软件测试与质量保障课件：Web系统测试

Web系统测试华中农业大学信息学院计算机科学系典型的Web应用结构

例：例：Web系统的测试范围

功能测试性能测试安全性测试易用性测试（UI测试）兼容性测试数据库测试其他测试如:分辨率,流量1.Web系统功能测试页面内容测试页面链接测试表单测试设计语言测试数据库测试

Cookies测试测试工具QT（1）页面内容测试内容测试用来检测Web应用系统提供信息的正确性、准确性和相关性。正确性准确性相关性页面内容测试（续）文本标签网页中的文字标签（2）链接测试链接是使用户可以从一个页面浏览到另一个页面的主要手段，是Web应用系统的一个主要特征。链接对于网站用户而言意味着能不能流畅的使用整个网站提供的服务，因而链接将作为一个独立的项目进行测试。链接测试（续）检查的内容：测试所有链接是否能正确链接；测试所链接的页面是否存在；保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面。方法：自动化测试工具XenuLinkSleuth免费绿色免安装软件HTMLLinkValidator共享（30天试用）IBMappScan(安全)（3）表单测试当用户给Web应用系统管理员提交信息时，需要使用表单操作，如：用户注册、登陆、信息提交等。必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。SQL注入：Netsparkerweb安全扫描器

（4）设计语言测试Web设计语言版本的差异可以引起客户端或服务器端严重的问题，例如使用哪种版本的HTML等。除了HTML的版本问题外，不同的脚本语言，例如Java、JavaScript、ActiveX、VBScript或Perl等也要进行验证。（5）数据库测试在使用了数据库的Web应用系统中，可能发生两种错误：数据一致性错误：由于用户提交的表单信息不正确而造成的输出错误：由于网络速度或程序设计问题等引起的（6）Cookies测试Cookies通常用来存储用户信息和用户在某个应用系统的操作。当一个用户使用Cookies访问了某一个应用系统时，Web服务器将发送关于用户的信息，把该信息以Cookies的形式存储在客户端计算机上，这可用来创建动态和自定义页面或者存储登陆等信息。Cookies测试（续）Cookies测试的内容：Cookies是否起作用？是否按预定的时间进行保存？刷新对Cookies有什么影响等。如果在Cookies中保存了注册信息，请确认该Cookies能够正常工作而且已对这些信息已经加密。如果使用Cookies来统计次数，需要验证次数累计正确。2.Web系统性能测试连接速度测试负载测试压力测试测试工具LoadRunner网页性能Firefox插件：Yslow，Findbug，PageSpeedDynatrace这个工具检查网页性能也不错

（1）连接速度测试用户连接到Web应用系统的速度根据上网方式的变化而变化，他们或许是电话拨号，或是宽带上网。如果Web系统响应时间太长（例如超过5秒钟），用户就会因没有耐心等待而离开。（2）性能测试性能测试是通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。时间性能：软件的一个具体事务的响应时间空间性能：软件运行时所消耗的系统资源性能测试（1）我让他背1袋米(轻松)我让他背1袋米，但让他去操场上跑圈，看多久累倒（吃力）我让他背3袋米去操场跑圈，看多久累倒（极限）我让他背1袋、2袋、3袋、4袋…发现最多背3袋性能测试（2）-分类一般性能测试负载测试压力测试大数据量测试配置测试稳定性测试莫过于追求差别，注重综合应用！一般性能测试一般性能测试：验证软件在正常环境和系统条件下重复使用时是否还能满足性能指标，如运行速度、响应时间、占有系统资源等，不施加任何压力。单机版软件在其推荐配置下运行软件，检查CPU的利用率、内存的占有率等性能指标及软件主要事务的平均响应时间。C/S、B/S软件测试单个用户登录后，系统主要事务的响应时间和服务器的资源消耗情况。可靠性测试可靠性测试从验证的角度出发，检验系统的可靠性是否达到预期的目标，同时给出当前系统可能的可靠性增长情况。稳定性测试即连续运行被测系统，检查系统运行时的稳定程度24*7方式只背1袋米，去操场上跑圈，看多久累倒负载测试负载测试通常让被测系统在其能忍受的压力的极限范围之内连续运行，来测试系统的可靠性。某个时刻同时访问Web系统的用户数量在线数据处理的数量轻松->极限负载测试（续）负责测试的方法：使用测试工具模拟并发用户以及获取测试结果WebloadLoadRunnerJMeter…压力测试压力测试是持续不断地给被测系统增加压力，直到将系统压垮为止，用来测试系统所能承受的最大压力。实际破坏一个Web应用系统。压力测试是测试系统的限制和故障恢复能力，也就是测试Web应用系统会不会崩溃，在什么情况下会崩溃。负载/压力测试关注什么？验证系统能否同一时间响应大量的用户，用户传送大量数据时能否响应，系统能否长时间运行。瞬间访问高峰每个用户传送大量数据长时间使用性能测试总结性能测试工具-LR性能测试工具原理：录制+回放模拟用户实际操作场景，监控并分析运行结果。LoadRunner的性能测试流程测试计划录制测试脚本创建运行场景运行测试监控场景分析测试结果性能测试总结LR的工作原理(4)安全测试安全测试：检查系统对非法侵入的防范能力。目的：验证安装在系统内的保护机制能否在实际中保护系统且不受非法入侵，不受非法干扰。（应对入侵、自我防护和应变）(4)安全测试在安全测试中，测试者扮演着试图攻击系统的角色：尝试去通过外部的手段来获取系统的密码使用可以瓦解任何防守的客户软件来攻击系统使系统“瘫痪”，其他用户无法访问有目的地引发系统错误，期望在恢复过程中侵入系统通过浏览非保密的数据，从中找到进入系统的钥匙–系统的安全测试要设置一些测试用例试图突破系统的安全保密措施，检验系统是否有安全保密的漏洞。(4)安全测试内容目录登录日志文件数据加密脚本语言SSL网络抓包：httpwatch目录设置Web安全的第一步就是正确设置目录。目录安全是Web安全性测试中不可忽略的问题。如果Web程序或Web服务器的处理不当，通过简单的URL替换和推测，会将整个Web目录暴露给用户，这样会造成Web的安全性隐患。每个目录下应该有index.html或main.html页面，或者严格设置Web服务器的目录访问权限，这样就不会显示该目录下的所有内容，从而提高安全性。登录很多站点都需要用户先注册后登录使用，从而校验用户名和匹配的密码，以验证他们的身份，阻止非法用户登录。登录角色权限用户名唯一性口令强度和加密强度最大口令时效最小口令时效最小口令长度口令复杂度口令锁定日志文件日志文件对保证Web应用系统的安全性是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。在后台，要注意验证服务器日志工作正常。加密当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。SSL很多站点使用SSL（SecuritySocketLayer）安全协议进行传送。SSL表示安全套接字协议层，是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术，在位于HTTP层和TCP层之间，建立用户和服务器之间的加密通信，从而确保所传送信息的安全性。跨站点脚本攻击（1）恶意的用户会在发出的邮件中，附带一个图标或是使用HTML文本；当用户点击的使用，隐藏的脚本就会被激活，并在用户的浏览器中被执行。跨站点脚本攻击（2）利用跨站点脚本执行…如果我能让你运行我写的JavaScript，我就能…从你正在浏览的域中偷到你的完全修改你所看到的页面内容从现在开始，跟踪你在浏览器中的每一个动作把你重定向到一个恶意的站点利用浏览器脆弱点控制你的机器–XSS是目前最大的安全风险(mostexploited)跨站点脚本执行过程4.易用性测试导航测试图形测试图形用户界面（GUI）测试可靠性测试导航测试导航描述了用户在一个页面内操作的方式，在不同的用户接口控制之间，或在不同的连接页面之间。Web应用系统导航帮助要尽可能地准确。导航的页面结构、导航、菜单、连接的风格要一致。图形测试在Web应用系统中，适当的图片和动画既能起到广告宣传的作用，又能起到美化页面的功能。一个Web应用系统的图形可以包括图片、动画、边框、颜色、字体、背景、按钮等。图形用户界面（GUI）测试整体界面测试界面测试要素界面内容测试（a）整体界面测试整体界面是指整个Web应用系统的页面结构设计，是给用户的一个整体感。对最终用户进行调查的过程。一般Web应用系统采取在主页上做一个调查问卷的形式，来得到最终用户的反馈信息。（b）界面测试要素界面测试要素主要包括：符合标准和规范灵活性正确性直观性舒适性实用性一致性(c)界面测试内容站点地图和导航条测试站点地图和导航条位置是否合理、是否可以导航等。内容布局是否合理，滚动条等简介说明。确认测试的站点是否有地图。站点地图和/或导航条可以引导用户进行浏览。需要验证站点地图是否正确。确认地图上的链接是否确实存。地图有没有包括站点上的所有链接。5.数据库测试数据库为Web应用系统的管理、运行、查询和实现用户对数据存储的请求等提供空间。在Web应用中，常用的数据库类型是关系型数据库，可以使用SQL对信息进行处理。数据库测试是Web网站测试的一个基本组成部分。对于测试人员，要真正了解后台数据库的内部结构和设计概念，制定详细的数据库测试计划，至少能在程序的某个流程点上并发地查询数据库。数据库测试的主要因素数据的完整性测试的重点是检测数据损坏程度。设定适当的检查点可以减轻数据损坏的程度。比如，检查事务日志以便及时掌握数据库的变化情况。数据有效性数据有效性能确保信息的正确性，使得前台用户和数据库之间传送的数据是准确的。在工作流上的变化点上检测数据库，跟踪变化的数据库，判断其正确性。数据操作和更新，根