web测试常用测试点

网站系统测试要点及基本方法一、测试要点：1.功能测试：对网站系统的各项功能进行测试，包括用户注册、登录、浏览、购买、支付、评价等功能模块。

2.界面测试：测试网站系统的各个页面是否美观、易用、响应速度快，同时要兼容各种分辨率的屏幕和不同的浏览器。

3.性能测试：测试网站系统在并发用户、大数据量和复杂业务场景下的响应速度和负载能力，包括访问速度、页面加载时间、数据库查询速度等。

4.兼容性测试：测试网站系统在不同的操作系统、浏览器和设备上的兼容性，包括Windows、iOS、Android等系统和IE、Firefox、Chrome等浏览器。

5.安全性测试：测试网站系统的防御能力，包括防止恶意攻击、SQL注入、XSS攻击、CSRF攻击等，同时测试用户认证、密码强度、数据加密等安全措施是否有效。

6.稳定性测试：测试网站系统在高并发和长时间运行下，是否会出现崩溃、内存泄漏、缓慢响应等问题。

7.易用性测试：测试网站系统的易用性和用户体验，包括页面布局、功能导航、操作流程、错误提示、信息提供等方面。

8.可靠性测试：测试网站系统在异常情况下的可恢复性、容错性和灾备性，包括服务器宕机、网络中断、数据库异常等情况。

9.移动端测试：测试网站系统在移动设备上的访问和使用情况，包括响应速度、页面布局、手势操作、屏幕适配等。

10.可维护性测试：测试网站系统的可维护性和扩展性，包括代码结构、模块划分、注释文档、接口设计等方面。

二、测试方法：1.黑盒测试：根据需求规格说明书或功能设计文档，编写测试用例，通过输入各种异常数据和边界值数据，检查系统是否能正确处理。

2.白盒测试：对网站系统的源代码进行静态和动态分析，通过代码覆盖率测试、路径覆盖率测试等方法，检查代码的正确性和可靠性。

3.性能测试：采用性能测试工具，模拟并发用户访问网站系统，检测系统的响应时间、吞吐量、负载能力等指标。

4.安全测试：使用漏洞扫描工具、网络嗅探工具等，检测网站系统的安全漏洞，并进行渗透测试、代码审计等方法，验证系统的安全性。

常见的web安全性测试重点1.XSS(CrossSite Script)跨站脚本攻击XSS(CrossSite Script)跨站脚本攻击。

它指的是恶意攻击者往Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行，从而达到恶意用户的特殊目的。

测试方法：在数据输入界面，添加记录输入：<script>alert(/30141/)</script>，添加成功如果弹出对话框，表明此处存在一个XSS漏洞。

或把url请求中参数改为<script>alert(/30141/)</script>，如果页面弹出对话框，表明此处存在一个XSS 漏洞修改建议：过滤掉用户输入中的危险字符。

对输入数据进行客户端和程序级的校验（如通过正则表达式等）。

Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤2.CSRF与跨站脚本(XSS)CSRF与跨站脚本(XSS)，是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动。

测试方法：同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登陆界面。

修改建议：在不同的会话中两次发送同一请求并且收到相同的响应。

这显示没有任何参数是动态的（会话标识仅在cookie 中发送），因此应用程序易受到此问题攻击。

因此解决的方法为1.Cookie Hashing(所有表单都包含同一个伪随机值)：2. 验证码3.One‐Time Tokens(不同的表单包含一个不同的伪随机值)客户端保护措施：应用防止CSRF攻击的工具或插件。

3.注入测试SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

Web测试中，各类web控件测试点总结一、界面检查进入一个页面测试，首先是检查title，页面排版，字段等，而不是马上进入文本框校验1、页面名称title是否正确2、当前位置是否可见您的位置：xxx>xxxx3、文字格式统一性4、排版是否整齐5、列表项显示字段是否齐全,列表项字段名称是否跟表单统一6、同一页面，是否出现字段名称相同、值取不同的问题。

7、数据加载情况：除了文本框的值，还要注意：复选框，是否保存打√，或者保存不打√下拉框，是否保存选择的值多文本框，值是否都被保存，空格，换行是否保存二、单文本框（type=text）边界：字段长度判空：是否可以为空唯一性：是否唯一(小归结：边界、判空、唯一性、特殊字符、正确性)考虑语言，操作环境1）特殊符号测试输入' or 1<>'1' or '1'='1' or '1'<>'2"|?><where a='xxx'下划线是否允许输入全部空格输入单引号><script>alert(“123”);</script>>2）特殊字段输入限定框内容是否合法（tel，ip，url，email）序号等，直接限制输入数字，其他过滤掉。

输入金额文本框，整数首位为0，过滤掉，小数点后面，一般保留两个有效数字。

正确性测试（必不可少的步骤）字段长度输入最大允许长度时)数据允许长度的测试。

a、页面是否被挤出的测试(都输入长英文字符串，是否断行；b、数据库是否允许最大字符(都输入汉字、都输入英文、混合……；c、最短长度的正确流程，最大长度的正确流程覆盖。

对于允许为空的字段，不填入，再次数据传递后，看是否报500错误。

未规定字段长度（或者数值大小），不按死板输入，输入非常多字符（或者非常大的数值）时，做允许动作的正确性校验，看是否报错。

WEB安全测试要考虑的10个测试点本文主要论述了WEB安全测试要考虑的10个测试点：1、问题：没有被验证的输入测试方法：数据类型（字符串，整型，实数，等）允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值（枚举型）特定的模式（正则表达式）2、问题：有问题的访问控制测试方法：主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址例：从一个页面链到另一个页面的间隙可以看到URL地址直接输入该地址，可以看到自己没有权限的页面信息，3、错误的认证和会话管理例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html语法解析出来4、缓冲区溢出没有加密关键数据例：view－source：http地址可以查看源代码在页面输入密码，页面显示的是*****, 右键，查看源文件就可以看见刚才输入的密码。

5、拒绝服务分析：攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序，最终使程序陷入瘫痪。

需要做负载均衡来对付。

6、不安全的配置管理分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护程序员应该作的：配置所有的安全机制，关掉所有不使用的服务，设置角色权限帐号，使用日志和警报。

分析：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码。

7、注入式漏洞例：一个验证用户登陆的页面，如果使用的sql语句为：Select * from table A where username＝’’+ username+’’and pass word …..Sql 输入‘or 1＝1 ――就可以不输入任何password进行攻击或者是半角状态下的用户名与密码均为：‘or’‘=’8、不恰当的异常处理分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞，9、不安全的存储分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。

WEB常用测试点：安全性测试：Web应用系统的安全性测试区域主要有：（1）现在的Web应用系统基本采用先注册，后登陆的方式。

因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。

（2）Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。

（3）为了保证Web应用系统的安全性，日志文件是至关重要的。

需要测试相关信息是否写进了日志文件、是否可追踪。

（4）当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。

（5）服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。

所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。

导航测试：导航描述了用户在一个页面内操作的方式，在不同的用户接口控制之间，例如按钮、对话框、列表和窗口等；或在不同的连接页面之间。

通过考虑下列问题，可以决定一个Web 应用系统是否易于导航：导航是否直观？Web系统的主要部分是否可通过主页存取？Web 系统是否需要站点地图、搜索引擎或其他的导航帮助？在一个页面上放太多的信息往往起到与预期相反的效果。

Web应用系统的用户趋向于目的驱动，很快地扫描一个Web应用系统，看是否有满足自己需要的信息，如果没有，就会很快地离开。

很少有用户愿意花时间去熟悉Web应用系统的结构，因此，Web应用系统导航帮助要尽可能地准确。

导航的另一个重要方面是Web应用系统的页面结构、导航、菜单、连接的风格是否一致。

确保用户凭直觉就知道Web应用系统里面是否还有内容，内容在什么地方。

Web应用系统的层次一旦决定，就要着手测试用户导航功能，让最终用户参与这种测试，效果将更加明显。

整体界面测试：整体界面是指整个Web应用系统的页面结构设计，是给用户的一个整体感。

例如：当用户浏览Web应用系统时是否感到舒适，是否凭直觉就知道要找的信息在什么地方？整个Web 应用系统的设计风格是否一致？对整体界面的测试过程，其实是一个对最终用户进行调查的过程。

Web测试要点以前在这⾥看到⼀篇⽂章说，要积累各个常⽤模块的测试点，然后到需要测试的时候就根据这些测试点设计测试⽤例，我觉得这是⼀个好⽅法，就决定总结⼀下。

我的实际经验不多，根据我在论坛中学到的零散的东西和⾃⼰的想象，总结出以下⼏点，欢迎各位继续补充。

1. 登陆2. 添加3. 查询4. 删除1. 登陆①⽤户名和密码都符合要求（格式上的要求）②⽤户名和密码都不符合要求（格式上的要求）③⽤户名符合要求，密码不符合要求（格式上的要求）④密码符合要求，⽤户名不符合要求（格式上的要求）⑤⽤户名或密码为空⑥数据库中不存在的⽤户名，不存在的密码⑦数据库中存在的⽤户名，错误的密码⑧数据库中不存在的⽤户名，存在的密码⑨输⼊的数据前存在空格⑩输⼊正确的⽤户名密码以后按[enter]是否能登陆2. 添加①要添加的数据项均合理，检查数据库中是否添加了相应的数据②留出⼀个必填数据为空③按照边界值等价类设计测试⽤例的原则设计其他输⼊项的测试⽤例④不符合要求的地⽅要有错误提⽰⑤是否⽀持table键⑥按enter是否能保存⑦若提⽰不能保存，也要察看数据库⾥是否多了⼀条数据3. 删除①删除⼀个数据库中存在的数据，然后查看数据库中是否删除②删除⼀个数据库中并不存在的数据，看书否有错误提⽰，并且数据库中没有数据被删除③输⼊⼀个格式错误的数据，看是否有错误提⽰，并且数据库中没有数据被删除。

④输⼊的正确数据前加空格，看是否能正确删除数据⑤什么也不输⼊⑥是否指出table键⑦是否⽀持enter键4. 查询精确查询：①输⼊的查询条件为数据库中存在的数据，看是否能正确地查出相应得数据②输⼊正确的查询条件以前加上空格，看是否能正确地查出相应的数据③输⼊格式或范围不符合要求的数据，看是否有错误提⽰④输⼊数据库中不存在的数据⑤不输⼊任何数据⑥是否⽀持table键⑦是否⽀持enter键模糊查询：在精确查询的基础上加上以下⼀点①输⼊⼀些字符，看是否能查出数据库中所有的相关信息设计功能和界⾯测试⽤例设计功能和界⾯测试⽤例1.1 ⽂本框、按钮等控件测试1.1.1 ⽂本框的测试如何对⽂本框进⾏测试　a,输⼊正常的字母或数字。

web测试要点及基本方法
Web测试的要点包括功能测试、性能测试、易用性测试、兼容性测试、安
全测试和接口测试。

这些测试的目标是确保Web应用在各种条件下都能正常、安全地运行，并且用户体验良好。

基本方法如下：
1. 功能测试：链接测试确保所有链接都能正确指向目标页面。

这可以通过自动检测网站链接的工具如Xenu Link Sleuth来实现。

表单测试确保在线注册、配送信息等表单功能正常工作。

2. 性能测试：包括负载测试和压力测试，以评估Web应用在高负载下的性能表现。

3. 易用性测试：检查Web应用的导航、布局和信息架构是否符合用户期望和习惯。

4. 兼容性测试：检查Web应用在不同浏览器、操作系统和设备上的兼容性，确保用户在不同环境下都能正常使用。

5. 安全测试：通过渗透测试和安全漏洞扫描来识别并修复潜在的安全风险，保护用户数据和交易安全。

6. 接口测试：检查前后端接口是否按照预期工作，数据传输是否正确。

以上内容仅供参考，如需更多信息，建议查阅软件测试相关书籍或咨询软件测试专业人士。