测试基础

白盒测试怎么做：

1.静态扫描

2.动态扫描，构造测试数据去检查。语句覆盖--覆盖所有代码

3.判定覆盖每个判定条件，每个判定都需真假值

4.条件覆盖每个条件，都需要有一个真假值

5.判定/条件覆盖

6.组合覆盖，条件之间的组合场景

7.路径覆盖---后面的黑盒流程分析法

安全测试我们常用的方法是:1，sql注入 2，xss脚本攻击 3，数据加密 4，权限控制
运用扫描工具 appscan扫描web系统。扫描app的一般用腾讯 wettest等平台测试测试,前端(web)时我们首先检查检查一下用户的感敏信息有没有进行加密显示，通过Fiddle抓包工具检查一下用户的感敏信息有没有进行加密后传输如:用户密码，相应的银行卡，个人信息等，再到日志中搜索关键信息，搜索到，就泄密，存在安全漏洞，数据库中是否做了加密处理。还有就是把发送请求的数据篡改例如:打开fiddler，设置过滤器，设置断点把商城里的支付订单的1000完金额修改成1块钱，再放行发送数据看是否，支付1块钱，订单支付成功，如果成功则是bug，预期结果是支付金额不对才行，用sql语句注入和xss脚本攻击，把sql语句或xss脚本编缉成csv文档通过 jmeter 工具添加"CSV数据文件设置"来调用里面的语句来在所有的查询位置所有的接口请求、url请求链接参数中，进行sq语句注入或xss脚本攻击:模拟sql语句xss脚本攻击数据库，看它是否把sql注入代码或xss脚本当成字符处理，如果不是就是bug，再看功能不能正常使用、系统是否崩溃，错误弹出框，界面是否变形。还有在所有可以保存的地方，都添加xss脚本攻击代码，看看是否出现异常。权限控制(用户的校验)校验用户安全认证信息是否正确，如没有权限的界面不能进入，不能提供操作入口或不能通过url直接去访问:例如;把所有需要权限的界面，全部复制一份出来然后退出用户再通过un链接去访问功能如果可以访问，就是bug，如有提示登录，属于正常。还有登陆用户

再退出用户后，点击浏览器的后退不能进入原来的界面。
通过 appscan扫描工具去扫描，我们般是这样操作的;
1、启动软件进入主界面->选择创建新的扫2、在弹出的新建扫描对话框中选择常规扫描
3、在弹出的扫描配置向导对话框中选择AppScan(自动或手动)，点击下一步
4、在此页面中填写需要扫描系统的同址，点击下一步
5、选择登陆方式为记录，点击下一步
完成系统登录操作后，关闭浏览器选择登录管理中的“详细信息”

7、在”详细信息”中，取消”激活会话中的检测同时在”登录会话标识中”，对变量参数值进行跟踪以确保参数的正确处理而获得系统访问权限
8、把密码修改页面URL、用户权限删除URL等页面添加至排除测试范围，防止 Appscan的请求产生相应影响(防止 Appscan修改密码或删除用户帐号);
9、在”自动表单填充中，填入用户名和密码参数，并填写参数值，其余不做修，10、如果测试过程中，应用服务出现性能响应过慢的问题，适当调整测试线程数为2->511、测试策路选择为严重性"进行过滤只勾选关注的严重性级别，把“高”、“中”和低”选上,
13、点击确定按钮，结束扫描配置工作,14、点击扫描按钮，选择“仅探索”， Appscan开始执行探索工作;

14、点击扫描按钮，选择“仅探索”，Appscan开始执行探索工作;
15、探索自动结束后，点击“手动探索”按钮，此时，在弹出的E浏览器窗口中登录系统，手工的任意访问系统页面(1-10个)，关闭浏览器
16、在弹出的参数添加窗口中，点击确定按钮
17、点击扫描按钮，选择“完全扫描”， Appscan开始执行测试工作
18、测试执行结束后，点击报告按钮，选择关注的测试结果信息，勾选“报告内容“里的所有勾选
19、保存报告，保存类型建议选择为html;然后分析报告。(只需了解面试尽量不要提及)