语言的意思是在news读取id为1的文章内容。
　　但是在SQL SERVER里select是支持子查询和多句执行的。如果这样提交URL的话
　　http://www.xxx.com/news.asp?id=1and 1=(select count(*) from admin
　　where left(name,1)=a)
　　SQL语句就变成了
　　select * news where id=1 and 1=(select count(*)
　　from admin where left(name,1)=a)
　　意思是admin表里如果存在字段字为name里左边第一个字符是a的就查询news表里id为1的内容，news表里id为1是有内容的，从逻辑上的角度来说就是1&P。只要P为真，表达式就为真，页面会返回一个正确的页面。如果为假页面就会报错或者会提示该id的文章不存在。黑客利用这点就可以慢慢得试用后台管理员的用户和密码。
测试：
　　测试存不存在SQL INJETION很简单如果参数为整数型的就在URL上分别提交http://www.xxx.com/news.asp?id=1and 1=1　和http://www.xxx.com/news.asp?id=1and 1=2
　　如果第一次返回正确内容，第二次返回不同页面或者不同容内的话表明news.asp文件存在SQL INJETION。如何利用就不多说了，毕竟我们都不是为了入侵。
　　● 对文件操作相关的模块的漏洞在测试
　　原理：
　　如一上传文件功能的程序upload.asp如果程序员只注重其功能上的需求没有考虑到用户不按常规操作的问题。如上传一个网页木马程序上去，整个网站甚至整个服务器的架构和源码都暴露而且还有一定的权限。
　　测试：
　　试上传asp,php,jsp,cgi等网页的文件看是否成功。
　　补充：
　　还有像　http://www.xxx.com/download/filespath.asp?path=../abc.zip
　　下载功能的软件如果
　　http://www.xxx.com/download/filespath.asp?path=../conn.asp
　　很可能下载到这些asp的源码数据库位置及用户密码都可能暴露。
　　其它还有很多，就不一一举例了。
　　● COOKIES的欺骗
　　原理：
　　COOKIES是WEB程序的重要部分，COOKIES有利有弊。利在于不太占用服务器的资源，弊在于放在客户端非常容易被人修改加以利用。所以一般论坛前台登陆用COOKIES后台是用SESSION，因为前台登陆比较频繁，用SESSION效率很低。但如论坛程序管理员用户在前台也有一定的权限，如果对COOKIES验证不严的话，严重影响了WEB程序的正常工作。如前期的LEADBBS，只有后台对COOKIES验证严格，前台的位置只是从COOKIES读取用户的ID，对用户是否合法根本没有验证。
　　测试：
　　推荐使用MYBROWER浏览器，可即时显示及修改COOKIES。尝试一下修改里面的对应位置。
　　● 本地提交表单的漏洞
　　原理：
　　Action只接爱表单的提交，所以表单是客户WEB程序的接口。先举一个例子，一个投票系统，分A，B，C，D各项的VALUE是100,80,60,40。
　　但是如果先把些页面以HTML形式保存在本地硬盘里。然后修改其VALUE，再向其ACTION提交，ACTION会不会接受呢？
　　测试：
　　如一投票系统，把投票的页面保存在本地硬盘，用记事本打开，找到对应项的VALUE值，对其修改，然后提交。
　　强制后台浏览：绕过登陆页面，直接提交系统文件夹或文件页面。不完善的系统如果缺少index.html就可能被绕过登陆验证页面。在系统文件夹中保留一些公司机密内容也会造成不可估计的损失。
　　跨站脚本攻击：基本上这个我只是在论坛——各种形式的论坛里看到过，具体的一个例子，比如这段代码可以被填在任何输入框里 “<script>alert("attacking!");</script>”，如果未对一些字符，如 “<”、">"进行转换，就会自动执行这个脚本。百度快照所提供的网页都自动将代码执行了。不信大家搜一点JS的代码，看看你能不能看到。
　　堆栈溢出攻击：完全的不了解，只是在某个网站上看到，可以对现在的2000、XP、2003进行攻击，非常恐怖，MS应该打了补丁了吧？

阿七 · 发表于 2011-10-17 14:47:13

回复 61# piaolingxue423

已回复

夏语嫣 · 发表于 2011-10-17 14:58:48

老大，请推荐一本写自动化脚本的书，关于电子商务的测试，谢谢！

futogether · 发表于 2011-10-17 17:48:55

本帖最后由 futogether 于 2011-10-17 17:50 编辑

回复 106# 阿七

回复爱巢

坏人都由你来做喽. 我觉得你得出套责任制度出来. 不然大家都是推来推去的. ...
阿七发表于 2011-10-13 18:38

个人觉得，即使制定出了责任制度，仍然会没有什么效果的，因为这个问题的原因，并不在于没有沟通规范，而是这个公司没有良好的部门合作方式，或者说部门管理者之间本身就没有协调好。个人觉得首先要解决的是部门间矛盾，改善部门关系，只有当各部门都有相互协调的意愿了，再让规范来使之行之有效。一直都觉得制度规范都不是解决问题的最好方法。

ankeli · 发表于 2011-10-17 22:06:12

回复 125# 阿七

请问论坛里里面有qtp for mysap的下载吗? 小弟急用。不是sap-add-in哦好像只有qtp for mysap.com ver7.31才能在我们告诉的sap上面使用

阿七 · 发表于 2011-10-21 14:19:27

回复 62# 星星又点点

流程不规范，测试人员压力很大，如果解决好需求、开发与测试之间的矛盾

感觉你们那里在搞阶级斗争一样的呢. 其实需求、开发与测试可以很好的平和相处的.

既然你认识到流程不规范,那就制定一个吧 ,可以找上级领导反映下问题,把流程落实下来
可以利用VSS来管理 ,需求提交后需要大家来评审,评审通过之后,才能编码,开发也要出相关的开发文档数据库文档等.
测试在准备阶段也需要出方案用列等. 主要大家都能明确分工.基本上没有什么矛盾, 如果后期发现了什么问题.需求出需求变更通知,修改VSS基线库.然后再提交开发-->测试.
矛盾全部转化为任务流在走,你们还有啥矛盾好扯皮的呢?

阿七 · 发表于 2011-10-21 14:26:01

本帖最后由阿七于 2011-10-21 14:31 编辑

回复 63# luna_812

欧老师，您好！请问一下，如何对测试组的电子商务测试工作进行规范化管理，能否介绍一下您成功的经验，都使用过哪些测试规范，谢谢！！

1.1 测试

测试经理对测试的结果负责；

测试环境由开发经理搭建；

项目经理最终决定迭代是否提交业务验收。

1.1.1 测试方案评审

被评审人：测试经理。

目标：理清编写测试用例的原则、思路、要点。

1.1.2 测试用例评审

被评审人：测试经理。

目标：提供可供测试员进行测试的所有测试项。

1.1.3 测试

测试一般分多轮进行，每轮测试的流程：

功能测试或性能测试的每一轮测试都必须提供测试报告，简单描述测试情况即可，（报告模板缺）。每一轮测试，开发经理都必须发邮件通知项目组成员进入下轮测试，

并且在VSS上打好label，label的格式为：项目名-版本号-测试轮次，例：OA-0.1-a1，表示OA项目0.1版本的第1轮内部测试。

测试结束后，测试经理给出完整最终测试报告，（模板缺）。项目经理将代码、可执行文件放入基线库。

阿七 · 发表于 2011-10-21 14:36:37

回复 64# raxliao

请教下lz， c/s 和b/s 测试重点分别是啥？

2种方式其实只是形式上不同而已, 测试的点都差不多.界面,功能,性能都是测试的重点.
用的通讯协议不同.

就象QQ 客户端和web QQ 一样 , 功能都快差不多了.区别在于文件一个在本地一个在服务器 , 加载速度不同,但是服务器请求都是一样的.

阿七 · 发表于 2011-10-21 14:39:08

回复 65# ruanjianceshi51

可以解答下你们测试电子商务是用什么工具的了，有用QTP吗？有的话可不可以共享一下测试电子商务网站的代码啊，先谢谢啦；

QTP LR TD Xenu tomcat 其他的一些扫描软件等都会用到.

阿七 · 发表于 2011-10-21 15:03:51

回复 66# latica

初学性能测试，请问：不同的业务如何实现并发。
比如100人查询，100人页面跳转。因为单个脚本执行顺利是从上到下，为了让查询和跳转同时进行，是需要编写两个脚本，在controller中同时跑吗？
另外：最近做一些文件接口和报文的测试，总怕考虑不周，不知道专家能否小结下这方面的测试经验？
先谢谢哈

单个脚本可以加集合点.
查询和跳转同时进行可以弄2个脚本.在controller 的 run/stop vruers 来控制.

题外话: 查询和跳转为什么要同时? 有什么必要么?

阿七 · 发表于 2011-10-21 15:34:42

回复 67# justin1113

1、电子商务业务上退换货的流程以及库存的管理方面与传统的渠道销售或零售有什么区别，测试时需关注哪些方面
2、电子商务系统如何去实现分销，经销的功能，是否有其特殊的情况
3、如果说线上网站和线下ERP管理系统（也许是之前就有的系统）是通过接口交互联系的，那如何去保证线上与线下的数据同步，测试时应注意些什么
希望本期专家能帮忙回答一下

1
这个取决于这个电子商务平台的规模大小.
传统的渠道销售面对面的销售我一次进货100件等差不多卖完了我再去进货顺便把退换的货品跟厂家换掉. 这个是有时间间隔的. 而客户要退还货需要单独来退.
而电子商务的是网站销售  基本上是通过网站销售  走的都是物流. 当公司规模大有固定的物流路线, 那么退换货和送货都是一条线,不需要额外的投入.
放到测试层面 ,需要注意的是库存的冻结. 货物有限订单无限到底怎么分配必须按照规则来. 退换货产生的实时库存是否能归入分配原则之中等.

2
分销的含义是建立销售渠道的意思，即产品通过一定渠道销售给消费者。从这个角度来讲，任何一种销售方式我们都可以把它称之为称为分销。亦即分销是产品由生产地点向销售地点运动的过程，产品必须通过某一种分销方式才能到达消费者手中。
产者向消费者转移的过程中，取得这种商品或服务的所有权或帮助所有权转移的所有企业和个人。但是，它不包括供应商、辅助商等。
分销渠道是由处于渠道起点的制造商,处于渠道终点的消费者,以及处于制造商与消费者之间的商人中间商(因为他们取得了商品的所有权)和代理商(因为他们帮助所有权的转移)等营销中介构成.

经销(Distribution)是指在国际贸易中是指经销商按照约定条件为国外供货商销售产品。双方订立协议或相互约定，由供货商向经销商定期、定量供应货物，经销商在本国市场上销售。经销商与供货商之间也是买卖关系，经销商必须自垫资金购买供货商的货物，自行销售，自负盈亏，自担风险经销协议是供货商和经销商订立的确定双方法律关系的契约，其内容的繁简可根据商品的特点、经销地区的情况以及双方当事人的意图加以确定。我国在实际业务中一般只在协议中规定双方当事人的权利义务和一般交易条件，以后每批货的交付要依据经销协议订立具体的买卖合同，明确价格、数量、交货期甚至支付方式等具体交易条件。

3
A                                                 B
线上系统                                        管理系统

a 可以通过接口修改B的数据库             B 也可以反之操作
如果发生A,B 同时修改某条数据.则可以增加判断字段,以时间先后为准备,后修改的生效.
这是接口的做法还可以通过产生第三方传输数据的方法来做.比如A做了操作生成文件传输给B  B接到后更新数据库.这样也能保持数据的一致性.

阿七 · 发表于 2011-10-21 15:36:09

回复 68# 523015006

偶就一新手啊

慢慢就熟了...

阿七 · 发表于 2011-10-21 15:45:51

回复 72# znlygly

新到一家做电子商务的公司，软件很大，业务流程是货物进销存，请问：
1、针对这个类型的测试策略（因软件界面很多，不知道怎么来梳理测试思路）
2、有些时候，发现的缺陷不影响功能使用，软件开发说就是这么设计的，这种情况的缺陷还要反映一下吗

1 根据流程来走, 从商品怎么产生,怎么进入,然后处理到离开这个系统的流程来测试,这样基本的功能点就覆盖到了.有多少个流程就弄多少了场景测试.如果有别的如报销流程也是类似,从无到有再到最终去哪了,把这流程串起来走.
2 需要反映,对功能影响不大的也需要记录,做不了主的找上级,而且设计不是开发说了算的, 得找需求人员.

阿七 · 发表于 2011-10-21 15:57:26

回复 71# fhx51

我想问一下专家，为什么那么多人问问题我没看见回复呢？

第一活动有说明集中在什么时间回复.
第二  我也要上班的呀又不是专职做这个的有时候开会开一整天我都是一有空就来论坛了.
第三  我虽然技术不怎么样但是我知道的我就会说出来  大家在一起可以多讨论讨论互相学习

另外对某些同志说  我没说自己怎么怎么样  你要是喜欢这个专家  你就去做大家来论坛说想法解决问题都是热心才去做这个的  没有所谓的你提问题干嘛  别人就有义务去帮你解决  .  你想要什么模版代码有人会给你提供 , 就算人家知道也是没义务告诉你的, 人家公司的机密和感受凭什么非要告诉你, 对吧本着交流学习的目的来的. 希望你明白!!!

默默巫 · 发表于 2011-10-21 16:42:19

回复 137# 阿七

是的，大家都是抱着交流的目的。希望大家多多理解！

阿七 · 发表于 2011-10-22 15:03:28

回复 73# 545511360

我做软件测试有快半年了吧。。现在只是专门的做黑盒测试。。功能性验证方面自我感觉还可以吧。之前公司还有一个测试的前辈，有什么不懂的做的不到位的地方还可以请教一下，现在他走了，公司就我一个人在做测试，首先我，感觉的压力好大，不知道怎么去完成一个项目的测试工作，另外我感觉我的测试工作的发展遇到了一个瓶颈期。。。不知道自己该怎么去提高自己。。很是苦恼，，希望专家能出一点建议。。。虚心请教。。。

首先测试工作开始阶段跟需求嘛需求确定下来  开始编写测试文档用例版本下来开始测试测试发现问题提交BUG 然后修复之后验证完成之后出测试报告补充测试用列  总结测试工作. 走下来就这样的.
其次瓶颈期象你只有1个测试  你可以引入自动化测试减少自己一部分工作量. 选个方向  自动化  还是性能, 测试部门还会增加人员么?  如果公司一直都打算不招人了  你可以考虑跳槽了.
上面我发过图  你可以看下

阿七 · 发表于 2011-10-22 15:29:25

回复 77# lxf909

专家好，我目前也是在一家大型B2C网站公司任功能测试工作，之前做过通信行业的测试，任用到的技术比较多，比如linux oracle 等，需要搭建环境什么的，现在到这边了，网站源程序，系统后台都不让触及，就在网站前台后台点点，感觉跟我们原来测试差别很大，我感觉这样只能学到一些业务逻辑的东西，技术方面学不到什么，这样下去是不是对自己未来发展不利？感觉有点迷茫，请专家帮我分析分析，如果这行有前景，那我应该从哪几方面着手提高自己？另外由于公司测试组成立没多久，大部分都是刚进来的新人，我该如何在新的环境找到自己的位置，并且在公司有一个好的发展未来（比如成未一名测试管理者）？

你换了公司  工作内容肯定不一样啊
所以说跳槽的时候不是一定说工资高就跳过去的而且会选择合适自己的.
另外各个方面都能培养个人的素质, 比如业务逻辑你如果不涉及这个行业你根本就不知道,不熟悉网站的操作模式等等. 所以不要带有抱怨的心态.  如果觉得全部吸收了,你可以向上级领导提出你的想法,只是皮毛确实会对你的未来不利. 公司其实是这样的 10个职位只要全部运转起来平稳公司不是很会照顾你的个人想法  公司其实很矛盾 1来不想你碌碌无为 2来又怕你厉害了会跳槽  ,    只要好的大公司才会注重人才的培养和稳当. 所以你要脱颖而出,告诉你的上级你是怎么样的,这样的工作我都做好了,现在我想在更难的地方实现自己的价值. 我想领导会给机会你,只要你真的做好了.
关于你的位置我想在新人群里  你会不自主的有自己的气场目前有领头的人没? 如果有的话  在开会测试  讨论的时候你的言论肯定是比新人有力  保二争一咯没有头的话争取做领头的. 管理者需要有人家信服你的理由. 技术上或者人格上的.

阿七 · 发表于 2011-10-22 15:36:36

回复 80# lina5127

麻烦问下，用appscan扫描出网站，推理是说“AppScan 请求的文件可能不是应用程序的合法部分。响应状态为“200 OK”。这表示测试成功检索了所请求的文件的内容。 ”标明的地方都是HTTP/1.1 200 OK
这边我不知道具体的问题在哪？非常感谢~~~

200 OK
表示客户端请求被成功接收、理解、接受。
请求成功。回应的信息依赖于请求所使用的方法，如下：
GET    要请求的资源已经放在回应的实体中了。
HEAD  没有实体主体，回应中只包括标题信息。
POST 实体（描述或包含操作的结果）。

只是验证请求成功  不能证明安不安全.

阿七 · 发表于 2011-10-22 15:43:09

回复 84# cui__jia

测试一个网站，打开网页速度很慢，原因有哪些，请指教····

1 加载的东西太多了  如图片  文字多媒体
2 服务访问量过大  反映不过来
3 服务器本来就烂
4 你网速卡
5 错误代码
6 外链太多
7 特效太多加载缓慢
8 被攻击
9 dns故障
10  数据库瓶颈
11  其他

		自动登录	找回密码
密码			(注-册)加入51Testing

[你问我来答第15期]：了解电子商务测试（已结束）

本帖子中包含更多资源

站长推荐 /1