WEB测试总结

一、WEB测试

        WEB测试是对网页或WEBAPP程序的功能、性能及安全性等方面进行全面检测的过程。它通过模拟真实用户的操作行为和使用场景，有效验证网页或应用程序的质量稳定性。

二、WEB系统类型

2.1  WEB网页

        无需安装，直接通过浏览器即可访问使用程序。

2.2  WEBAPP

        这类应用需要安装可执行文件（如exe、deb等），其核心原理是通过定制化的浏览器来访问程序功能。

2.3  SDK

        提供具备完整功能的程序接口（API），供上层应用调用开发。

三、问题定位方法

3.1 抓包分析

抓包工具：浏览器自带的调试工具（如：F12）、第三方抓包工具

分析方法：

        1. 检查获取的HTTP请求及响应数据

        2. 参照接口文档，核实请求参数和响应数据的格式与内容是否符合规范

3.2 日志分析

        1. 获取系统日志

        2. 分析日志内容，识别关键报错信息

        3. 根据报错信息定位具体问题根源

3.3 数据分析

1. 前端页面显示内容异常

2. 检查数据库对应数据，确认问题根源是原始数据错误还是程序渲染异常

3. 若确认数据错误，需进一步排查是录入错误还是数据处理/存储环节的问题

3.4 排除分析法

1. 对输入条件进行全面分析并拆解，按类别进行验证

2. 精准定位导致问题的关键条件

 四、WEB测试内容

  4.1 功能测试

        功能测试是Web端测试的核心环节，主要用于验证各项功能的完整性，确保各个功能模块能够稳定运行。

        链接测试：为确保网站导航顺畅，建议全面检查所有链接的有效性，包括站内跳转、外部引用和页面锚点。失效链接不仅影响浏览体验，还可能导致用户快速离开。

        表单测试：旨在验证网站表单能否准确接收并处理用户输入数据。主要测试内容包括：输入字段有效性验证、必填项检查机制以及提交后的系统响应情况。

        页面跳转测试：用于验证用户点击链接或按钮后能否准确跳转到目标页面。该测试对导航菜单和分页功能等尤为重要。

        数据库测试：增加、删除、修改的数据均可正常存储至数据库中。

        Cookie 测试：Cookie测试是Web系统测试的重要环节，主要验证Cookie在客户端与服务器间的交互是否正常，包括存储、传输、安全性和生命周期等特性。

        Session测试：主要验证Web系统在用户会话期间的数据存储、状态维持及安全性。验证Session能否正确存储用户数据、检查超时或注销后Session是否失效、确保多用户并发时Session隔离、检测敏感信息在Session中的安全性。

        文件上传/下载测试：验证系统能否正确处理不同格式的文件（如.txt、.jpg、.pdf等），包括允许上传的文件类型和禁止上传的类型。验证文件下载完整性，下载后通过MD5或SHA校验码比对，确认文件内容与源文件完全一致。

        搜索测试：验证搜索框的基础功能，包括输入关键词后能否正确返回结果、支持模糊匹配（如部分关键词）、特殊字符处理（如“#”、“&”）。测试空搜索和超长字符串输入时的系统响应（如提示或截断）。检查排序和筛选逻辑，例如按相关性、时间、价格等维度排序的结果是否符合预期。验证分页功能是否正常，尤其是结果数量较大时。

4.2 性能测试

        性能测试旨在评估网站在各种负载条件下的响应速度与运行稳定性，保障系统在高并发访问时仍能维持正常运作。

        加载速度测试：缓慢的页面响应容易造成用户流失；

        负载测试：旨在评估系统在特定压力下的性能表现；

        压力测试：在极端条件下的稳定性及其崩溃临界点；

        稳定性测试：旨在验证网站在长期运行时的可靠性；

4.3 安全性测试

WEB应用系统容易遭受病毒入侵和恶意攻击，导致数据在传输过程中被非法截获或篡改。

        漏洞扫描：建议采用专业漏洞扫描工具（例如Nessus、OWASP ZAP等）对网站进行全面检测，及时发现并修复潜在安全风险。

        数据加密：采用HTTPS等加密协议保障网站数据传输安全，有效防范信息在传输过程中被窃取或篡改。数据库中用户敏感信息加密存储。

        身份验证和权限管理：完善网站身份验证和权限管理体系，严格管控敏感数据和功能的访问权限。

        SQL注入及防范：SQL注入是一种通过在用户输入中插入恶意SQL代码来攻击数据库的技术。攻击者利用应用程序对用户输入的不当处理，将恶意SQL语句（如：' OR '1'='1、admin'-- 
）注入到后台数据库引擎执行。常见的注入点包括登录表单、搜索框、URL参数等。使用预处理语句绑定参数，确保输入被当作数据处理而非SQL代码。

        XSS跨站攻击及防范：XSS（Cross-Site Scripting）是一种常见的web安全漏洞，攻击者通过注入恶意脚本到受害者的浏览器中执行，如：<script>alert('XSS')</script>

对所有用户输入进行验证和过滤，输出到HTML前进行编码（如转义<为<）。

4.4 兼容性测试

WEB兼容性测试需要测试Web系统在不同浏览器、不同分辨率和不同操作系统上是否正常使用。

        浏览器兼容性测试：为确保用户获得一致的浏览体验，建议在主流浏览器（包括Chrome、Firefox、Safari和Edge）中进行全面测试，以验证网站在不同平台上的显示兼容性。

        分辨率测试：为确保良好的用户体验，WEB系统需要适配不同屏幕规格下不同分辨率的显示效果（如：台式机、平板和手机），验证响应式设计的实际表现。

        操作系统测试：为确保WEB系统在各类操作系统中都能正常显示和运行，须对Windows、macOS、Linux、iOS和Android等主流平台进行兼容性测试。

4.5 界面测试

Web界面测试能够验证应用是否准确呈现信息，确保用户根据正确提示完成操作。

        标题显示：界面标题和任务栏显示的标题正确。

        整体界面测试：同类界面视觉风格、字体、图标一致；

        组件/控件元素测试：元素水平/垂直对齐；元素尺寸合理、行列间距一致

        窗口特性：窗口切换、移动、改变大小、刷新时界面正常。

4.6 接口测试

Web接口测试主要验证浏览器与服务器之间的通信功能。

        接口文档验证：核对接口文档的准确性，包括URL、请求方法、参数说明、响应示例等。确保文档与实际接口行为一致。

        接口功能测试：验证接口是否按预期完成其功能。测试正向和逆向场景，确保接口在各种输入条件下都能正确处理请求并返回正确结果。

        外部接口测试：确保返回给服务器的消息和数据准确无误。