系统测试案例分析.pptx

,系统测试案例分析,案例一,性能测试,/,压力测试,项目介绍,Page,3,针对某公司办公自动化（,OA,）系统的负载压力测试，,采用专业的负载压力测试工具来执行测试。系统采用,B/S,架,构，服务器是,一台,PC Server,（,4,路,2.7GHz,处理器，,4GB,内存），安装的平台软件包括,Microsoft Internet,Information Server5.0,，,ASP.NET,，,SQLServer 2000,。,使用,2,台笔记本电脑安装测试工具模拟客户端执行“登,录”业务操作。,测试目标,Page,4,1,）试系统分别在,2M,、,4M,网络宽带下，能够支持用户登录的最大并发用户数；,2,）测试服务器的吞吐量（即：每秒可以处理的交易数），主要包括服务器,CPU,平均使用率达到,85%,时系统能够支持的最大吞吐量和服务器,CPU,平均使用率达到,100%,时系统能够支持的最大吞吐量。,性能需求：,指标“响应时间”合理范围为,05,秒。,测试策略,Page,5,1,）设计出两种场景,2M,网络和,4M,网络环境下进行模拟测试。,2,）其中选定登录业务进行测试，加压策略采取逐步加压的方式。,测试结果,-2M,网络,Page,6,问题：,1.,在满足系统性能指标需求（响应时间,0-5,秒）时，系统所能承受的最大并发数？,2.2M,宽带环境下，,CPU,使用是否合理？宽带是否是系统瓶颈？,测试结果,-4M,网络,Page,7,问题：,1.,在满足系统性能指标需求（响应时间,0-5,秒）时，系统所能承受的最大并发数？,2.4M,宽带环境下，,CPU,使用是否合理？增加宽带是否是提高系统性能的有效方法？,结果分析,Page,8,优化建议,Page,9,案例二,性能测试,/,压力测试（集群环境）,项目介绍,Page,11,模拟多用户登录,工作流系统,，针对代表性工作流,A/B/C,连续创建,20,个实例。在单机和集群测试环境分别进行负载压力性能测试。,单机环境下测试用机与一台应用服务器连接在同一交换,机上，压力直接加在一台应用服务器上。,集群环境下测试用机与服务器连接在同一台交换机上，,压力由负载均衡模块分摊到两台应用服务器上，数据服务器,不作集群处理。,测试需求要点：,1,）随着负载的增加，采用集群方案是否对此应用系统有效,2,）服务器资源是否使用合理,测试策略,1,）单机测试环境,2,）集群测试环境,Page,12,测试结果,客户端性能测试结果,Page,13,客户端性能提升：,120,并发用户：,19,倍以上,240,并发用户：,3,倍以上,测试结果,-,单机环境的服务器端性能,-A,Page,14,CPU,占用率递增,50%,测试结果,-,单机环境的服务器端性能,-B/C,Page,15,CPU,占用率超,85%,测试结果,-,集群环境的服务器端性能,-A,Page,16,服务端资源占用情况绝对值变化不大，但,CPU,占用递增,20%,左右较为稳定,问题,1,）集群是否比单机环境效率高？,2,）单机与集群环境下，应用服务器与数据服务器资源利用,率如何？是否存在瓶颈？单机环境与集群环境相比，哪种资,源占用率较高，哪种资源占用率递增较快？,3,）此系统是否可以采用集群的方案？,Page,17,案例三,Web,项目安全性测试,安全性测试案例分析,Page,19,WEB,的安全性测试主要从以下方面考虑：,1.SQL Injection(SQL,注入,),2.Cross-site scritping(XSS):(,跨站点脚本攻击,),3.Email Header Injection(,邮件标头注入,),4.Directory Traversal(,目录遍历,),5.exposed error messages(,错误信息,),1.SQL,注入,Page,20,Gamefinder,1:,对于未明显标识在,URL,中传递参数的,可以通过查看,HTML,源代码中的,FORM,标签来辨别是否还有参数传递,.,在,和,的标签中间的每一个参数传递都有可能被利用,.,2:,当找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的,URL,如,HTTP:/DOMAIN/INDEX.ASP,?ID=10,1.SQL,注入,Page,21,例子：在登录时进行身份验证时，通常使用如下语句来进行验证：,sql=select*from user where username=username and pwd=password,如 输入,duck/index.asp?username=,admin or 1=1,&pwd=,11,，,SQL,语句会变成以下：,sql=select*from user where username=,admin or 1=1,and password=,11,与,admin,前面的,组成了一个查询条件,即,username=admin,接下来的语句将按下一个查询条件来执行,.,接 下来是,OR,查询条件,OR,是一个逻辑运 算符，在判断多个条件的时候，只要一个成立，则等式就成立，后面的,AND,就不再时行判断了，也就是 说我们绕过了密码验证，我们只用用户名就可以登录,.,如 输入,duck/index.asp?username=,admin-,&pwd=,11,，,SQL,语 句会变成以下,sql=select*from user where name=,admin-,and pasword=,1,1,与,admin,前面的,组成了一个查 询条件,即,username=admin,接下来的语句将按下一个查询条件来执行,接下来是,“-”,查询条件,“,-,”是忽略或注释,上 述通过连接符注释掉后面的密码验证,。,1.SQL,注入,如何预防？,Page,22,从应用程序的角度,：,转义敏感字符及字符串,(SQL,的敏感字符包括,“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”/”,”.”,”;”,”,”-”,”%”,”0 x”,”=!-*/()|”,和,”,空格,”).,屏蔽出错信息：阻止攻击者知道攻击的结果,在服务端正式处理之前提交数据的合法性,(,合法性检查主要包括三 项,:,数据类型,数据长度,敏感字符的校验,),进行检查等。最根本的解决手段,在确认客 户端的输入合法之前,服务端拒绝进行关键性的处理操作,.,从测试人员的角度,，,在程序开发前,(,即需求阶段,),我们就应该有意识的将安全性检查应用到需求测试中,例如对一个表单需求进行检查时,我们一般检验以下几项安全性问题,:,需求中应说明表单中某一,FIELD,的类型,长度,以及取值范围,(,主要作用就是禁止输入敏感字符,),需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序应给出不包含任何代码或数据库信息的错误提示,.,2.,跨站点脚本攻击,Page,23,首先,找到带有参数传递的,URL,如 登录页面,搜索页面,提交评论,发表留言 页面等等。,其次,在页面参数中输入如下语句,(,如,:Javascrpt,VB scrpt,HTML,ActiveX,Flash),来进行测试：,alert(document.cookie),最后,当用户浏览 时便会弹出一个警告框，内容显示的是浏览者当前的,cookie,串,这就说明该网站存在,XSS,漏洞。,试想如果我们注入的不是以上这个简单的测试代码，而是一段经常精心设计的恶意脚本，当用户浏览此帖时，,cookie,信息就可能成功的被 攻击者获取。此时浏览者的帐号就很容易被攻击者掌控了。,2.,跨站点脚本攻击,如何预防？,Page,24,从应用程序的角度,：,对,Javascrpt,VB scrpt,HTML,ActiveX,Flash,等 语句或脚本进行转义,.,在 服务端正式处理之前提交数据的合法性,(,合法性检查主要包括三项,:,数据类型,数据长度,敏感字符的校验,),进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端 拒绝进行关键性的处理操作,.,从测试人员的角度,:,在需求检查过程中对各输入项或输出项进行类型、长度以及取 值范围进行验证，着重验证是否对,HTML,或脚本代码进行了转义。,执行测试过程中也应对上述项进行检查。,3.,邮件标头注入,Page,25,如果表单用于发送,email,表单中可能包括“,subject”,输入项（邮件标题），我们要验证,subject,中应能,escape,掉“,n”,标识。,因为“,n”,是新行，如果在,subject,中输入“,helloncc:spamvictim,”,，,可能会形成以下,Subject:hello,cc:spamvictim,如果允许用户使用这样的,subject,，那他可能会给利用这个缺陷通过我们的平台给其它用 户发送垃圾邮件。,4.,目录遍历,Page,26,如何进行目录遍历测试：,目录遍历产生的原因是：程序中没有过滤用户输入的“,./”,和“,./”,之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。,测试方法：在,URL,中输入一定数量的“,./”,和“,./”,，验证系统是否,ESCAPE,掉了这些目录跳转符,.,如何预防目录遍历？,限制,Web,应用在服务器上的运行,进 行严格的输入验证，控制用户输入非法路径,5.,错误信息,Page,27,如何进行目录遍历测试：,首 先找到一些错误页面，比如,404,或,500,页面。,验证在调试未开通过的情况下，是否给出了友好的错误提示信息比如“你访问的页面不存 在”等，而并非曝露一些程序代码。,如何预防目录遍历？,测试人员在进行需求检查时，应该对出错信息 进行详细查，比如是否给出了出错信息，是否给出了正确的出错信息。,系统测试小结,功能测试,性能测试,压力测试,容量测试,安全性测试,用户界面测试,安装,/,卸载测试,文档测试,回归测试,Thank You!,