测试就是要做到编程像开发，数据库管理类似dba，业务不逊于产品，放出去就能独当一面，收回来能够镇宅辟邪。

貌似选了一条超难的路来走。

我的懒人生涯呀～～～～～～～～

前段时间接手了对网站进行安全测试的任务。

刚接到的时候心里非常紧张，因为什么都不懂的，以前也没有接触过这个方面的。虽然小组有人共享过一点东西，那毕竟是理论，大家对于实际操作都是是懂非懂的。

后来找了很多有关这方面的东西，于是概括一下，主要就是测试下面那些内容了(一些文绉绉的理论就不讲啦，我只是总结测试动作)：

一、没有进行xss过滤的情况:

a、url中的所有参数值用  '"></script><script>alert("hello,my girl!")</script> 代替测试:

现象：跳出“hello，my girl!”提示框；

b、text框输入 '"></script><script>alert("hello,my girl!")</script>，点击提交：

现象：没有正常写入数据库；或查看阅览页面或者从数据库显示时，没有被转义；

c、副文本编辑器输入<img nerror = "alert(123)" src=http://xxx.com>;

现象：没有正常写入数据库；查看阅览页面或从数据库显示时，出现js错误或者排版出现问题；

d、在数据库字段中写入'"></script><script>alert("hello,my girl!")</script>，查看页面显示：

现象：跳出alert；或者页面出现js问题等；查看源代码时，没有进行转义；

注意点：

1、很多时候，html代码的<title >和<meta  >中的参数会显示数据库的产品名呀，或者其他有可能显示乱码的参数，所以这种地方也需要注意，以'"/></script><script>alert("hello,my girl!")</script>为例，就会跳出alert值，或者显示</script><script>alert("hello,my girl!")</script>不应该显示的值，因为被",或者/>拦截了。

2、有些html链接，如果url是×××.产品名.html的时候，如果产品名或者其他参数有可能会是乱码的时候，它会把前面的一些单引号或者双引号先优先使用了，以'"/></script><script>alert("hello,my girl!")</script>为例，url = "×××.'"/></script><script>alert("hello,my girl!")</script>"，这样的情况的话，页面就会显示/></script><script>alert("hello,my girl!")</script>"这样的不应该显示的值。

3、如果你的网站有搜索框，那就用包含这样的值的产品名进行搜索，有可能搜索不出来，有可能是页面跳出alert值，或者页面出现了不该出现的代码行等。

4、主要点就是输入框，显示，链接，url输入，搜索等。

二、关于crsf：

1、搜索在所有我数据提交的地方，是否都加了token值；

2、修改数据提交出的crsf，再提交，是否能正常提交，是否提示数据超时；

3、每个不同的用户登录后，token值是否都是新值。

注意点：

a、虽然加token貌似看起来不难，看到有什么提交按钮就加上token就好了，所以很多时候开发会忘记软更新的时候加上token。比如说，删除这个动作是每条数据产生的时候，跟在数据后面的url链接。我在测试这个的时候，对应的开发就忘记了所有软更新的token添加。所以这个地方需要特别注意；

b、还有一点是，每个用户登录后的token是不一致的。比如说a用户这一次登录后token值是1111，b用户这一次登录后2222.但登录后，不管什么操作，token值就是一致了。意思是比如a用户产生的token值是1111，那这个值将伴随他直到他下一次重新登录。

这次我测试的部分只有这两个部分，关于sql注入等，还没有涉及，下次有机会整理。

两天只学了vuser的第九十几页，想学的点还没有学到，自我感觉学习能力太差了。

今天只是把这个英语版的lr，都熟悉了一阵，具体怎么用，还是一无所知。

郁闷！

续上篇：

如果有人跟我一样使用ie7删除后的ie6，可能够呛的。

因为删除ie7后，没有删除干净留下的ie6其实只是一个留在c盘的内核。

本机上有三个浏览器，一个firefox，一个ie，一个360浏览器。

看到ie7.0删掉后留下的ie6.0,我是很高兴的，迫不及待地用lr去录制脚本。提醒设置的浏览器不支持。我在ie工具设置ie6.0为默认浏览器后，提示没有默认的浏览器设置。

明明已经设置ie6.0为默认浏览器了，点击qq空间按钮也是用ie打开了。又根据网上的说明去查看注册表的ie浏览器设置，也已经是默认浏览器的设置。但是lr录制却仍是提示没有默认的浏览器。

如此这般地折腾了老半天，设置跟恢复设置之间也重启了四五次的机器。可是一点用都没有。

没有办法，只好把高手-大师找来看看。

大师一看就开始找ie文件夹，文件夹里面的东西已经被我删的空空如也。重装过7.0再删除后里面的东西也没有再生。大师看了看ie6.0的属性，告诉我，这个浏览器没有实质的东西了，你现在用的也只是留在c盘的内核了。

于是他把属性里的地址考到starting recoding - optiong - browser -Specify... - C:\WINDOWS\system32\dllcache\iexplore.exe

然后一试就可以了。

大师毕竟是大师，我都折腾一下午了，他一下两下就搞定了。啥时候我也能成那样的高手呀，憧憬ing。。。

因为这些日子我们测试组的学习计划是lr，然后又大家都合用一台测试机不方便，所以想在自己机器装个lr，随时可以学习使用。

本机的ie版本是7.0的，lr是不支持的，得回复ie6的。

太相信360了，还说是干净彻底地删除的，于是就用360的软件管理的删除功能删的。谁知，它倒是删得不干不净。不该删的删掉了，ie6恢复不了；如果能彻底删除ie的话也好，至少我可以重新安装。于是处在一个既不能使用，也不能重新安装ie6的尴尬状态。

找了很多方法，手工，软件都不能彻底删除。死心了。抱着试试看的心情，重新安装了ie7，然后通过系统的控制面板规规矩矩地删除。重启。

惊喜的情况出现了，ie7删掉了，不该删的东西也没有删：ie6正常回复了，并且可以正常使用。本来打算如果还是不能正常安装ie6的话，就重新安装ie7，再装一个虚拟机来使用lr功能吧。现在倒是不用再去麻烦了。很好。

下次记得用系统自带的删除系统删除，删不干净再用外来删除软件删除。毕竟自己的东西更兼容一点，而外来的东西可能并不能完全理解系统本身，所以就会出现像今天我用360删除ie7同样的问题了。

regedit;
software -> oracle -> nls_lang -> NLS_LANG=“SIMPLIFIED CHINESE_CHINA.ZHS16GBK"

我正式的作为测试是2010年1月28日开始的，到现在也快要半年了。有辛苦有欢乐有迷茫，也有埋怨。

把埋怨都删掉了，重新开始吧。

今天开发的技术负责人，跑过来跟我们测试的负责人说：怎么这个你们没测出来呢？

我刚好负责那一块的，测试这个页面的时候是刚来，是任人摆布的阶段，开发可以，测试可以，外包可以，不是外包的也可以。想当初那个时候激情四射地测出来很多bug，但是一个一个地都被打回，不是说不会出现这样的情况，就是说还没做呢，逻辑问题说成是需求不明。。。。等等，任人宰割的时候。当然目前仍是，不过已经没有没头苍蝇一样，已经知道有所坚持了。

今天开发来说的那个，刚好是那个时候提的，那个时候开发跟我拍了胸脯保证不会出现的情况，我不知道有多少人拍过，但是真的不止一个，我很想保留证据呀，可是我又没有随时的录音机。

所以，那个开发的负责人这么说就真的很冤枉了，我立马上火来了。。。。。

唉，发火过后发现自己其实没必要，这个一定程度上自己的确是有责任，焦急的程度就显得自己推卸责任了。想当初跟自己没有坚持，不知道什么该坚持的有关系，跟这个责任人没有关系，我上什么火呢。

很多时候，测试的时候总是会碰到一些没有把握的事情，不知道是否是bug，包括是否是数据问题，是否是自己范围太广的问题。在第一个公司的时候，不管是什么情况都是不允许存在程序错误的情况，在这里美其名曰是灵活运用，尺度放得很宽，开发能做就行，不能做就算了。让我很迷糊。

怎么分辨这样的问题呢，很多时候还是得靠测试人有多少货了，能分析利弊，更能分析风险，所以还是要好好努力，学会怎么处理这样的事情，而不是争辩。

不小心发现网站的一个js问题，后来发现好像都有唉。发表日志的页面也有。

不是觉得怎么测试网站也有bug呀，相反有点好玩，包容下呗

根据以下的参照配置了ie和paros，可是访问测试网站的时候，网站却怎么也打不开，貌似提示的是tomcat的问题。

重新配置了好几次，又仔细完善了我的电脑的环境配置，还是死活不行。

去吃中饭的时候，突然想起来可能跟tomcat有关系。因为有个同事需要用，他那边的环境不好用，所以把环境借给他，把tomcat启动了。

中午将tomcat关掉，重新配置了一下环境，开启测试网站，果然成果了。

原因是，因为本地启动的tomcat配置的端口是8080的，而paros访问外网的端口也需要localhost的8080，所以导致总是失败。

一下为paros配置手顺，以供大家参考：

安装JRE<!--[if !supportLists]--> <!--[endif]-->首先确保已安装JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ]注意：一定要先安装JRE，然后再安装paros proxy，如果先安装paros proxyr后安装JRE，paros proxy将无法启动。<!--[if !supportLists]-->如果没有JRE，可以通过以下地址下载并安装：http://java.sun.com/j2se注意：如果找不到JRE，也可以下载相同版本的JDK，JDK会带有JRE。配置JRE环境变量：<!--[if !supportLists]--> <!--[endif]-->首先，右击我的电脑－属性－高级－环境变量进入环境变量设置对话框。<!--[if !supportLists]-->设置PATH环境变量，在PATH环境变量中输入JRE的安装路径。如JRE的安装目录为：c:\JRE. 在PATH环境变量中加入c:\JRE<!--[if !supportLists]--><!--[endif]-->新建CLASSPATH环境变量，在CLASSPATH环境变量中输入LIB路径。安装和配置paros proxy应用程序 
下载地址：http://sourceforge.net/projects/paros/ 安装： 
如果下载的是WINDOWS版本，安装比较简单。 
如果下载的是UNIX或其它平台的版本，则需要手动将程序解压到一个新的目录，并单击.JAR文件运行程序。
配置： 
paros需要两个端口：8080和8443,其中8080是代理连接端口，8443是SSL端口，所以必须保证这两个端口并未其它程序所占用。（查看端口命令：打开DOS命令窗口，输入 netstat查看目前使用的端口） 
如果在安装完成,启动应用程序时，出现初始化错误，极大的可能就是因为这个端口被其它程序所占用。
配置浏览器属性：打开浏览器（如IE），打开工具－选项－连接－LAN设置－选中proxy server,proxyname为：localhost,port为：8080 
如果你的计算机运行于防火墙之下，只能通过公司的代理服务器访问网络，你还需要修改PAROS的代理设置，具体的方法是：打开paros-工具－Options-connection,修改"ProxyName" and "ProxyPort"两项为代理服务器的名称和端口. 如果你希望其它的平台可以通过你本地机上的PAROS PROXY来访问WEB SERVER，你需要将本地机上的PAROS PROXY的IP设置为（比如：192.168.0.1）而不是127.0.0.1，因为127.0.0.1只允许本地机使用该应用程序.具体操作方法为：打开paros-工具-options-local proxy，将address

冒烟测试，在我感觉，这个测试应该就是将所有流程走通，且不可发生系统错误。

上头给我一个写冒烟测试案例的任务，对那个模块不熟，而这次又是两个网站整合在一起的统合项目，一些具体的内容不可能有人特意来讲，只说跟保持以前的功能不变，其实连pd和项目经理也不是特别清楚到底有多少个功能。所以我只好一边看以前的测试案例，一边找以前测试过的开发过整合系统的老员工确认。要命的是，以前的测试案例不知道怎么搞得，好多貌似是在其他项目那边拷过来的，有的没的一股脑的，两个系统一起打开，要将所有的情况弄清楚根本就是难度太大，我不能保证我想到了所有情况。

话说回来，冒烟测试应该只要走通所有可能的流程，就可以了吧？！我一直这么认为的，数据库是否操作正确，是否正确添加修改，应该是在正式测试的时候的事情吧？

可是看了一些网上说的，居然是要各个情况都细想到，数据库也要设想到，那这个时间就太长了吧。那执行tc那个测试阶段是否就没有很大的意义了，至少重要性是少了。

问了老员工测试，她说就对着tc，觉得重要的拷过来就行了，注意数据库。。。。

如果是重要的，我觉得如果数据库的话，除了页面显示其他不是都挺重要了吗？执行所有流程，看数据库是否正常添加什么的。冒烟测试的测试案例不是跟tc差不多了吗？

到底什么是冒烟测试呢？案例应该写到什么程度呢？有知道的大师指点一二吧~

我的ie版本是7的，装了ie dt后，只在工具栏看到一个绿色的箭头，可点击之后不能用。重启浏览器也没有用，重启机器了也没有用，我只能推测可能这个插件不支持ie7了。可是测试的时候一定要用ie6或者ie7，所以我只能先看看能不能解决，再去考虑要不要换成ie6版本的。

网上搜索了一下，很幸运地找到有前辈的经验，一下供大家共享：

网友vveen提出了好几个解决方案：
1、Tools -> Internet options -> Security Tab -> Local Intranet -> Custom Level -> Run ActiveX Control or PlugIn (Administrator Mode)
2、Tools -> Internet Options -> Programs -> Manage add-ons -> IE Developer Toolbar BHO -> Enable
3、Tools -> Internet Options -> Advanced -> Enable third party browser-extensions (requires restart)

我试了几种，最后是第二种解决了。其实我在先前用过 工具--管理加载项，来启动过这个工具，可是没有起作用。现在换了另一种途径居然起作用了。真不可思议。

我看到人家都总结很多有用的，我都觉得我自己乱乱的，没有什么可以总结的。一直以来都凭感觉做事，看了一也做测试的同学的测试空间，居然总结了那么多，那么齐的经验，让我觉得心虚。

我是不是也得在做事的时候想想该在总结中成长了呢。

其实，这几个月过得还真是过得不大太平。一直以来以为自己彬彬有礼，态度也是谦逊的，做事虽然不大愿意加班，但还是努力认真的。可是这几个月，颠覆了我这样的观念。

第一，让我重新考虑怎么处理人际这个直接难题。一直以来，别人对我的评价就热情，活泼。我也一直认为自己如此。可能在时间的消磨中，有些老旧去了吧。因为不感兴趣，很多东西我都不会去注意，也没有想过，要跟别人保持步调一致，才能跟别人有更多的话题，才能拉近距离；偶尔也可能有些自以为是的清高吧，很多他们说得那些有颜色的，无聊的我都从来不想去搭腔的。可能如此这般，因为少了交流，可能会让别人觉得假，觉得深沉，所以别人对你怎么也都是客客气气，就像隔了一层膜；再后来就是因为长期只看不答，使我都已经不知道他们喜欢什么答案了，说得可能他们根本就是不懂，或者自己的跳跃性思维对于大众反而不会有人来跟着你的步骤，所以说话往往冷场了，大家都讨了没趣。尴尬了几次之后，我已经尽量会在回答的时候考虑不要思维跳跃太大，让大多数人都能听懂我说的话了，再就是即使以前觉得没有意义，我也会注意一些话题积累，然后就是努力跟上时代不要背时。希望自己的努力能让自己走得路更广些，因为做测试就是要各路通达，才会好行事。

第二，努力丢掉自以为是的客气。一直都是客气有礼，除了朋友，我对于同事，不知什么时候起，已经能不麻烦就尽量自己解决了。就像头几天去公司，对面的帅哥听说我没有吃早饭一定给我一套早餐，我却不知趣地拒绝了，只是为了保持客气。后来他对我也很‘客气’，大家吃的零食，他一般不吃我的，别人的都会自己去抢，这是不是也是一种尴尬？现在我也学着不客气，因为至少还有一种方式，那就叫礼尚往来，虽然不是刻意。虽然目前还做不到去跟假装跟别人抢食，但至少还能坦然接受。也还没有开放到大家跟我抢食，毕竟也会慢慢好转。自己放开了，别人也会察觉到的吧。虽然这是小事，但也是为人之道吧。

第三，努力学会不别扭。其实对于同事，我不能跟对朋友一样自在，甚至在公司吃饭我都有些不自在。不知道别人有没有跟我一样的存在。对话的时候我会小心翼翼，唯恐自己的大大咧咧伤害了人家幼小心灵；搭人家车的时候我会好像欠了多大人情一样不自在。。。。。不知不觉，不知道在什么时候我将自己孤立在了一个小岛上，别人看不到我，我也防范着别人伤害我。现在已经在改善，有些话就直接说了，不再斟酌，搭车，我也努力让自己自然了，只是想好要找机会好好感谢。。。。。

第四，就是对那些开发态度可能要更耐心些吧。或者也不要太计较他们总是找借口把bug打回。虽然说跟他们说只是记录跟踪，可是如果只是如此的话，即使被打回也是可以记录跟踪的。在这个点上，大家都是计较敏感的。如果这样，那就只要把问题解决了就行了，自己再多多动笔吧。我现在要做的可能不是能让自己方便跟踪的问题，而是忍过这个新生阶段，学会怎么跟他们相处，等到有资本了，挨到老人家了，再来争取自己更多的权利吧。可能什么都有个先后顺序的。

我想，这段时间，我其实面对的更多的是人际关系。因为跟一个同事的关系紧张，一个下属对于自己好意的误会，还有就是某位同志居然浑身发抖地跟我来急的时候，我就开始要反省我自己了。我觉得自己跌倒过，因为毕竟是个大办公室，一举一动大家都会看到，喜不喜欢大家也都会知道，当我坐在位置上，哭的上气不接下气的时候，大家都寂静无声过。我也想逃跑放弃过，但在一个地方跌倒了，如果你先不站起来，怎么逃跑呢？至少得先爬起来吧。如果单单停留在自问自己善良努力，却还是被这么委屈地对待的思想的话，我想，我永远都不可能站得起来，面对社会吧。

所以等我狠狠地请了两天假之后，回到公司，忍着眼里的泪水，重新坐在位置上的时候，我就已经决定面对。小鹿告诉我，很快就会过去的。是的，第二天，我已经没有想起很多次，过了一个星期，我相信，大家都已经忘记了。

我们会处得越来越融洽。包括同事，包括最爱的人。即使可能中间还会遇到感觉很差的事。只不过是回到现实而已，从梦想的公主跌落到面对现实的天使而已。