核心内容摘要
终极机器学习监控指南:CTO必备的模型性能与数据漂移检测全攻略
随着Web技术的不断演进测试除了对应用的功能性、界面美观性、跨平台兼容性的基本要求外、安全性和性能的要求也逐步增高。
因此全面、系统的测试思维和策略成为了保证Web应用高质量的关键因素。
本篇文章将从功能测试、界面测试、兼容性测试和安全测试四个方面深入梳理测试要点确保Web应用在各个层面上都能满足用户和业务的需求。
通过这篇文章希望对于构建全面测试思维提供一些帮助。
功能测试
表单测试表单一般指在界面进行数据提交操作的包括新增和修改数据例如注册。
它涉及到的测试包括以下方面每个点的验证都要考虑有效及无效输入的情况输入框测试 考虑长度、数据类型、必填、唯一性约束、空格、及业务相关约束下拉框测试 考虑默认值展示、下拉框数据完整性及正确性、手动输入值模糊匹配、选择第一个/最后一个/中间一个/业务常见选取的操作进行测试、联动选择(例省市区选择)单选 选与不选多选 考虑单一选择、多个组合选择(两两组合、3个组合、全部组合、常见业务组合情况)文件上传 例如图片、视频、excel、txt等。
如果是图片、视频类文件考虑文件大小、格式、尺寸、数量、视频时长等如果是excel/txt文件除了考虑本身文件大小、格式、数量还需考虑文件包含数据内容验证长度、数据类型、必填、唯一性约束及业务常见约束、表单、是否可读取多个表单表单提交按钮 是否支持回车/单击、快速多次点击是否重复提交表单、网络中断弱网提交、提交之后是否有提示、提交后内容显示是否正确、敏感数据是否加密、提交是否做权限校验控制、多人针对表单同时操作的场景测试。
搜索测试搜索功能的测试需要关注输入的搜索条件以及对应搜索结果的正确性。
搜索条件一般主要包含2种输入框搜索条件、下拉框搜索条件。
1-对于多个条件的页面搜索可以按照下面的顺序去进行测试假设搜索条件为4个任单个条件查询考虑正常输入搜索、模糊搜索、超长搜索、不存在与之匹配的条件、为空输入任两个组合查询确保任两个组合查询的正确性验证验证两个组合的所有情况三个组合查询不需要测试三个组合的全部组合。
因为前面针对所有单个条件的搜索、两个组合的所有组合进行测试了那么在这里选择
组三种组合进行测试即可全条件组合查询确保最大组合的正确性默认条件查询补充默认条件查询的用例根据需求或者业务规则选取重点条件组合查询如果此点与前面4点重复不需重复测试。
2-搜索条件还有一种常见的情况时间输入框关于按时间来搜索的测试点可以从以下考虑开始时间结束时间验证一天范围的数据开始时间结束时间验证跨天、跨月、跨年的数据开始时间大于/小于当前时间若是针对出生年月搜索验证大于的情况若是定时任务时间搜索验证小于的情况只输入开始时间或者只输入结束时间开始时间和结束时间都不输入结束时间早于开始时间验证系统是否给予合理提示验证是否支持手动输入时间并注意时间格式验证例如20180612格式3-搜索功能的重点落在搜索结果的完整性及正确性验证如何进行搜索结果的正确性验证? 对比后台或数据库数据是否一致。
当数据量大那么看数量是否一致页面显示10条 vs 后台/数据库查询得出10条挑选其中第
最后、中间一条对比页面显示 vs 后台/数据库查询一般搜索结果数据量大的情况下还需要关注一个功能翻页首页、上一页、下一页、尾页功能验证注意首页情况下上一页是否支持点击尾页情况下下一页是否支持点击总页数、当前页数正确性验证指定跳转页验证例如输入8点击跳转那么是否能正常跳转到第8页的数据且还注意下跳转的有效范围是1-总页数 所以我们考虑
最大页数的有效值验证且也需要考虑
总页数
负数/小数/非数字、空的异常值验证
删除测试所有删除操作需要关注当前页面及关联功能页面的数据是否被正常删除页面不做显示。
测试点考虑如下不选择数据点击删除是否合理提示选择一条数据点击删除页面不显示连续删除多个产品是否支持批量删除选择全选点击删除页面数据被清空删除一个有关联性的数据是否提示删除数据后再次点击添加是否正常添加成功除了页面不显示之外对于数据库表数据分逻辑删除、物理删除2种情况。
界面删除操作对于数据库通常是逻辑删除逻辑删除假删除对应数据库表中有个字段(例is_deleted)会进行标记1删除0未删除。
该条记录在数据库中仍然存在。
物理删除对应数据库表中的数据真实删除了。
业务流程测试除了单个功能的流程验证外功能与功能串联起来的各种业务场景也是功能测试的重点通常采用场景法来做分析。
例如电商项目有从浏览商品到下单购买的业务场景、也有取消订单与退款退货的流程等单个功能的流程例如用户在搜索栏输入商品关键词如“手机”–点击搜索按钮–搜索结果页显示相关商品。
功能与功能串联的业务场景流程例如用户注册–用户登录–搜索商品–浏览商品详情页–加入购物车–提交订单–支付–跳转订单详情页订单状态更改为待发货。
界面测试界面测试通常来说只要对比产品的原型图是一致的就测试通过。
但也有可能存在原型图覆盖不到的页面且作为专业测试来说基于当前产品原型设计我们也可以关注界面布局是否合理、整体风格是否一致、各个控件的放置位置是否符合客户使用习惯此外还要测试界面操作便捷性、导航简单易懂性页面元素的可用性界面中文字是否正确命名是否统一页面是否美观文字、图片组合是否完美等等。
详细来说比如
导航测试导航是指位于页面顶部或者侧边区域的它起着链接站点或者软件内的各个页面的作用。
例如是否易于导航导航是否直观Web系统的主要部分是否可通过主页存取Web应用系统导航帮助要尽可能地准确。
Web系统是否需要站点地图、搜索引擎或其他的导航帮助页面结构、导航、菜单、连接的风格是否一致
图形测试图形可以包括图片、动画、边框、颜色、字体、背景、按钮等。
例如要确保图形有明确的用途。
比如banner页图片的广告宣传。
所有页面字的风格、颜色、格式是否一致背景颜色是否与字体颜色和前景颜色相搭配图片的大小和质量也是一个很重要的因素不失真需要验证的是文字回绕是否正确。
如果说明文字指向右边的图片应该确保该图片出现在右边。
内容测试用来检验Web应用系统提供信息的正确性、准确性和相关性。
例如信息的正确性是指信息是可靠的还是误传的信息的准确性是指是否有语法或拼写错误信息的相关性是指是否在当前页面可以找到与当前浏览信息相关的信息列表或入口
表格测试表格经常和其他界面元素一起协同使用主要承载数据的归纳、展示与对比的功能是列表的一种。
存在筛选条件、搜索控件是否列于页面上方对于日期筛选条件是否单独处理展示出来对于多个搜索条件的场景是否采用高级搜索按钮并将其打包收起对于多个搜索条件的场景是否配置重置按钮便于一键清空所有搜索条件在数据显示超过多条时(一屏无法完全显示需要滚动查看时)且表格中的数据不能直观的展示出数据类型是否采用固定表头的形式时刻显示数据类型当字段数量过多需要横向滚动表格且需要对比数据时采用固定属性列字段是否支持排序上下箭头指示排序一般上下空心箭头默认上箭头为升序下箭头为降序
兼容测试不同的操作系统平台、浏览器、分辨率进行测试。
web应用主要是考虑浏览器的兼容性测试。
浏览器很多时间成本等条件约束下考虑主流浏览器的兼容性。
开展人工测试测试web应用在主流浏览器显示正常不会有页面错乱错位等。
主要是页面的格式字体输入框下拉框复选框按钮等的检查页面显示是否正常等。
一般穿插在功能测试中同步检查。
也可以借助一些第三方测试工具例如IETester、BrowserShots等详见我之前写过的一篇文章 8 款浏览器兼容性测试工具介绍需要的赶紧收藏吧
安全测试安全测试内容是很多测试人员在测试中不太会关注或者能力范围内关注不到的一个领域很多公司的安全测试会找专业第三方安全公司来做。
但作为专业测试在一个web应用的测试流程中可以去补充考虑一些业务层面的安全测试要点。
比如
身份验证和授权弱口令测试检查是否用户设置过于简单或常见的密码确保有强密码策略。
多因素认证验证多因素认证是否正确配置和执行防止单一身份验证被攻破。
权限管理测试不同角色和用户的权限是否正确设置确保用户只能访问其授权范围内的资源。
可以通过抓包修改参数例如身份id、属性id验证是否存在越权。
会话管理检查会话超时设置验证会话在注销或超时后是否彻底销毁避免会话劫持。
输入验证SQL注入测试所有用户输入是否经过正确的过滤和处理防止SQL注入攻击。
如输入某些特殊的SQL语句或SQL片断。
’ or 11- -跨站脚本XSS检查应用是否对用户输入进行编码防止恶意脚本在浏览器中执行。
在URL参数或表单中输入如下语句(如:scrīptalert(document.cookie)/scrīpt)来进行测试当用户浏览 时便会弹出一个警告框内容显示的是浏览者当前的cookie串,这就说明该网站存在XSS漏洞。
输入长度和格式验证确保输入字段的长度和格式正确处理防止缓冲区溢出或意外的数据注入。
数据加密敏感数据传输验证所有敏感数据如登录凭证、个人信息是否通过加密的方式如HTTPS进行传输。
存储加密检查数据库和存储中的敏感信息如密码、信用卡信息是否经过加密处理确保数据在存储时的安全性。
加密协议和算法确认应用使用的是最新和最安全的加密协议和算法避免使用过时或已知存在漏洞的加密方式。
支付业务逻辑针对软件的支付/充值/兑换等跟钱相关的功能对整个操作流程进行抓包判断有无敏感信息可修改。
敏感信息包括金额、数量、运费、优惠等在整个支付流程提交订单-确认订单-支付中修改金额、数量、运费、优惠是否存在问题获取未支付订单的状态修改为已支付跳过支付网站支付成功后跳转的链接携带订单号抓取支付信息将未支付的订单号拼接到支付成功跳转的链接中越权支付网站如果有余额功能在进行支付时传参存在例useridxx尝试修改id值是否可利用别人的余额来购买东西
错误处理通用错误信息检查错误信息是否对用户隐藏了敏感的系统或调试信息防止攻击者利用这些信息了解系统结构。
比如404,或500页面是否给出了友好的错误提示信息比如“你访问的页面不存在”等而并非曝露一些程序代码。
异常处理验证系统在发生异常时是否安全处理确保不会泄露敏感信息或导致系统崩溃。
文件上传与下载文件类型限制检查文件上传功能是否严格限制文件类型防止恶意代码通过上传文件注入系统。
文件路径处理确保文件下载功能没有路径遍历漏洞防止用户访问未授权的文件。
在URL中输入一定数量的“…/”和“./”验证系统是否ESCAPE掉了这些目录跳转符。
感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴上万个测试工程师们走过最艰难的路程希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取