：）每天进步一点点

一、测试用例设计工具：1、CTE XL：CTE XL工具官网：http://www.systematic-testing.com/functional_testing/cte_main.php?cte=1CTE XL工具下载地址3.1.3：http://www.berner-mattner.com/en/berner-mattner-home/products/cte/download

PS：在运维工作中，压力测试是一项很重要的工作。比如在一个网站上线之前，能承受多大访问量、在大访问量情况下性能怎样，这些数据指标好坏将会直接影响用户体验。但是，在压力测试中存在一个共性，那就是压力测试的结果与实际负载结果不会完全相同，就算压力测试工作做的再好，也不能保证100%和线上性能指标相同。面对这些问题，我们只能尽量去想方设法去模拟。所以，压力测试非常有必要，有了这些数据，我们就能对自己做维

新的编译方法参考另一篇文章:http://blog.youkuaiyun.com/eatmilkboy/article/details/7793244最近在使用WebScarab的时候发现有个bug，这个bug本身很容易修复，只是为此无法使用直接下载的WebScarab的binary，必须重新编译一下。特把编译过程纪录下来。下载源代码：直接通过IE下载最新的snapshot：htt

1 常用操作系统扫描工具介绍1.1 CIS-CAT【功能】可以根据不同的操作系统，选择不同的基准进行系统漏洞扫描。【适用对象】Unix/Linux，MS Windows，并且这些系统上装了java 5或以上。本文主要介绍在Linux下的用法1.1.1 扫描准备将工具解压到目标Linux机器上，CIS-CAT扫描Linux机器必须要求机器安装JDK在1.5或以上可

1.下载webscarab下载地址：http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/2.安装webscarab安装命令：java -jar webscarab-installer-20070504-1631.jar3.firefox代理设置进入选项 > 高级 > 设置。4

WebScarab具有大量的功能，因而可能会让新用户有一种无从下手之感。为求简单起见，拦截和修改浏览器和HTTP/S服务器的请求和响应可以作为初学者很好的入门课，因为这无需学习太多的内容就可以完成。首先，我们假定您能够自由访问因特网，也就是说，您并非位于一个代理之后。为简单起见，我们还假定您使用的浏览器是Internet Explorer。图7上面是

下载地址：http://www.wishdown.com/soft/53756.html安装步骤：http://www.cnblogs.com/smstars/archive/2013/06/08/3127709.html（菜鸟）http://blog.youkuaiyun.com/eatmilkboy/article/details/7386661（高级）

Fiddler绝对称得上是"抓包神器"， Fiddler不但能截获各种浏览器发出的HTTP请求, 也可以截获各种智能手机发出的HTTP/HTTPS请求。Fiddler能捕获ISO设备发出的请求，比如IPhone, IPad, MacBook. 等等苹果的设备。  同理，也可以截获Andriod，Windows Phone的等设备发出的HTTP/HTTPS。前提条件：安装Fiddler的机器

目前手机App测试还是以发现bug为主，主要测试流程就是服务器接口测试，客户端功能性覆盖，以及自动化配合的性能，适配，压测等，对于App安全性测试貌似没有系统全面统一的标准和流程，其实安全性bug也可以是bug的一种，只不过更加隐秘，难以发现，尤其针对于手机App。近期时间比较充裕，研究了一下安全性相关的东西，并对于我们自身的产品测试了一下(更主要的目的是游戏作弊刷分)，发现了不少问题，总结一下。

偶然遇到这么个问题，弄不清楚，便到网上查了查看到了这么一篇文章，分享给还没意识到这个区别的坛友们学习。文章如下：simulation、emulation、模拟、仿真。这四个名词很容易混淆，刚弄明白，赶紧记下来。    首先，不谈模拟和仿真，先对simulation和emulation进行区分，这是因为这里两个英文单词的界线比两个中文名词的界线要清晰得多。wiki中关

Browsershots：可用于兼容性测试，模拟浏览器显示效果。地址：http://browsershots.org/Internet supervision url check：可用于模拟世界各地不同服务器打开测试网站的速度。地址：http://internetsupervision.com/scripts/urlcheck/check.aspxnewre

我发现，许多测试人员和测试经理将测试自动化等同于测试用例自动化执行。在他们的词汇中，“自动化”是“测试自动化”的缩写，而“测试自动化”就是自动地运行被测试对象、检查测试结果并生成测试报告。如果仅仅运行计算机可执行的测试用例就可以保证软件质量，那么测试人员的生活将轻松许多。但是，在绝大多数项目中，测试者都必须完成一系列任务来提供优质的测试服务。以上幻灯片来自Doug Hoffman和Ce

你是否肯定你的网站完全兼容各大浏览器？是否知道多少秒可以打开你的网站？ 是否可以自信地说你的网站根本就没有打不开的时候？ 是否……虽然它看似不重要，但这些在一定程度上也对你的网站的访问量产生了影响 。这里列出了一份31 个免费在线测试工具，你可以通过这些工具来测试你的网站，并根据结果对你的网站进行修改。网站代码验证 没人可以细致到保证自己的网站代码都是正确的，你可以通过以下测试来验证网

对一个应用项目进行渗透性测试一般要经过三个步骤。       第一步，用一些侦测工具进行踩点，获得目标的基本信息。       第二步通过漏洞扫描工具这类自动化测试工具获取目标的漏洞列表，从而缩小测试的范围。       第三步利用一些灵活的代理，请求伪造和重放工具，根据测试人员的经验和技术去验证或发现应用的漏洞。       在此过程中需要利用一些工具，这些工具包括：

1.NetsparkerCommunity Edition(Windows)这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。2.Websecurify(Windows,Linux, Mac OS X)这是个简单易用的开源工具，此程序还有一些人插件支持，可以自动检测网页漏洞。运行后可生成多种格式的检测报告3.Wapiti(Windows,Linux,

安全测试应该是测试中非常重要的一部分，但他常常最容易被忽视掉。　　尽管国内经常出现各种安全事件，但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然，这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我？　　关于安全测试方面的资料也很少，很多人所知道的就是一本书，一个工具。

现在很多网站都用到Cookies，特别是用户的登陆以及购物网站的购物车。Cookies 通常用来存储用户信息和用户在某应用系统的操作，当一个用户使用Cookies 访问了某一个应用系统时，Web 服务器将发送关于用户的信息，把该信息以Cookies的形式存储在客户端计算机上，这可用来创建动态和自定义页面或者存储登陆等信息。如果Web 应用系统使用了Cookies，就必须检查Cookies是否能

Rational AppScan 工作原理　　Rational AppScan(简称 AppScan)其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition

散列表,它是基于快速存取的角度设计的，也是一种典型的“空间换时间”的做法。顾名思义，该数据结构可以理解为一个线性表，但是其中的元素不是紧密排列的，而是可能存在空隙。散列表（Hash table，也叫哈希表），是根据关键码值(Key value)而直接进行访问的数据结构。也就是说，它通过把关键码值映射到表中一个位置来访问记录，以加快查找的速度。这个映射函数叫做散列函数，存放记录的数组叫做散列

一）Session Tester 基本于会话官方文档：http://staqs.com/docs/sbtm/Session Tester工具下载地址：http://sessiontester.openqa.org/download.html6. ET.XLS Tips二）ACTS：http://csrc.nist.gov/groups/SNS/acts/download/l