测试点思路:
两大块:1.本身的业务功能。(说有什么功能就测什么功能,如WMS能否根据入库单下发入库任务)2.测试方法:六大类:
1.功能:黑盒的七种方法:
等价类边界值(任何地方都有,必须想出来一个,凡是有限制的地方,都可以等价类边界值)(如出库能不能选择比库存量更大的,能不能刚好选择最大库存量)
判定表、因果图、组合:多字段情况下,比如库存有名称、颜色、大小、重量,可以添加一个字段比如添加一个type字段,或者颜色改成彩色,看看系统能否识别。
场景法(流程法)
多字段,多字段会有查询功能:就有搜索功能,可以用组合测试,能不能只根据颜色查找,能不能根据两个字段查找,能不能根据多个字段查找(多个字段组合一下,判定表)
2.易用性:
人性化,是否符合美观,如是否详细展示,是否有详情展示,是否能进入下一页、返回上一页,搜索的字段错误后是否能重置,页面的布局是否都是一样的,字段的布局是否美观。(2、3个)。布局是否合理。查询是否在右边,重置是否在左边(符合习惯)
3.兼容性:
平台的兼容性:
app能否兼容多个系统,安卓(华为、vivo、oppo等等)、苹果、
win10、win7、win8
浏览器的兼容性:
IE、Chrome、Firefox、safari、opera
4.性能
并发:一秒有多少次处理,超过并发会怎么样
5.安全性(如果不想说就说交给安全小组测试,据我了解,他们使用了fortify/webinspect这两个漏洞扫描工具进行安全性测试)
一、常见四大web漏洞:
1,sql注入:如:select * from t_12306_user where id=‘31’ or 0=0; //后面的0=0把前面的where语句抵消了
2,xss跨站点脚本攻击:在文本框里面直接输入脚本,如输入用户名的地方输入(百度JS攻击脚本或html攻击脚本等等就可以搜到类似的脚本)
3,跨目录访问:直接改url地址,如果能直接访问到高级用户或管理员的界面,就有问题了。
4,用户权限访问控制:例如禅道后台的添加权限功能(复选框),几乎每个后台,只要有不同的角色(管理员、普通用户、vip),就有用户权限的区别。测试就需要给用户配置不同的权限,再登录这个用户,看看是否配置了这些权限,有没有多的有没有少的。
二、还有一些加密算法:
1,非对称加密RSA(瑞典三个人开发的,非对称加密算法):两把密钥(两个key),一个公钥一个私钥,只有公钥能进行加密,私钥只能用来解密。公钥可以在网络上流通,解密只能由这一把私钥进行解密,所以一般私钥保存在解密。即使劫持到公钥,也无法解密。
测试就是要看是否能正常加密成功、是否能正常解密
2,对称加密DES、MD5(不可逆的信息摘要算法,32位的字符串):DES,对称,用同一个key(同一把密钥)加密和解密一个密文(钥文)
测试就是要看是否能正常加密成功、是否能正常解密(除了md5的解密,md5无法解密)
三、密码在界面或数据库表存储的时候,一定要用密文显示,敏感字段是否在页面或后台以密文显示。
6.用户的客观操作(重要):
用户重复提交(快速多次点击会不会多扣钱。)、输入的内容中有空格字符会怎么样、直接点击提交或直接点击登录(默认值测试)。
特别是涉及硬件时,硬件非正常运行 是否能够及时将实体产品状态数据反馈到软件端
7.三大异常:
1,网络:
断网(路由器设置mac地址过滤或关闭路由器、网卡服务可以禁用、网络屏蔽器(比如辐射屏蔽器、辐射屏蔽服、电梯间)、网卡欠费、网卡流量使用完限速)、弱网(4G转3G,3G转2G,2G转e信号、路由器设置限流、开车行驶中、高速列车中)
2,DB:
DDL:重命名表(需要有异常处理机制)、同步或异步请求方式。同步:客户端一直等待服务端返回数据,比如没有异常处理机制,出现异常后客户端就要一直加载,不会响应错误信息。同步类似打电话。异步:不需要等待服务器确认,类似群发短信,发送信息后就完了,不会等待。
DML:执行update或delete操作,改变表的记录,使得查询的内容不存在
停止数据库,停止mysqld
不给用户update权限(只能select),或不给用户select权限。grant。
修改任意一个连接信息,是否可以正常查询处数据库信息。比如修改数据库的url(地址)、端口、库名、用户名、密码(在服务器的jdbc文件里面改)
3,Server:
tomcat应用服务器,1.用户名、密码、端口、地址(url)不正确的话能否正常访问
2.可以停止服务器(很容易造成超时异常
我带了几十个毕业班,对我们爱软测的同学也是要求,对上面我总结的方法能够真正融会贯通,这样才能快速上手一个软件项目的测试,至少功能测试就能顺利拿捏。