Web測(cè)試實(shí)踐

VII. Web測(cè)試實(shí)踐

Web測(cè)試對(duì)象

• Web的頁(yè)面元素

頁(yè)面部分

1. 頁(yè)面清單是否完整
2. 頁(yè)面在不同的分辨率和不同的瀏覽器版本是否顯示
3. 頁(yè)面在不同大小的窗口中的顯示是否正確、美觀
4. 頁(yè)面特殊效果是否顯示：如特殊字體效果、動(dòng)畫(huà)效果
5. 頁(yè)面特殊效果顯示是否正確
6. 每個(gè)頁(yè)面都有相應(yīng)的Title，不能為空，或者顯示“無(wú)標(biāo)題頁(yè)”

頁(yè)面元素部分

1. 頁(yè)面元素清單是否全部列出：如按鈕、單選框、復(fù)選框、列表框、超連接、輸入框等等
2. 元素是否存在，是否顯示
3. 頁(yè)面元素是否顯示正確，如文字、圖形、簽章等
4. 頁(yè)面元素的外形、擺放位置
5. 頁(yè)面元素基本功能是否實(shí)現(xiàn)
6. 頁(yè)面元素的容錯(cuò)性是否存在，是否正確

鏈接測(cè)試

主要是保證鏈接的可用性和正確性，它也是網(wǎng)站測(cè)試中比較重要的一個(gè)方面?？梢允褂锰囟ǖ墓ぞ呷鏧ENU來(lái)進(jìn)行鏈接測(cè)試。

1. 導(dǎo)航測(cè)試：導(dǎo)航菜單的描述與導(dǎo)航的鏈接是否一致，是否有效，如果是相同的頁(yè)頭導(dǎo)航，每個(gè)頁(yè)面都需要測(cè)試。
2. 圖形測(cè)試：每個(gè)圖形的描述與鏈接是否一致，是否有效，尤其注意幻燈片的鏈接測(cè)試。
3. URL鏈接檢查：在地址欄直接輸入各個(gè)功能頁(yè)面的URL地址，看系統(tǒng)如何處理，是否有效

• Web的業(yè)務(wù)邏輯

輸入測(cè)試

字符型輸入框：

1. 字符檢查：英文全角、英文半角、數(shù)字、空或者空格、特殊字符“~！@#￥%……&*？[]{}”特別要注意單引號(hào)和&符號(hào)。禁止直接輸入特殊字符時(shí)，使用“粘貼、拷貝”功能嘗試輸入。
2. 長(zhǎng)度檢查：最小長(zhǎng)度、最大長(zhǎng)度、最小長(zhǎng)度-1、最大長(zhǎng)度+1、輸入超工字符比如把整個(gè)文章拷貝過(guò)去。
3. 空格檢查：輸入的字符間有空格、字符前有空格、字符后有空格、字符前后有空格。
4. 多行文本框輸入：允許回車換行、保存后再顯示能夠保存輸入的格式、僅輸入回車換行，檢查能否正確保存。若能，檢查保存結(jié)果，若不能，查看是否有正常提示。
5. 安全性檢查：輸入特殊字符串（null, NULL, , javascript, <script>, </script>, <title>, <html>, <td>）、輸入腳本函數(shù)(<script>alert("abc")</script>)、doucment.write("abc")、<b>hello</b>）

數(shù)值型輸入框：

1. 邊界值：最大值、最小值、最大值+1、最小值-1
2. 位數(shù)：最小位數(shù)、最大位數(shù)、最小位數(shù)-1最大位數(shù)+1、輸入超長(zhǎng)值、輸入整數(shù)
3. 異常值、特殊字符：輸入空白（NULL）、空格或"~!@#$%^&*()_+{}|[]\:"<>?;',./?;:'-=等可能導(dǎo)致系統(tǒng)錯(cuò)誤的字符、禁止直接輸入特殊字符時(shí)，嘗試使用“粘貼、拷貝”查看是否能正常提交。將Word里面的特殊字符通過(guò)剪貼板拷貝到輸入框，分頁(yè)符，分節(jié)符類似公式的上下標(biāo)等、數(shù)值的特殊符號(hào)如∑，㏒，㏑，∏，+，-等
4. 輸入負(fù)整數(shù)、負(fù)小數(shù)、分?jǐn)?shù)、輸入字母或漢字、小數(shù)（小數(shù)前0點(diǎn)舍去的情況，多個(gè)小數(shù)點(diǎn)的情況）、首位為0的數(shù)字如01、02、科學(xué)計(jì)數(shù)法是否支持1.0E2、全角數(shù)字與半角數(shù)字、數(shù)字與字母混合、16進(jìn)制，8進(jìn)制數(shù)值、貨幣型輸入（允許小數(shù)點(diǎn)后面幾位）、

日期型輸入框：

1. 合法性檢查：(輸入0日、1日、32日)、月輸入[1、3、5、7、8、10、12]、日輸入[31]、月輸入[4、6、9、11]、日輸入[30][31]、輸入非閏年，月輸入[2]，日期輸入[28、29]、輸入閏年，月輸入[2]、日期輸入[29、30]、月輸入[0、1、12、13]
2. 異常值、特殊字符：輸入空白或NULL、輸入~！@#￥%……&*（）{}[]等可能導(dǎo)致系統(tǒng)錯(cuò)誤的字符
3. 安全性檢查：不能直接輸入，就copy，是否數(shù)據(jù)檢驗(yàn)出錯(cuò)？

搜索功能

功能實(shí)現(xiàn)：

1. 如果支持模糊查詢，搜索名稱中任意一個(gè)字符是否能搜索到
2. 比較長(zhǎng)的名稱是否能查到
3. 輸入系統(tǒng)中不存在的與之匹配的條件
4. 用戶進(jìn)行查詢操作時(shí)，一般情況是不進(jìn)行查詢條件的清空，除非需求特殊說(shuō)明。

組合測(cè)試：

1. 不同查詢條件之間來(lái)回選擇，是否出現(xiàn)頁(yè)面錯(cuò)誤（單選框和多選框最容易出錯(cuò)）
2. 測(cè)試多個(gè)查詢條件時(shí)，要注意查詢條件的組合測(cè)試，可能不同組合的測(cè)試會(huì)報(bào)錯(cuò)。

表單測(cè)試

普通表單：

1. 特殊鍵：是否支持Tab鍵，是否支持回車鍵，PageUp和PageDown等
2. 提示信息：
   • 不符合要求的地方是否有錯(cuò)誤提示，
   • 不選擇任何信息，直接點(diǎn)擊刪除按鈕，是否有提示
3. 唯一性：字段唯一的，是否可以重復(fù)添加，添加后是否能修改為已存在的字段（字段包括區(qū)分大小寫(xiě)以及在輸入的內(nèi)容前后輸入空格，保存后，數(shù)據(jù)是否真的插入到數(shù)據(jù)庫(kù)中，注意保存后數(shù)據(jù)的正確性）
4. 數(shù)據(jù)增加正確性：
   • 對(duì)編輯頁(yè)的每個(gè)編輯項(xiàng)進(jìn)行修改，點(diǎn)擊保存，是否可以保存成功，檢查想關(guān)聯(lián)的數(shù)據(jù)是否得到更新。
   • 進(jìn)行必填項(xiàng)檢查（即是否給出提示以及提示后是否依然把數(shù)據(jù)存到數(shù)據(jù)庫(kù)中；是否提示后出現(xiàn)頁(yè)碼錯(cuò)亂等）
   • 是否能夠連續(xù)添加（針對(duì)特殊情況）
   • 在編輯的時(shí)候，注意編輯項(xiàng)的長(zhǎng)度限制，有時(shí)在添加的時(shí)候有，在編輯的時(shí)候卻沒(méi)有（注意要添加和修改規(guī)則是否一致）
   • 對(duì)于有圖片上傳功能的編輯框，若不上傳圖片，查看編輯頁(yè)面時(shí)是否顯示有默認(rèn)的圖片，若上傳圖片，查看是否顯示為上傳圖片
   • 修改后增加數(shù)據(jù)后，特別要注意查詢頁(yè)面的數(shù)據(jù)是否及時(shí)更新，特別是在首頁(yè)時(shí)要注意數(shù)據(jù)的更新。
   • 提交數(shù)據(jù)時(shí)，連續(xù)多次點(diǎn)擊，查看系統(tǒng)會(huì)不會(huì)連續(xù)增加幾條相同的數(shù)據(jù)或報(bào)錯(cuò)。
   • 若結(jié)果列表中沒(méi)有記錄或者沒(méi)選擇某條記錄，點(diǎn)擊修改按鈕，系統(tǒng)會(huì)拋異常。
5. 數(shù)據(jù)刪除實(shí)現(xiàn)：
   • 是否能連續(xù)刪除多個(gè)產(chǎn)品
   • 當(dāng)只有一條數(shù)據(jù)時(shí)，是否可以刪除成功
   • 刪除一條數(shù)據(jù)后，是否可以添加相同的數(shù)據(jù)
   • 如系統(tǒng)支持批量刪除，注意刪除的信息是否正確，如有全選，注意是否把所有的數(shù)據(jù)刪除
   • 刪除數(shù)據(jù)時(shí)，要注意相應(yīng)查詢頁(yè)面的數(shù)據(jù)是否及時(shí)更新
   • 如刪除的數(shù)據(jù)與其他業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)，要注意其關(guān)聯(lián)性（如刪除部門信息時(shí)，部門下游員工，則應(yīng)該給出提示）
   • 如果結(jié)果列表中沒(méi)有記錄或沒(méi)有選擇任何一條記錄，點(diǎn)擊刪除按鈕系統(tǒng)會(huì)報(bào)錯(cuò)。

注冊(cè)模塊

1. 注冊(cè)時(shí)，設(shè)置密碼為特殊符號(hào)，檢查登錄時(shí)是否會(huì)報(bào)錯(cuò)
2. 注冊(cè)成功后，頁(yè)面應(yīng)該以登錄狀態(tài)跳轉(zhuǎn)到首頁(yè)或指定頁(yè)面
3. 在注冊(cè)信息中刪除已輸入的信息，檢查是否可以注冊(cè)成功

登錄功能

1. 輸入正確的用戶名和正確的密碼
2. 輸入正確的用戶名和錯(cuò)誤的密碼
3. 輸入錯(cuò)誤的用戶名和正確的密碼
4. 輸入錯(cuò)誤的用戶名和錯(cuò)誤的密碼
5. 不輸入用戶名和密碼（均為空格）
6. 只輸入用戶名，密碼為空
7. 用戶名為空，只輸入密碼
8. 輸入正確的用戶名和密碼，但是不區(qū)分大小寫(xiě)
9. 用戶名和密碼包括特殊字符
10. 用戶名和密碼輸入超長(zhǎng)值
11. 已刪除的用戶名和密碼
12. 登錄時(shí)，當(dāng)頁(yè)面刷新或重新輸入數(shù)據(jù)時(shí)，驗(yàn)證碼是否更新

上傳圖片測(cè)試

1. 文件類型正確、大小合適
2. 文件類型正確，大小不合適
3. 文件類型錯(cuò)誤，大小合適
4. 文件類型和大小都合適，上傳一個(gè)正在使用中的圖片
5. 文件類型大小都合適，手動(dòng)輸入存在的圖片地址來(lái)上傳
6. 文件類型和大小都合適，輸入不存在的圖片地址來(lái)上傳
7. 文件類型和大小都合適，輸入圖片名稱來(lái)上傳
8. 不選擇文件直接點(diǎn)擊上傳，查看是否給出提示
9. 連續(xù)多次選擇不同的文件，查看是否上傳最后一次選擇的文件

查詢結(jié)果列表

1. 列表、列寬是否合理
2. 列表數(shù)據(jù)太寬有沒(méi)有提供橫向滾動(dòng)
3. 列表的列名有沒(méi)有與內(nèi)容對(duì)應(yīng)
4. 列表的每列的列名是否描述的清晰
5. 列表是否把不必要的列都顯示出來(lái)
6. 點(diǎn)擊某列進(jìn)行排序，是否會(huì)報(bào)錯(cuò)（點(diǎn)擊查看每一頁(yè)的排序是否正確）
7. 雙擊或單擊某列信息，是否會(huì)報(bào)錯(cuò)

Cookie測(cè)試

1. 禁用cookie，看程序是否能正常工作
2. 檢查cookie的expires是否合理
3. 檢查cookie的值是否加密
4. 檢查cookie的httponly屬性，設(shè)置了httponly屬性的cookie不能被客戶端腳本讀取
5. 檢查cookie的secure屬性，設(shè)置了secure屬性的cookie不能通過(guò)http傳遞.

• Web的數(shù)據(jù)行為

1. 數(shù)據(jù)初始化是否執(zhí)行
2. 數(shù)據(jù)初始化是否正確
3. 數(shù)據(jù)處理功能是否執(zhí)行
4. 數(shù)據(jù)處理功能是否正確
5. 數(shù)據(jù)保存是否執(zhí)行
6. 數(shù)據(jù)保存是否正確
7. 是否對(duì)其他功能有影響

• Web的其他行為

可用性測(cè)試

根據(jù)ISO 9241-11的定義，可用性是指在特定環(huán)境下，產(chǎn)品為特定用戶用于特定目的時(shí)所具有的有效性、效率和主觀滿意度。

有效性是用戶完成特定任務(wù)和達(dá)成特定目標(biāo)時(shí)所具有的正確和完整程度。
效率是用戶完成任務(wù)的正確和完成程度與所用資源（如時(shí)間）之間的比率。
主觀滿意度是用戶在使用產(chǎn)品過(guò)程中所感受到的主觀滿意和接受程度。

1. 風(fēng)格、樣式、顏色是否協(xié)調(diào)
2. 界面布局是否整齊、協(xié)調(diào)（保證全部顯示出來(lái)的，盡量不要使用滾動(dòng)條
3. 界面操作、標(biāo)題描述是否恰當(dāng)（描述有歧義、注意是否有錯(cuò)別字）
4. 操作是否符合人們的常規(guī)習(xí)慣（有沒(méi)有把相似的功能的控件放在一起，方便操作）
5. 提示界面是否符合規(guī)范（不應(yīng)該顯示英文的cancel、ok，應(yīng)該顯示中文的確定等）
6. 界面中各個(gè)控件是否對(duì)齊
7. 日期控件是否可編輯
8. 日期控件的長(zhǎng)度是否合理，以修改時(shí)可以把時(shí)間全部顯示出來(lái)為準(zhǔn)
9. 查詢結(jié)果列表列寬是否合理、標(biāo)簽描述是否合理
10. 查詢結(jié)果列表太寬沒(méi)有橫向滾動(dòng)提示
11. 對(duì)于信息比較長(zhǎng)的文本，文本框有沒(méi)有提供自動(dòng)豎直滾動(dòng)條
12. 數(shù)據(jù)錄入控件是否方便
13. 有沒(méi)有支持Tab鍵，鍵的順序要有條理，不亂跳
14. 有沒(méi)有提供相關(guān)的熱鍵
15. 控件的提示語(yǔ)描述是否正確
16. 模塊調(diào)用是否統(tǒng)一，相同的模塊是否調(diào)用同一個(gè)界面
17. 用滾動(dòng)條移動(dòng)頁(yè)面時(shí)，頁(yè)面的控件是否顯示正常
18. 日期的正確格式應(yīng)該是XXXX-XX-XX或XXXX-XX-XX XX:XX:XX
19. 頁(yè)面是否有多余按鈕或標(biāo)簽
20. 窗口標(biāo)題或圖標(biāo)是否與菜單欄的統(tǒng)一
21. 窗口的最大化、最小化是否能正確切換
22. 對(duì)于正常的功能，用戶可以不必閱讀用戶手冊(cè)就能使用
23. 執(zhí)行風(fēng)險(xiǎn)操作時(shí)，有確認(rèn)、刪除等提示嗎
24. 操作順序是否合理
25. 正確性檢查：檢查頁(yè)面上的form, button, table, header, footer,提示信息，還有其他文字拼寫(xiě)，句子的語(yǔ)法等是否正確。
26. 系統(tǒng)應(yīng)該在用戶執(zhí)行錯(cuò)誤的操作之前提出警告，提示信息.
27. 頁(yè)面分辨率檢查，在各種分辨率瀏覽系統(tǒng)檢查系統(tǒng)界面友好性。
28. 合理性檢查：做delete, update, add, cancel, back等操作后，查看信息回到的頁(yè)面是否合理。
29. 檢查本地化是否通過(guò)：英文版不應(yīng)該有中文信息，英文翻譯準(zhǔn)確，專業(yè)。

兼容性測(cè)試

兼容性測(cè)試不只是指界面在不同操作系統(tǒng)或?yàn)g覽器下的兼容，有些功能方面的測(cè)試，也要考慮到兼容性，

1、平臺(tái)測(cè)試
市場(chǎng)上有很多不同的操作系統(tǒng)類型，最常見(jiàn)的有Windows、Unix、Macintosh、Linux等。Web應(yīng)用系統(tǒng)的最終用戶究竟使用哪一種操作系統(tǒng)，取決于用戶系統(tǒng)的配置。這樣，就可能會(huì)發(fā)生兼容性問(wèn)題，同一個(gè)應(yīng)用可能在某些操作系統(tǒng)下能正常運(yùn)行，但在另外的操作系統(tǒng)下可能會(huì)運(yùn)行失敗。因此，在Web系統(tǒng)發(fā)布之前，需要在各種操作系統(tǒng)下對(duì)Web系統(tǒng)進(jìn)行兼容性測(cè)試。

2、瀏覽器測(cè)試
瀏覽器是Web客戶端最核心的構(gòu)件，來(lái)自不同廠商的瀏覽器對(duì)Java，、javascript、 ActiveX、 plug-ins或不同的HTML規(guī)格有不同的支持。例如，ActiveX是Microsoft的產(chǎn)品，是為Internet Explorer而設(shè)計(jì)的，javascript是Netscape的產(chǎn)品，Java是Sun的產(chǎn)品等等。另外，框架和層次結(jié)構(gòu)風(fēng)格在不同的瀏覽器中也有不同的顯示，甚至根本不顯示。不同的瀏覽器對(duì)安全性和Java的設(shè)置也不一樣。測(cè)試瀏覽器兼容性的一個(gè)方法是創(chuàng)建一個(gè)兼容性矩陣。在這個(gè)矩陣中，測(cè)試不同廠商、不同版本的瀏覽器對(duì)某些構(gòu)件和設(shè)置的適應(yīng)性。
兼容性測(cè)試:

步驟:

1.分析被測(cè)系統(tǒng)
操作系統(tǒng)版本: Winxpsp3 Vista Win7 Win8 Win8.1 win10 Mac Linux
類型: 32,64
瀏覽器:IE6 IE8 IE9 IE10 IE11 chrome safari firefox opera

2.測(cè)試用例設(shè)計(jì)
組合測(cè)試.
全組合: 829

正交試驗(yàn)法: 正交表
PICT工具: 微軟

···shell
pict model_file
···

因子1:值1,值2,...
因子2:值1,值2,...
....

3.搭建測(cè)試環(huán)境
4.執(zhí)行測(cè)試

PICT工具

性能測(cè)試

1. 連接速度測(cè)試
   用戶連接到Web應(yīng)用系統(tǒng)的速度根據(jù)上網(wǎng)方式的變化而變化，他們或許是電話撥號(hào)，或是寬帶上網(wǎng)。當(dāng)下載一個(gè)程序時(shí)，用戶可以等較長(zhǎng)的時(shí)間，但如果僅僅訪問(wèn)一個(gè)頁(yè)面就不會(huì)這樣。如果Web系統(tǒng)響應(yīng)時(shí)間太長(zhǎng)（例如超過(guò)5秒鐘），用戶就會(huì)因沒(méi)有耐心等待而離開(kāi)。另外，有些頁(yè)面有超時(shí)的限制，如果響應(yīng)速度太慢，用戶可能還沒(méi)來(lái)得及瀏覽內(nèi)容，就需要重新登陸了。而且，連接速度太慢，還可能引起數(shù)據(jù)丟失，使用戶得不到真實(shí)的頁(yè)面。

2. 負(fù)載測(cè)試
   負(fù)載測(cè)試是為了測(cè)量Web系統(tǒng)在某一負(fù)載級(jí)別上的性能，以保證Web系統(tǒng)在需求范圍內(nèi)能正常工作。負(fù)載級(jí)別可以是某個(gè)時(shí)刻同時(shí)訪問(wèn)Web系統(tǒng)的用戶數(shù)量，也可以是在線數(shù)據(jù)處理的數(shù)量。例如：Web應(yīng)用系統(tǒng)能允許多少個(gè)用戶同時(shí)在線？如果超過(guò)了這個(gè)數(shù)量，會(huì)出現(xiàn)什么現(xiàn)象？Web應(yīng)用系統(tǒng)能否處理大量用戶對(duì)同一個(gè)頁(yè)面的請(qǐng)求？

3. 壓力測(cè)試
   負(fù)載測(cè)試應(yīng)該安排在Web系統(tǒng)發(fā)布以后，在實(shí)際的網(wǎng)絡(luò)環(huán)境中進(jìn)行測(cè)試。因?yàn)橐粋€(gè)企業(yè)內(nèi)部員工，特別是項(xiàng)目組人員總是有限的，而一個(gè)Web系統(tǒng)能同時(shí)處理的請(qǐng)求數(shù)量將遠(yuǎn)遠(yuǎn)超出這個(gè)限度，所以，只有放在Internet上，接受負(fù)載測(cè)試，其結(jié)果才是正確可信的。進(jìn)行壓力測(cè)試是指實(shí)際破壞一個(gè)Web應(yīng)用系統(tǒng)，測(cè)試系統(tǒng)的反映。壓力測(cè)試是測(cè)試系統(tǒng)的限制和故障恢復(fù)能力，也就是測(cè)試Web應(yīng)用系統(tǒng)會(huì)不會(huì)崩潰，在什么情況下會(huì)崩潰。黑客常常提供錯(cuò)誤的數(shù)據(jù)負(fù)載，直到Web應(yīng)用系統(tǒng)崩潰，接著當(dāng)系統(tǒng)重新啟動(dòng)時(shí)獲得存取權(quán)。壓力測(cè)試的區(qū)域包括表單、登陸和其他信息傳輸頁(yè)面等。

測(cè)試需要驗(yàn)證系統(tǒng)能否在同一時(shí)間響應(yīng)大量的用戶，在用戶傳送大量數(shù)據(jù)的時(shí)候能否響應(yīng)，系統(tǒng)能否長(zhǎng)時(shí)間運(yùn)行?？稍L問(wèn)性對(duì)用戶來(lái)說(shuō)是極其重要的。如果用戶得到“系統(tǒng)忙”的信息，他們可能放棄，并轉(zhuǎn)向競(jìng)爭(zhēng)對(duì)手。系統(tǒng)檢測(cè)不僅要使用戶能夠正常訪問(wèn)站點(diǎn)，在很多情況下，可能會(huì)有黑客試圖通過(guò)發(fā)送大量數(shù)據(jù)包來(lái)攻擊服務(wù)器。出于安全的原因，測(cè)試人員應(yīng)該知道當(dāng)系統(tǒng)過(guò)載時(shí)，需要采取哪些措施，而不是簡(jiǎn)單地提升系統(tǒng)性能。

1）瞬間訪問(wèn)高峰
如果您的站點(diǎn)用于公布彩票的抽獎(jiǎng)結(jié)果，最好使系統(tǒng)在中獎(jiǎng)號(hào)碼公布后的一段時(shí)間內(nèi)能夠響應(yīng)上百萬(wàn)的請(qǐng)求。負(fù)載測(cè)試工具能夠模擬X個(gè)用戶同時(shí)訪問(wèn)測(cè)試站點(diǎn)。

2）每個(gè)用戶傳送大量數(shù)據(jù)
網(wǎng)上書(shū)店的多數(shù)用戶可能只訂購(gòu)1-5書(shū)，但是大學(xué)書(shū)店可能會(huì)訂購(gòu)5000本有關(guān)心理學(xué)介紹的課本?或者一個(gè)祖母為她的50個(gè)兒孫購(gòu)買圣誕禮物(當(dāng)然每個(gè)孩子都有自己的郵件地址)系統(tǒng)能處理單個(gè)用戶的大量數(shù)據(jù)嗎?

3）長(zhǎng)時(shí)間的使用
如果站點(diǎn)用于處理鮮花訂單，那么至少希望它在母親節(jié)前的一周內(nèi)能持續(xù)運(yùn)行。如果站點(diǎn)提供基于web的email服務(wù)，那么點(diǎn)最好能持續(xù)運(yùn)行幾個(gè)月，甚至幾年。可能需要使用自動(dòng)測(cè)試工具來(lái)完成這種類型的測(cè)試，因?yàn)楹茈y通過(guò)手工完成這些測(cè)試。你可以想象組織100個(gè)人同時(shí)點(diǎn)擊某個(gè)站點(diǎn)。但是同時(shí)組織100000個(gè)人呢。通常，測(cè)試工具在第二次使用的時(shí)候，它創(chuàng)造的效益，就足以支付成本。而且，測(cè)試工具安裝完成之后，再次使用的時(shí)候，只要點(diǎn)擊幾下。

安全性測(cè)試

SQL注入（比如登錄頁(yè)面）

XSS跨網(wǎng)站腳本攻擊：程序或數(shù)據(jù)庫(kù)沒(méi)有對(duì)一些特殊字符進(jìn)行過(guò)濾或處理，導(dǎo)致用戶所輸入的一些破壞性的腳本語(yǔ)句能夠直接寫(xiě)進(jìn)數(shù)據(jù)庫(kù)中，瀏覽器會(huì)直接執(zhí)行這些腳本語(yǔ)句，破壞網(wǎng)站的正常顯示，或網(wǎng)站用戶的信息被盜,構(gòu)造腳本語(yǔ)句時(shí)，要保證腳本的完整性。

URL地址后面隨便輸入一些符號(hào)，并盡量是動(dòng)態(tài)參數(shù)靠后

驗(yàn)證碼更新問(wèn)題

現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊(cè)，后登錄的方式。因此，必須測(cè)試有效和無(wú)效的用戶名和密碼，要注意到是否大小寫(xiě)敏感，可以試多少次的限制，是否可以不登錄而直接瀏覽某個(gè)頁(yè)面等。

Web應(yīng)用系統(tǒng)是否有超時(shí)的限制，也就是說(shuō)，用戶登錄后在一定時(shí)間內(nèi)（例如15分鐘）沒(méi)有點(diǎn)擊任何頁(yè)面，是否需要重新登錄才能正常使用。

為了保證Web應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要的。需要測(cè)試相關(guān)信息是否寫(xiě)進(jìn)了日志文件、是否可追蹤。

當(dāng)使用了安全套接字時(shí)，還要測(cè)試加密是否正確，檢查信息的完整性。

服務(wù)器端的腳本常常構(gòu)成安全漏洞，這些漏洞又常常被黑客利用。所以，還要測(cè)試沒(méi)有經(jīng)過(guò)授權(quán)，就不能在服務(wù)器端放置和編輯腳本的問(wèn)題。

curl模擬發(fā)送GET,POST請(qǐng)求:

GET: curl "URL?p1=v1&p2=v2&..."

POST: curl -d "p1=v1&p2=v2&..." URL