▲网络及中间件▲防火墙与CA认证
大型WEB系统,为了承受较大的访问压力,会采用负载均衡器技术,使用多个WEB应用服务器,分担来自客户端的访问压力。
二、WEB系统设计技术1、静态页面及动态页面2、网络开发技术印第安笛
3、CGI(通用网关接口)程序4、J2EE5、。NET
6、WEBSERVICES
三、WEB系统的测试策略
1、WEB系统的测试分类
按系统架构分:客户端、服务器、网络上的测试
按职能分:应用功能、WEB应用服务、安全系统的测试
按软件质量特性分:功能、性能、安全性、兼容性、易用性测试按开发阶段分:设计、编码、系统测试2、总体架构设计的测试
1)、采用瘦客户端或胖客户端是否适合需求2)、确定WEB架构的组成部分是否满足需求3)、服务器的配置及分布是否满足需求3、客户端设计的测试1)、功能设置的测试 2)、信息组织结构设计的测试3)、页面设计的测试4、服务器端设计的测试1)、容量规划的测试估算点击率是否满足需求;估算延迟和流量是否满足需求;估算WEB应用系统所需服务器的资源消耗(性能瓶颈重点考虑所需内存、CPU利用率)什么叫点击率、延迟、流量?
点击率:每秒HTTP的请求数,也叫每秒被访问的次数。
延迟:指从点击页面开始进入页面到它显示内容之间的时间。流量:通信的字节数。2)、安全系统设计的测试常识性安全策略;
●使用加密技术;如数字签名、SSL和SHTTP、链加密、文档加密等●构造防火墙有三种:网络级、应用级和电路级●构建网络防毒系统3)、数据库设计的测试5、WEB应用开发测试1)、代码测试
源代码规则分析;链接测试;框架测试;表格测试;图形测试2)、组件测试
表单测试;Cookie测试;脚本测试;CGI测试;ASP测试;Active某控件测试△可使用工具测试:如JUNIT进行单元测试6、WEB应用运行测试1)、功能测试
客户端的选择:包括操作系统、浏览器
客户端的浏览器的配置:Cookie设置、脚本设置、安全设置、显示设置客户端显示设置:分辩率的设置
内容测试:是用来检查WEB应用系统提供的信息的正确性、准确性、和相关性。什么是信息的正确性?是指信息是可靠或是误传的。WEB应用功能测试自动化技术:A、WEB应用链接质量保证技术
全自动电脑针织机
该链接将用户带到它所说明的地方;被链接页面是否存在;保证WEB应用系统上没有孤立页面,工具:WebCheck,Linkbot,TetPartner
B、WEB应用功能测试技术(创建测试脚本、插入检查点、运行测试、分析结果)2)、易用性测试
评估是否易用由这些情况:用户的计算机使用经验;用户对浏览器以及WEB的使用经验;用户的业务专业知识
如何测试?分三个方面:界面测试;辅助功能测试;图形测试3)、负载压力测试步骤:①确定交易执行响应时间②估算能承受最大并发用户数
③压力负载测试,模拟用户请求,渐渐模拟用户的数量,直到系统不能承受为止④若负载没有达到要求,应优化这个WEB程序。4)、客户端配置与兼容性测试
①浏览器的配置测试;②平台兼容性测试;③浏览器兼容性测试。5)、安全性测试安全体系统测试:A、部署与基础结构B、输入验证
还原剂加药装置
如何验证输入(是否清楚入口、信任边界、是否验证WEB页输入、是否对传递到组件或WEB服务的参数进行验证、是否验证从数据库中检索的数据、是否将方法集中起来、是否依赖客户端的验证)
如何处理输入(应用程序是否易受规范化问题的影响;应用程序是否易受SQL注入攻击、跨站点脚本(某SS)攻击、缓冲区溢出、代码注入以及无数其它拒绝服务和特权提升攻击都可验证其漏洞)C、验证身份
焊接钢板是否区分公共方问和受限方问;是否明确服务账户要求;如何验证调用者身份;如何验证数据库的身份;是否强制使用强账户管理措施;D、受权
如何向最终用户授权;如何在数据库中授权应用程序;如何将方问限定于系统资源;
D、配置管理
是否支持远程管理;是否保证配置存储的安全;是否隔离管理员特权;E、敏感数据
是否存储机密信息;如何存储敏感数据;是否在网络中传递敏感数据;是否记录敏感数据;F、会话管理
如何交换会话标识符;是否限制会话生存期;如何确保会话状态存储的安全;G、加密
为何使用特定的算法;如何确何加密密钥的安全;回收密钥的频率如何;H、参数操作
是否验证所有的输入参数;是否在参数中传递敏感数据;是否为了安全问题而使用HTTP头数据I、异常管理
是否使用结构化的异常处理;是否向客户端公开了太多的信息J、审核和日记录
是否明确了要审核的关键活动;是否考虑过如何流动原始调用者身份;是否考虑过保护日文件管理策略2、应用及传输安全测试
应用级的安全测试的主要目的是查WEB应用系统自身程序设计中存在的安全隐患,主要测试区为:①注册与登录②在线超时③操作留痕④备份与恢复
传输级的安全测试是考虑到WEB系统的特殊性,重点测试数据经客户端传送到服务器端可能存在的安全漏洞,以及服务器防范非法访问的能力。一般测试项目包括:
①HTTPS和SSL测试
②服务器端的脚本漏洞检验
③防火墙测试:防火墙是一种主要用于防护非法访问的路由器,在WEB系统中是很常用的一种安全系统。
归纳:
Web功能测试:web测试分为6个部分:1.功能测试
2.性能测试(包括负载/压力测试)3.用户界面测试4.兼容性测试5.安全测试6.接口测试一、功能测试:
①链接测试②表单测试③数据校验④cookie测试⑤数据库测试⑥应用程序特定的功能需求⑦设计语言测试二、性能测试
1连接速度测试2负载测试3压力测试(压力测试的区域包括表单、登陆和其他信息传输页面等。瞬间访问高峰(并发用户)长时间的使用)用户界面测试
1导航测试2图形测试3内容测试4表格测试5整体界面测试兼容性测试
消防电动开窗机
小蒸箱1平台测试2浏览器测试3分辨率测试4Modem/连接速率5打印机6组合测试(采取措施:根据实际情况,采取等价划分的方法,列出兼容性矩阵)安全测试
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议