接口测试与Web测试资料

移动app、接口、web自动化测试区别先说说WEB的UI自动化测试：很多人在说自动化测试的时候，基本上现在指的是WEB的UI自动化测试，但其实这是不对的，自动化测试包含了很多开发的技术，不只是界面上的自动化测试。

WEB的UI自动化测试只是其中的一种，但它的工具确实最多的，有WINRUNNER\QTP(UFT)\TESTCOMPLETE\SILKTEST\ROBOT\SELENIUM\RF\WAITER等等，。

而对于没有开发基础的测试人员，可以考虑QTP这个自动化工具，掌握比较快，但要学精还是需要掌握开发技术。

但当总体来说根据自己的需求来选择符合自己公司的工具和开发语言。

接下来我说下WEB的UI自动化测试的优缺点：缺点：开发效率低、维护成本高、执行速度慢等等优点：用户操作真实性强。

接口自动化测试：接口自动化测试在后来出现，但现在大部分的互联网公司都喜欢用它作为测试工作辅助。

原因很简单，UI自动化的缺点它都能进行弥补，但同时它也存在一个最大的问题：用户操作真实性不强。

其实个人觉得接口自动化测试和UI自动化测试可以产生互补的测试。

因为我们做接口测试时更多的是根据开发的技术进行测试HTTP\SOCKET等等（接口测试基本上不需要用到什么工具进行，如果一定需要的话建议是用SOAPUI），而非真实的进行对系统进行操作验证系统是否存在问题。

APP自动化测试：APP的自动化测试应该也要分为UI和接口自动化测试，接口测试与上面说的一样都是技术层面上的事情就不说了。

那么还是关注APP的UI自动化测试，APP 的自动化测试工具方面也有很多，但也都不成熟，我选择了APPIUM，主要考虑到的它可以进行跨平台测试，但最大的问题还是不稳定。

所以也不敢大面积的布置其自动化测试用例。

APP刚才说过了主要分为NATIVE和WEBVIEW，NATIVE的对象还好获取，像android可以直接使用uiautomatorviewer进行获取。

第14章 软件的其他测试技术软件的其他测试技术不是一个基本过程测试技术，是一个辅助的测试技术，用于软件测试过程中。

本章重点讨论以下内容：● 可用性测试；● 压力测试；● 确认测试；● 容错性测试；● 易用性测试；● 安全性测试；● 需求检查测试；● 可靠性测试；● 风险测试；● 缺陷测试；● Web测试；● 接口测试；● 安装和反安装测试。

14.1 可用性测试可用性测试（UsabilityTesting）是指在设计过程中被用来改善易用性的一系列方法。

我们为用户提供一系列操作场景和任务让他们去完成，这些场景和任务与您的产品或服务密切相关。

通过观察，我们来发现过程中出现了什么问题、用户喜欢或不喜欢哪些功能和操作方式，原因是什么。

针对问题所在，我们会提出改进的建议。

14.1.1 可用性测试的概念可用性测试的概念主要表现为：1. 可用性是产品的一个基本的自然属性，是最终用户使用产品的可用的程度。

2. 可用性测试是依照可用性标准对GUI的系统评估。

3. 可用性是在产品和用户的相互作用中体现出来。

4. 可用性测试是用户在和系统（网站，软件应用程序，移动技术或任何用户操作的设备）5. 交互时对用户体验质量的度量。

6. 可用性的基本评价指标是效率、满意和安全（容错，无错）。

14.1.2 可用性测试的方法可用性测试的方法主要表现为：1. 对同一测试内容在同时采用多指标的测试；2. 对同一测试内容在不同时间采用采用多指标的测试。

14.1.3 可用性测试的目的可用性测试的目的主要表现为：1. 可用性测试的目的是确定用户界面设计在两个层面上的问题；2. 概念的层面－和导航，用户定位和UI一致性相关地关键问题；3. 详细设计的层面－遵循GUI标准和指南，使用的术语，特定的问题。

这些问题一旦被收集，将按照严重程度给它们划分优先级别。

另外，对于每个主要的问题，提议做一个重设计的建议。

14.2 压力测试所谓压力测试（stress testing）是指对系统不断施加压力的测试，是通过确定一个系统的瓶颈或者不能接收的性能点，来获得系统能提供的最大服务级别的测试。

1.1Web网站的主要测试内容1、网站的主要的测试内容Web网站的测试技术主要涉及如下几个方面进行。

（1）功能测试1)页面内容测试——正确性、准确性、相关性2)链接测试3)表单测试4)数据校验5)Cookies 测试内容——Cookies是否能正常工作，Cookies是否按预定的时间进行保存，刷新对Cookies 有什么影响等。

6)链接测试——超级链接对于网站用户而言意味着能不能流畅的使用整个网站提供的服务，因而链接将作为一个独立的项目进行测试。

7)链接测试可以手动进行,也可以自动进行。

链接测试必须在集成测试阶段完成,也就是说,在整个Web 网站的所有页面开发完成之后进行链接测试.8)表单测试——表单就是一些需要在线显示和填写的表格，表单有一些标准操作,如确认,保存,提交等。

（2）性能测试网站的性能测试主要从两个方面进行：1)负荷测试(Load)：负荷测试指的是进行一些边界数据的测试2)压力测试(Stress)：压力测试更像是恶意测试，压力测试倾向应该是致使整个系统崩溃。

性能测试可以采用相应的工具进行自动化测试。

（3）安全性测试目前网络安全问题日益重要，特别对于有交互信息的网站及进行电子商务活动的网站尤其重要（4）稳定性测试网站的稳定性测试是指网站的运行中整个系统是否运行正常，目前没有更好的测试方案，主要采用将测试服务器长时间运转进行测试。

（5）兼容性测试操作系统平台测试和浏览器兼容性测试。

（6）用户界面测试（侧重于可用性/易用性测试）（7）压力测试的内容压力测试必须对Web 服务应用以下四个基本条件进行有效的压力测试：重复(Repetition)、并发(Concurrency)、量级(Magnitude)——需要考虑每个操作中的负载量,即也要尽量给产品增加负担、随机变化。

（8）代码合法性测试2、功能测试（1）功能测试的基本方法其基本方法是构造一些合理输入（在需求范围之内），检查输出是否与期望的相同。

web测试教程及要点Web测试是指对Web应用程序进行测试的过程，目的是确保应用程序在各种条件下都能正常运行并符合预期的功能和性能要求。

本文将介绍Web测试的基本概念和要点。

一、Web测试概述Web测试是软件测试的一个重要分支，它主要关注Web应用程序的功能、性能、安全和兼容性等方面。

随着互联网的快速发展，Web 应用程序的规模和复杂度不断增加，因此对其进行全面的测试变得至关重要。

二、Web测试的分类1. 功能测试：验证Web应用程序的各项功能是否按照设计要求正常运行，包括页面导航、表单提交、数据验证等。

2. 性能测试：测试Web应用程序在不同负载下的响应速度、并发能力和资源利用率等。

3. 安全测试：测试Web应用程序的安全性，包括登录验证、权限控制、数据加密等。

4. 兼容性测试：测试Web应用程序在不同浏览器、操作系统和设备上的兼容性，确保用户在不同平台上都能正常访问和使用。

5. 接口测试：测试Web应用程序与其他系统或服务之间的接口是否正常，包括数据传输、交互操作等。

三、Web测试的要点1. 确定测试目标：在开始测试之前，需要明确测试的目标和范围，以便有针对性地进行测试。

2. 制定测试计划：根据测试目标和范围，制定详细的测试计划，包括测试方法、测试环境、测试工具和测试数据等。

3. 编写测试用例：根据功能需求和测试目标，编写详细的测试用例，覆盖各种正常和异常情况。

4. 执行测试用例：按照测试计划和测试用例，逐一执行测试，并记录测试过程中的问题和异常。

5. 进行缺陷管理：对测试过程中发现的问题和异常进行记录和跟踪，及时与开发人员沟通并解决。

6. 性能测试优化：根据性能测试结果，对系统进行优化和调整，提高系统的响应速度和并发能力。

7. 安全测试加固：根据安全测试结果，对系统的安全漏洞进行修复和加固，确保用户的信息和数据安全。

8. 兼容性测试兼容：根据兼容性测试结果，对系统在不同平台上的兼容性进行优化和调整，提高用户体验。

接⼝测试⾯试题汇总1、get和post区别是什么？答：POST和GET都是向服务器提交数据，并且都会从服务器获取数据。

区别：（1）传送⽅式：get通过地址栏传输，post通过报⽂传输（2）传送长度：get参数有长度限制（受限于url长度），⽽post⽆限制（3）GET产⽣⼀个TCP数据包（对于GET⽅式的请求，浏览器会把http header和data⼀并发送出去，服务器响应200返回数据），POST产⽣两个TCP数据包（对于POST，浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok返回数据）（4）get请求参数会被完整保留在浏览历史记录⾥，⽽post中的参数不会被保留（5）在做数据查询时，建议⽤GET⽅式；⽽在做数据添加、修改或删除时，建议⽤post⽅式2、cookie和session的区别（1）cookie数据存放在客户的浏览器上，session数据放在服务器上（2）cookie不是很安全，别⼈可以分析存放在本地的cookie并进⾏cookie欺骗，考虑到安全应当使⽤session（3）session会在⼀定时间内保存在服务器上。

当访问增多，会⽐较占⽤你服务器的性能，考虑到减轻服务器性能⽅⾯应当使⽤cookie（4）单个cookie保存的数据不能超过4K，很多浏览器都限制⼀个站点最多保存20个cookie（5）可以将登陆信息等重要信息存放为session；其他信息需要保存，可以放在cookie3、请求接⼝中常见的返回状态码答：1xx -- 信息提⽰（表⽰临时的响应。

客户端在收到常规响应之前，准备接收⼀个或多个1xx响应）2xx -- 成功（表明服务器成功地接受了客户端请求）3xx -- 重定向（客户端浏览器必须采取更多操作来实现请求。

例如，浏览器可能不得不请求服务器上的不同的页⾯，或通过代理服务器重复该请求）4xx -- 客户端错误（发送错误，客户端有问题。

WEB测试需求在Web工程过程中，基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。

基于Web的系统测试与传统的软件测试不同，它不但需要检查和验证是否按照设计的要求运行，而且还要测试系统在不同用户的浏览器端的显示是否合适。

重要的是，还要从最终用户的角度进行安全性和可用性测试。

然而，Internet和Web媒体的不可预见性使测试基于Web的系统变得困难。

需要测试的项目：性能测试负载测试压力测试并发测试平台测试安全测试DDOS测试错误处理一、性能测试连接速度测试用户连接到Web应用系统的速度根据上网方式的变化而变化，他们或许是电话拨号，或是宽带上网。

当下载一个程序时，用户可以等较长的时间，但如果仅仅访问一个页面就不会这样。

如果Web系统响应时间太长（例如超过5秒钟），用户就会因没有耐心等待而离开。

另外，有些页面有超时的限制，如果响应速度太慢，用户可能还没来得及浏览内容，就需要重新登陆了。

而且，连接速度太慢，还可能引起数据丢失，使用户得不到真实的页面。

二、负载测试负载测试是为了测量Web系统在某一负载级别上的性能，以保证Web系统在需求范围内能正常工作。

负载级别可以是某个时刻同时访问Web系统的用户数量，也可以是在线数据处理的数量。

例如：Web应用系统能允许多少个用户同时在线？如果超过了这个数量，会出现什么现象？Web应用系统能否处理大量用户对同一个页面的请求？、三、压力测试压力测试负载测试应该安排在Web系统发布以后，在实际的网络环境中进行测试。

因为一个企业内部员工，特别是项目组人员总是有限的，而一个Web系统能同时处理的请求数量将远远超出这个限度，所以，只有放在Internet上，接受负载测试，其结果才是正确可信的。

进行压力测试是指实际破坏一个Web应用系统，测试系统的反映。

压力测试是测试系统的限制和故障恢复能力，也就是测试Web应用系统会不会崩溃，在什么情况下会崩溃。

黑客常常提供错误的数据负载，直到Web应用系统崩溃，接着当系统重新启动时获得存取权。

什么是接⼝测试什么是接⼝测试 接⼝测试是测试系统组件间接⼝的⼀种测试。

接⼝测试主要⽤于检测外部系统与系统之间以及内部各个⼦系统之间的交互点。

测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。

　 ⼀般来说，测试接⼝，就是指测试接⼝的功能，性能和稳定性测试，当然可能还有安全性测试。

这个⼊门系列会让你掌握接⼝的功能测试。

⼀般，来说我们听说到的接⼝基本上都是指HTTP或者HTTPS协议的接⼝测试，也就是⼀些web服务请求。

⼀个软件项⽬中，有很多接⼝，少的有⼏⼗个，多的有⼏百上千个接⼝。

这个时候，我们没有软件界⾯，没有具体的测试场景，只有⼀个接⼝描述⽂档。

我们需要把接⼝这样抽象的东西，通过软件测试的理论和⽅法去测试接⼝，找出接⼝的功能和安全性的缺陷。

接⼝有内部接⼝和外部接⼝。

内部接⼝就是开发⼈员⾃⼰开发的接⼝。

外部接⼝，好⽐⽹站调⽤微信⽀付和⽀付宝⽀付接⼝。

还有⼀些模块与模块之间的接⼝。

学习过Java或者⽤过selenium的⼈，应该对接⼝有了解。

你的⾃动化脚本调⽤了很多selenium的接⼝。

为什么要做接⼝测试 1、现在很多系统前后端架构是分离的，因为不同端（前段，后端）的⼯作进度不⼀样，所以我们要针对最开始出来的接⼝，以及需要调⽤其他公司的（银⾏，⽀付宝，微信，qq等）⼀些接⼝进⾏接⼝测试及验证数据，从安全层⾯来说，只依赖前端进⾏限制已经完全不能满⾜系统的安全要求（绕过前端太容易了），需要后端同样进⾏控制，在这种情况下就需要从接⼝层⾯进⾏验证。

在这种情况下就需要从接⼝层⾯进⾏验证。

前后端传输、⽇志打印等信息是否加密传输也是需要验证的，特别是涉及到⽤户的隐私信息，如⾝份证，银⾏卡等。

　2、如今系统越来越复杂，传统的靠前端测试已经⼤⼤降低了效率，⽽且现在我们都推崇测试前移也叫测试左移，希望测试能更早的介⼊测试，那接⼝测试就是⼀种及早介⼊的⽅式。

例如传统测试，你是不是得等前后端都完成你才能进⾏测试，才能进⾏⾃动化代码编写。

接⼝测试——fidder抓包教程（转）为什么要先学fiddler？学习接⼝测试必学http协议，如果直接先讲协议，我估计⼩伙伴们更懵，为了更好的理解协议，先从抓包开始。

结合抓包⼯具讲http协议更容易学⼀些。

抓firefox上https请求fiddler是⼀个很好的抓包⼯具，默认是抓http请求的，对于pc上的https请求，会提⽰⽹页不安全，这时候需要在浏览器上安装证书。

⼀、⽹页不安全1.⽤fiddler抓包时候，打开百度⽹页：2.提⽰：⽹页不安全⼆、fiddler设置1.打开菜单栏：Tools>Fiddler Options>HTTPS2.勾选Decrypt HTTPS traffic，⾥⾯的两个⼦菜单也⼀起勾选了三、导出证书1.点右上⾓Actions按钮2.选第⼆个选项，导出到桌⾯，此时桌⾯上会多⼀个⽂件：FiddlerRoot.cer,如图。

四、导⼊到firefox浏览器1.打开右上⾓浏览器设置》选项》⾼级》证书》查看证书》证书机构》导⼊2.勾选⽂件导⼊3.打开⽂件后，会弹出个框，勾选三个选项就完成操作啦。

如果还不能成功，那就重启浏览器，重启电脑了。

证书导出失败问题前⾔在点Actions时候出现Export Failed:The root certificate could not be located.最近有很多⼩伙伴在fiddler导出证书的时候，遇到⽆法导出的问题，收集了⼏种解决办法，供参考。

⼀、证书⽆法导出1.在点Actions时候出现Export Failed:The root certificate could not be located.⼆、⽆法导出问题解决⽅案1.⾸先确保安装的 Fiddler 是较新的版本，先关闭fiddler2.下载并安装Fiddler证书⽣成器下载地址：3.点Tools>Fiddler Options4.勾选Capture HTTPS traffic5.点Actions按钮，Export Root Certificate Desktop按钮导出到桌⾯三、删除证书1.有些⼩伙伴可能之前装过⼀些fiddler证书，安装的姿势不对，导致新的证书不起作⽤，这时候需要先删掉之前的证书了⽅法⼀：从fiddler⾥打开证书管理界⾯⽅法⼆、从⽂件管理器输⼊：certmgr.msc并回车2.搜索之前安装的fiddler证书，找到之后全部删除3.重新下载证书⽣成器：⼀路傻⽠式安装，遇到警告什么的直接忽略就⾏。

webservice接口测试方法1. 什么是webservice接口？webservice接口是一种基于标准的XML通信协议，用于不同平台和编程语言之间的数据交换。

它使用HTTP作为传输协议，并通过SOAP（简单对象访问协议）进行消息交互。

webservice接口可以在不同的系统之间实现远程调用，并支持跨平台、跨语言的集成。

2. webservice接口测试的重要性webservice接口在现代软件开发中扮演着重要的角色。

它们被广泛应用于各种系统之间的数据传输与通信，如企业应用集成、移动应用开发等。

因此，对webservice接口进行全面、准确地测试是确保系统功能正常运行的关键步骤。

webservice接口测试可以帮助发现并修复潜在的错误和问题，确保系统在不同环境下具有稳定性和可靠性。

通过测试，我们可以验证webservice接口是否正确地处理请求和响应，并检查其是否符合预期结果。

3. webservice接口测试方法3.1 环境准备在进行webservice接口测试之前，需要完成以下环境准备工作：•安装SOAPUI或其他适用于webservice接口测试的工具。

•确定待测试的webservice接口地址和相关参数。

•准备测试数据，包括正常情况下的输入数据和异常情况下的边界值数据。

3.2 测试用例设计在进行webservice接口测试之前，需要设计一组有效的测试用例来覆盖不同的功能和场景。

测试用例应该包括以下方面：•正常情况下的功能测试：验证webservice接口在正常情况下是否能够正确处理请求，并返回符合预期的结果。

•异常情况下的功能测试：验证webservice接口在异常情况下是否能够正确处理错误，并返回相应的错误信息。

•性能测试：验证webservice接口在高负载和大数据量情况下是否能够保持稳定性和可靠性。

•安全性测试：验证webservice接口是否具有足够的安全措施，以防止未经授权的访问和恶意攻击。

接⼝测试常⽤⼯具及测试⽅法（新⼿篇）⾸先，什么是接⼝呢？接⼝⼀般来说有两种，⼀种是程序内部的接⼝，⼀种是系统对外的接⼝。

系统对外的接⼝：⽐如你要从别的⽹站或服务器上获取资源或信息，别⼈肯定不会把数据库共享给你，他只能给你提供⼀个他们写好的⽅法来获取数据，你引⽤他提供的接⼝就能使⽤他写好的⽅法，从⽽达到数据共享的⽬的，⽐如说咱们⽤的app、⽹址这些它在进⾏数据处理的时候都是通过接⼝来进⾏调⽤的。

程序内部的接⼝：⽅法与⽅法之间，模块与模块之间的交互，程序内部抛出的接⼝，⽐如bbs系统，有登录模块、发帖模块等等，那你要发帖就必须先登录，要发帖就得登录，那么这两个模块就得有交互，它就会抛出⼀个接⼝，供内部系统进⾏调⽤。

⼀、常见接⼝：1、webService接⼝：是⾛soap协议通过http传输，请求报⽂和返回报⽂都是xml格式的，我们在测试的时候都⽤通过⼯具才能进⾏调⽤，测试。

可以使⽤的⼯具有SoapUI、jmeter、loadrunner等；2、http api接⼝：是⾛http协议，通过路径来区分调⽤的⽅法，请求报⽂都是key-value形式的，返回报⽂⼀般都是json串，有get和post等⽅法，这也是最常⽤的两种请求⽅式。

可以使⽤的⼯具有postman、RESTClient、jmeter、loadrunner等；⼆、前端和后端：在说接⼝测试之前，我们先来搞清楚这两个概念，前端和后端。

前端是什么呢，对于web端来说，咱们使⽤的⽹页，打开的⽹站，这都是前端，这些都是html、css写的；对于app端来说呢，它就是咱们⽤的app，android或者object-C（开发ios上的app）开发的，它的作⽤就是显⽰页⾯，让我们看到漂亮的页⾯，以及做⼀些简单的校验，⽐如说⾮空校验，咱们在页⾯上操作的时候，这些业务逻辑、功能，⽐如说你购物，发微博这些功能是由后端来实现的，后端去控制你购物的时候扣你的余额，发微博发到哪个账号下⾯，那前端和后端是怎么交互的呢，就是通过接⼝。

web 系统测试分为 6 个部分：功能测试性能测试（包括负载/压力测试）用户界面测试兼容性测试安全测试接口测试(备注：红色为提供的方法与工具；蓝色为可选项，因Web系统的功能与要求而决定)1 功能测试1.1 链接测试链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。

链接测试可分为三个方面：一、是否所有链接按指示的那样链接到了该链接的页面；二、所链接的页面是否存在；三、保证Web应用系统上没有孤立的页面（孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

）采取措施：采用自动检测网站链接的软件来进行。

推荐软件：Xenu Link Sleuth 免费 绿色免安装软件HTML Link Validator 共享(备注：动态生成的链接无法测试)1.2 表单测试用户通过表单提交信息时，都是希望表单能正常工作。

一、依据表单填写内容的格式，字符与特殊字符等具体的要求结合数据校验对其进行测试。

二、对表单提交的完整性，以验正服务器信息的正确性。

如所属省份与所在城市是还匹配的完整性需求。

1.3 数据校验根据业务规则需要对用户输入进行校验，需要保证这些校验功能正常工作。

是对表单的输入内容进行校验，确认系统能够接受。

该项测试和表单测试可能会有一些重复。

1.2和1.3的采取措施： WinRunner（QTP）工具1.4 cookies测试Cookies通常用来存储用户信息和用户在某应用系统的操作，当一个用户使用Cookies访问了某一个应用系统时，Web服务器将发送关于用户的信息，把该信息以Cookies的形式存储在客户端计算机上，这可用来创建动态和自定义页面或者存储登陆等信息。

如果Web应用系统使用了Cookies，就必须检查Cookies是否能正常工作。

测试的内容可包括Cookies是否起作用，是否按预定的时间进行保存，刷新对Cookies有什么影响等。

安全性测试安全性测试主要是测试系统在没有授权的内部或者外部用户对系统进行攻击或者恶意破坏时如何进行处理，是否仍能保证数据和页面的安全。

测试人员可以学习一些黑客技术，来对系统进行攻击。

另外，对操作权限的测试也包含在安全性测试中。

具体测试内容如下：执行添加、删除、修改等动作中是否做过登录检测。

退出系统之后的操作是否可以完成。

所有插入表单操作中输入特殊字符是否可以正常输正常存储，特殊字符为：！?#￥%……—*（）~——-+=[]{}、|；：‘”？/《》<>，。

在带有参数的回显数据的动作中更改参数，把参数改为特殊字符并加入操作语句看是否出错。

测试表单中有没有做标签检测，标签检测是否完整。

在插入表单中加入特殊的HTML代码，例如：<marquee>表单中的字本是否移动？</marquee>。

系统安全性测试的十个重要问题1:没有被验证的输入测试方法：数据类型（字符串，整型，实数，等）允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值（枚举型）特定的模式（正则表达式）2:有问题的访问控制测试方法：主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址；例：从一个页面链到另一个页面的间隙可以看到URL地址，直接输入该地址，可以看到自己没有权限的页面信息；3:错误的认证和会话管理分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。

浏览器缓存：认证和会话数据作为GET的一部分来发送认证和会话数据不应该作为GET的一部分来发送，应该使用POST，例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html 语法解析出来；4:跨站脚本（XSS）分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料；测试方法：•HTML标签：<…>…</…>•转义字符：&amp(&)；&lt(<)；&gt(>)；&nbsp(空格)；•脚本语言：<scrīpt language=‘javascrīpt’>…Alert(‘’)</scrīpt>•特殊字符：‘’ < > /•最小和最大的长度•是否允许空输入例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html 语法解析出来5:缓冲区溢出没有加密关键数据分析：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码。

一、基础知识1、什么是软件测试，软件测试的目的是啥？2、什么是测试计划？都包括啥？什么是测试方案，什么是测试策略？测试方案包含哪些内容？测试用例设计方法有哪些？测试用例内容有哪些？3、测试用例为什么需要分级，如何分级别？测试用例需要哪些人来评审？评审的目的是什么？好的测试用例关键点是什么？不能发现BUG的测试用例不是好的测试用例吗？4、测试分为哪几个阶段？5、软件测试类型都有哪些？你进行过哪些测试，擅长什么?6、软件缺陷等级划分7、缺陷生命周期8、测试生命周期9、为什么要进行交叉测试？10、α、β测试是什么，两者的区别是什么？11、什么是驱动模块、桩模块12、什么是白盒测试，有几种方法13、测试结束标准14、测试报告包含哪些内容？15、项目中的需求，测试可以和客户沟通吗？不确定的需求怎么解决？16、你认为测试人员需要具备哪些素质？开发犯低级错误怎么办？开发说不是bug怎么办？你为什么能够做测试这一行？你的职业规划？17、如何测试纸杯二、接口测试1、什么是API？什么是API测试？2、常见的API测试点有哪些？API测试中使用的一些常用协议？用于API测试的工具？最常用的API文档模板？3、API和Web服务之间的区别？4、什么是Soap？什么是Rest API？SOAP和REST的区别？5、API常见测试有哪些？API测试有哪些优势？API测试中验证哪些内容？6、API测试、单元测试和UI测试之间的区别？7、API测试中可能会遇到哪些问题？8、执行API测试时我们一般会发现哪些BUG类型呢？9、接口测试用例的编写要点有哪些？10、列举一些最常用的HTTP方法？常见的响应状态码及意义11、可以使用GET请求而不是POST请求来创建资源吗？POST和GET有什么区别？12、PUT和POST方法有什么区别？13、接口产生的垃圾数据如何清理？测试的数据你放在哪？14、你们怎么做的参数化？15、接口测试的步骤有哪些？API测试设计的原理是？16、异步接口怎么测试？17、请详细阐述接口测试和UI测试在测试活动中是如何协同测试的？18、怎么设计接口测试用例？19、下个接口请求参数依赖上个接口的返回数据？依赖于登录的接口如何处理？依赖于第三方数据的接口如何进行测试？20、不可逆的操作，如何处理，比如删除一个订单这种接口如何测试21、json和字典dict的区别？三、性能测试1、性能测试包含了哪些软件测试（至少举出3种）？2、请问什么是性能测试、负载测试、压力测试？3、在给定的测试环境下进行，考虑被测系统的业务压力量和典型场景？4、什么时候可以开始执行性能测试？5、简述性能测试的步骤。

【转】单元测试、接⼝测试、功能测试的区别 先来看看功能测试如何进⾏的：编写测试⽤例，测试⽤例当中最主要的是测试步骤和预期结果；测试⼈员根据测试⽤例执⾏操作步骤，然后通过眼睛和思考判断实际结果与预期结果是否相等。

如果相等，测试通过；如果不相等，测试失败。

⾃动化测试要做的事情与功能测试是⼀致。

这⾥的⾃动化主要包含三个层⾯的⾃动化，单元测试⾃动化，接⼝测试⾃动化和web测试⾃动化。

当然，不同层⾯的⾃动化关注点是不⼀样的。

单元测试⾃动化，调⽤被测试的类或⽅法，根据类或⽅法的参数，传⼊相应的数据。

然后，得到⼀个返回结果。

最终断⾔返回的结果是否等于预期结果。

如果相等，测试通过；如果不相等，测试失败。

所以，这⾥单元测试关注的是代码的实现与逻辑。

元测试是测试中的最基本的测试，也是测试中的最⼩单元，它的对象是函数对象，也可以包含输⼊输出，针对的是函数功能或者函数的内部逻辑⽅⾯。

并不包含业务逻辑。

接⼝测试⾃动化，根据接⼝⽂档，到底是传get请求呢？还是post请呢？调⽤被测试的接⼝，构造相应的数据（id=1,name=zhangsan），得到返回值，是200成功，并返回查询结果。

还是10021，⽤户名不能为空。

不管输⼊的参数是怎样的，我们都将得到⼀个结果。

最终断⾔返回的结果是否等于预期结果。

如果相等，测试通过；如果不相等，测试失败。

所以，接⼝测试关注的是数据。

只要数据正确了，功能就做成⼤半，剩下的⽆⾮是如何把这些数据展⽰在页⾯上。

web测试的⾃动化，这种测试更贴近⽤户的⾏为，模拟⽤户点击了某个按钮，向个输⼊框⾥输⼊了什么。

但是⽤户可以看到登录成功了，但web⾃动化并不知道它刚才的点击有没有⽣效。

所以，要找“证据”，⽐如，登录成功后页⾯右上⾓会显⽰“欢迎，xxx”。

这就是登录成功的有⼒“证据”。

于是，当web⾃动化登录成功后，就去获取这个数据进⾏断⾔。

断⾔如果相等，测试通过；如果不相等，测试失败。

所以，web⾃动化的关注点⽤户操作形为，页⾯上真正的按钮和输⼊框是否可⽤。