Web应用软件测试(二)

Web应用软件测试(二)

(总分：50.00，做题时间：90分钟)

一、单项选择题(总题数：25，分数：50.00)

1.所有的应用服务器都应提供的服务是______。

（分数：2.00）

A.查找服务

B.事务服务

C.安全服务

D.以上全部√

解析：

2.在入侵检测的基础上，锁定涉嫌非法使用的用户，并限制和禁止该用户的使用，这种访问安全控制是

______。

（分数：2.00）

A.入网访问控制

B.权限控制

C.网络检测控制√

D.防火墙控制

解析：

3.以下关于Web应用软件测试的说法中，正确的是______。

（分数：2.00）

A.对Web应用软件进行性能测试时，不需要进行压力测试

B.内容测试是Web应用软件易用性测试的一项重要内容

C.Cookie测试是Web应用软件功能测试的一项重要内容√

D.是否存在无效链接是Web应用软件安全性测试关注的范畴

解析：[分析] 对Web应用软件进行性能测试主要包括3个方面：并发测试、负载测试和压力测试、配置测试和性能调优，A说法错误。

内容测试不属于易用性测试范畴，B说法错误。

Cookie测试是Web应用软件功能测试的一项重要内容，C正确。

是否存在无效链接是Web应用软件功能测试关注的范畴，D错误。

4.关于Web应用软件，说法不正确的是______。

（分数：2.00）

A.Web应用软件的系统测试不仅包括按照大纲检查其能否满足需求，还得针对Web应用软件的特点对薄弱环节进行测试

B.Web应用软件的开发可以根据需求有开发人员设定结构√

C.Cookie测试是功能测试的重要组成部分

D.复杂的Web应用软件不仅是一个Web站点，还需要与其他系统协作完成所需的功能

解析：

5.以下关于Web应用软件测试的说法中，错误的是______。

（分数：2.00）

A.数据完整性测试是Web应用软件数据层测试的一项重要内容

B.内容测试是Web应用软件易用性测试的一项重要内容√

C.表单测试是Web应用软件功能测试的一项重要内容

D.客户端内容安全性的测试是Web应用软件安全性测试的一项重要内容

解析：[分析] Web应用软件数据层测试包括两个方面：一是数据完整性的测试，二是大数据量数据库的性能测试，故选项A说法正确。Web应用软件功能测试通常针对链接测试、表单测试和Cookie测试3个方面进行，故选项C说法正确。Web应用软件安全性测试主要包括服务器端的内容安全性、客户端的内容安全性和Cookie安全性3个方面，由此选项D说法正确。内容测试和易用性测试都是Web应用软件的测试策略，不具有从属关系，故选项B说法错误。

6.Web应用软件的程序都是部署在______。

（分数：2.00）

A.客户端

B.服务器端√

C.数据库

D.浏览器

解析：

7.下列不属于易用性测试检查范畴的是______。

（分数：2.00）

A.检查生成部分的字体类型、色彩是否美观

B.检查系统在压力下的稳定性√

C.检查生成部分与页面上其他排版元素是否一致

D.检查下载图片时间对易用性的影响

解析：

8.以下关于Web应用软件测试的说法中，正确的是______。

（分数：2.00）

A.内容测试时Web应用软件易用性测试的一项重要内容

B.Web应用软件虽然需要频繁地进行演化，但不需要频繁地进行测试

C.Cookie安全性测试时Web应用软件安全性测试的一项重要内容√

D.Web应用软件只能进行白盒测试，不能进行黑盒测试

解析：[分析] A选项叙述错误，内容测试和易用性测试都是Web应用软件系统测试的主要内容。B选项叙述错误，Web软件演化频繁，但均需要进行测试工作。C选项叙述正确。D选项错误，Web应用软件测试白盒黑盒测试方法都可使用。故选择C答案。

9.下列应用服务器中，不遵循J2EE规范的是______。

（分数：2.00）

A.MTS

B.WebLogic

C.Oracle 9i Application Server √

D.WebSphere

解析：

10.在Web应用软件的安全策略中，下面不属于访问安全策略的是______。

（分数：2.00）

A.入网访问控制

B.服务器安全控制和节点安全控制

C.客户端安全控制和权限控制√

D.防火墙控制

解析：

11.以下不属于应用服务器的功能的是______。

（分数：2.00）

A.公共服务

B.互操作机制

C.安全性机制√

D.构件运行环境

解析：

12.以下关于Web应用软件测试的说法中，错误的是______。

（分数：2.00）

A.内容测试是Web应用软件测试的一项重要内容

B.Cookie安全性测试是Web应用软件安全性测试的一项重要内容

C.并发测试是Web应用软件性能测试的一项重要内容

D.表单测试是Web应用软件性能测试的一项重要内容√

解析：[分析] Web应用软件的系统测试包括功能测试、性能测试、易用性测试、内容测试、安全性测试、接口测试等，由此可知A说法正确。

Web应用软件安全性测试包括服务器端的内容安全性测试、客户端的内容安全性测试、Cookie安全性测试、曰志功能的测试等，由此可知B说法正确。

Web应用软件性能测试包括并发测试、负载测试和压力测试、配置测试和性能调试，C正确。

Web应用软件的功能测试包括链接测试、表单测试和Cookie测试。由此可知表单测试不是Web应用软件性能测试的一项重要内容，而是功能测试的一项重要内容，D错误。

13.Web应用软件的测试与其他软件的测试不同，主要在于Web应用软件具有______特点。

（分数：2.00）

A.内容驱动、基于无连接协议

B.安全性和美观性要求较高

C.开发周期短且演化频繁

D.以上全部√

解析：

14.在Web应用软件的系统安全检测与防护中，下面不属于入侵检测技术的是______。

（分数：2.00）

A.基于主机的检测

B.基于网络的检测

C.基于完整性的检测

D.基于数据库的检测√

解析：

15.在Web应用软件中，负载测试的最重要目的是了解系统所能承担的______。

（分数：2.00）

A.并发用户数√

B.最大压力

C.极限数据量

D.最大负载

解析：

16.Web应用软件的三层体系结构是：表示层、业务层和数据层，三者的位置依次是______。

（分数：2.00）

A.客户端服务器端服务器端√

B.客户端客户端服务器端

C.服务器端客户端服务器端

D.客户端服务器端客户端

解析：

17.表示层测试的最后一项重要任务是______。

（分数：2.00）

A.测试排版结构、内容的展示

B.测试页面在不同的浏览器里是否都表现正常√

C.测试页面间相互链接的关系是否合理

D.测试客户端程序是否对页面的排版造成了不合理影响

解析：

18.对Web应用软件表示层的测试重点是______。

（分数：2.00）

A.服务器端的程序

B.数据的完整性

C.HTML文档的结构与客户端的程序√

D.数据库操作的性能测试

解析：

19.在Web应用软件的基本结构中，客户端的基础是______。

（分数：2.00）

A.HTML文档√

B.客户端程序

C.HTML协议

D.浏览器

解析：

20.在Web应用软件的系统测试技术中，下面不属于安全性测试内容的是______。

（分数：2.00）

A.客户端的内容安全性

B.服务器端的内容安全性

C.数据库的内容安全性√

D.Cookie安全性

解析：

21.在Web应用软件的测试中，对数据库性能的测试是______。

（分数：2.00）

A.表示层的测试

B.数据层的测试√

C.业务层的测试

D.服务层的测试

解析：

22.在应用服务器的支持下，B/S软件的业务层可以分为______。

（分数：2.00）

A.构件层

B.CGI程序层

C.服务层

D.以上全部√

解析：

23.以下关于Web应用软件测试的说法中，正确的是______。

（分数：2.00）

A.Web应用软件安全性测试只关注用户能否绕开访问控制使用超越访问权限的内容

B.Web应用软件的性能不仅与Web应用软件自身的代码有关，还可能与所用的Web服务器、中间件服务器及数据库服务器有关√

C.测试Web应用软件是否支持不同的浏览器是Web应用软件表示层测试关注的一项主要内容

D.对于没有使用数据库的Web应用软件，不需要进行性能测试

解析：[分析] 对Web应用软件而言，Web服务器、中间服务器和数据库服务器的配置都可能影响其性能。

24.以下关于Web应用软件测试的说法中，正确的是______。

（分数：2.00）

A.链接测试是Web应用软件测试的一项内容√

B.Web应用软件测试通常不考虑安全性测试

C.与传统软件相比，Web应用软件测试更简单

D.Web应用软件只能进行黑盒测试，不能进行白盒测试

解析：[分析] Web应用软件的系统测试包括功能测试、性能测试、易用性测试、内容测试、安全性测试、接口测试等。其中，功能测试包括链接测试、表单测试和Cookie测试。由此可知A正确，B错误。

与传统软件相比，Web应用软件具有特殊的结构，且Web应用软件的开发主要是在固定的结构中填充相应的内容，而不是根据需求由开发人员设定结构。因此，Web应用软件的运行和测试在很大程度上要受到环境的制约，特别是单元测试和集成测试。这也使得Web应用软件的系统测试不仅包括按照测试大纲检查Web 应用软件能不能满足要求，而且需要对Web应用软件的薄弱环节进行测试。由此可见，Web应用软件测试

并不比传统软件测试简单，甚至还要复杂，C错误。

Web应用软件测试中既有白盒测试，也有黑盒测试，D说法错误。

25.CGI程序可以根据用户的不同输入而生成不同HTML页面，最常使用的CGI编程语言是______。

（分数：2.00）

A.C语言

B.Perl语言√

C.C++语言

D.汇编语言

解析：

自动化测试工具解析

7.6 AutoRunner简介 (1) 7.6.1 AutoRunner的组成 (1) 7.6.1.1 AutoRunner功能简介 (4) 7.6.2 AutoRunner的安装要求 (6) 7.6.3 AutoRunner的安装 (6) 7.6.4配置AutoRunner (9) 7.6.4.1配置AutoRunner (9) 7.6.5 AutoRunner的使用流程 (10) 7.6.5.1 AutoRunner使用流程简介 (10) 7.6.5.2创建项目 (11) 7.6.5.3 创建脚本 (14) 7.6.5.4 录制脚本 (15) 7.6.5.5 录制回放 (17) 7.6.5.6 脚本参数化 (18) 7.6.5.6 属性校验 (22) 7.6.5.7 脚本调用 (24) 7.6 AutoRunner简介 7.6.1 AutoRunner的组成

集成开发环境： (Integrated Development Environment 简称IDE)软件是用于程序开发环境的应用程序，一般包括代码编辑器、编译器、调试器和图形用户界面工具，也就是集成了代码编写功能、分析功能、编译功能、Debug功能等一体化的开发软件套。所有具备这一特性的软件或者软件套(组)都可以叫做IDE。如微软的Visual Studio系列，Borland的C++ Builder、Delphi系列等。 IDE环境菜单栏 AutoRunner3.9中的菜单栏如上图所示，主菜单包含文件、编辑、录制、执行、设置、许可证、帮助等菜单项，下面对每一项做一个简介。 文件菜单 如图所示，所有对脚本的管理操作都可以在文件菜单下完成，包括对脚本的新建，导入，保存，另存为，关闭，改变工作空间，最近打开，退出等等。 编辑菜单

WEB应用渗透测试的步骤

渗透测试的两大阶段 渗透测试不能测试出所有可能的安全问题，它只是一个特定环境下才合适的WEB应用安全测试技术。OWASP的渗透测试方法是基于墨盒方法的，测试人员在测试前不知道或只知道很有限的关于被测试应用的信息。 渗透测试被分成两大阶段： ■ 被动模式阶段 在这个阶段，测试人员试图去理解被测应用的逻辑，并且去使用它。可以使用工具去收集信息，例如，可以用HTTP代理工具去观察所有请求与响应。本阶段结束后，测试人员应该理解了应用的所有访问点（如，HTTP报头、参数和COOKIE）。信息收集一节将介绍如何进行被动模式的测试。 ■ 主动模式阶段 这个阶段里，测试人员将利用后述的9大类66种方法主动地去测试。 被动模式阶段 信息收集 安全评估的第一步是收集尽可能多的关于被测应用的信息。信息收集是渗透测试的必要步骤。通常使用公共工具（搜索引擎）、扫描器、发送简单或特别的HTTP请求等来迫使被测应用泄漏信息。 ◆使用蜘蛛、机器人和爬虫 目标是浏览和捕获被测应用相关的资源。 ◆搜索引擎发现与侦察 类似GOOGLE这样的搜索引擎可以用来发现被测应用中已经被公开的错误页面或WEB应用结构问题。 ◆识别应用入口点 枚举被测应用及其攻击面是展开任何攻击的的一个关键性前提。 ◆测试WEB应用指纹 应用指纹是信息收集的第一步。知道正在运行的WEB服务器的版本和类型后，测试人员可以确定已知的漏洞和测试过程中的相应攻击方法。获取WEB应用指纹的自动化工具Httprint和在线工具Netcraft。 ◆应用发现 应用发现是一项面向驻留在WEB/应用服务器中的WEB应用识别的活动。这种分析很重要，因为没有一个链接直接连接到主要应用的后端。分析可以发现有助于揭示诸如用于管理目的的WEB应用程序的细节。此外，它可以揭示诸如取消删除的，过时的脚本文件，这些文件通常是在测试、开发或维护过程产生的。可能使用到的工具： 1、DNS查询工具，如nslookup，dig等。

WEB软件测试总结报告

XXX项目测试总结报告 目录 1.项目测试结果 (2) 1.1 BUG严重程度 (2) 1.2 BUG问题分布状况 (3) 2.测试结论 (4) 2.1界面测试 (4) 2.2功能测试 (4) 2.3兼容性测试(Windows下) (4) 2.4易用性 (4) 2.5 负载/压力测试 (5) 3.软件问题总结与分析 (6) 4.建议 (7)

1.项目测试结果 1.1 BUG严重程度 测试发现的bug主要集中在次要功能和轻微，属于一般性的缺陷，但测试的时候出现了37个主逻辑级别的bug,以及严重级别的2个.

1.2 BUG问题分布状况 由上图可以看出，主要为代码错误占36%,以及标准规范的问题占35%,界面优化占17%,设计缺陷占9%,其他占2%

2.测试结论 2.1界面测试 网站系统实现与设计稿一致。站点的导航条位置，导航的内容布局，首页呈现的样式与需求一致。网站的界面符合标准和规范，直观性强。 2.2功能测试 分不同账号总权限账号,以及店长账号分别进行功能测试。 1:链接测试无问题,不存在死链接,测试链接都存在. 2:对页面各个不同数据的测试,主要的出入库,销售报表,订单查看管理等一一对应,不存在数据有误差的问题. 2.3兼容性测试(Wind ows下) 测试总的浏览器包括:360极速浏览器,火狐浏览器,谷歌浏览器,IE浏览器,测试通过,主要逻辑以及次要功能都没问题,因为浏览器的不同,导致界面浏览不一定相同,例如有的界面浏览页面显示正常,有的界面显示不一样 。 2.4易用性 网站实现了如下易用性： 1. 输入限制的正确性 2. 输入限制提示信息的正确性，可理解性，一致性 3. 界面排版美观 4. web应用系统易于导航，直观 5. web应用系统的页面结构、导航、菜单、连接的风格一致

APP渗透测试方案

APP渗透测试方案 2016-7-29 XXXXX公司

目录 1 App渗透简介 (3) 2 APP渗透测试所用工具 (3) 2.1 代理抓包工具 (3) 2.2 反编译工具 (3) 2.3 其他针对服务端的web渗透工具 (4) 3 APP渗透测试的方法 (5) 3.1 数据包分析、测试 (5) 3.2 APP反编译还原代码 (5) 4 APP渗透测试流程 (5) 4.1 项目启动 (5) 4.1.1 项目启动准备 (5) 4.1.2 实施方案制定 (6) 4.2 项目实施 (6) 4.2.1 信息收集 (6) 4.2.2 平台使用不当的测试 (6) 4.2.3 不安全的数据存储的测试 (6) 4.2.4 不安全的通信的测试 (7) 4.2.5 不安全的身份验证的测试 (7) 4.2.6 加密不足的测试 (7) 4.2.7 不安全的授权的测试 (7)

4.2.8 客户端代码质量问题的测试 (7) 4.2.9 代码篡改的测试 (7) 4.3 项目收尾 (8) 4.3.1 报告编写 (8) 4.3.2 问题复查 (8)

1App渗透简介 移动app大多通过web api服务的方式跟服务端交互，这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互，服务器端也是一个展示信息的网站，常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等。 2APP渗透测试所用工具 2.1代理抓包工具 ?Burpsuit ?Fiddler 代理抓包工具主要用于抓取、分析、篡改APP与服务端之间的交互数据包。 爆破、解编码、执行会话令牌等作用。 2.2反编译工具 APP的反编译有两种反编译方式，dex2jar和apktool，两个工具反编译的效果是不一样的，dex2jar反编译出java源代码，apktool反编译出来的是java 汇编代码。 ?工具1：dex2jar+jdgui ?工具2：apktool 工具1反编译出来的是java源代码，易读性比较高。

web常用测试方法

一、输入框 1、字符型输入框： （1）字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符“~！@#￥%……&*？[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入。 （2）长度检查：最小长度、最大长度、最小长度-1、最大长度+1、输入超工字符比如把整个文章拷贝过去。 （3）空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空 格 （4）多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回 车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示）、（5）安全性检查：输入特殊字符串 （null,NULL, ,javascript,,