Roda的博客

专项信息安全测试则通过模拟黑客手段开展渗透攻击，以发现系统存在的安全隐患，包括主机渗透、SQL注入、跨站脚本、弱口令、溢出漏洞、文件上传、认证会话管理、文件包含、不安全的URL、未授权访问、信息未加密、信息泄露、目录浏览等。对于APP专项测试，其包含范围主要包括兼容性测试、交叉事件测试、安装、卸载、升级测试、推送测试、稳定性测试、内存测试、CPU测试、耗电量测试、流量测试以及弱网测试等。推送测试则主要关注推送对象、推送内容、推送方式以及推送场景等多个方面，以确保推送功能的稳定性和准确性。

安全测试-初见安全测试是在IT软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。安全测试能做什么安全测试是通过有效的测试方法手段，在系统功能稳定可用的同时确保应用安全，不被外部攻击击穿、不发生数据泄露、提升IT产品的安全质量，尽量在发布前找到安全问题予以修补降低成本。有合理客观的安全度量，验证安装在系统内的保护机制能否在实际应用中对系统进行保护，使之不被非法入侵，不受各种因素的干扰。安全问题的危害信息泄露于普通用户而

指标 公式/描述 说明 工作量偏差 （（实际工作量-计划工作量）/计划工作量）*100% 进度 需求通过率 （已测试通过的需求数/需求总数）*100% 进度 需求完成数 统计时间段内，该团队完成的需求数； 这个指标通常用于度量整个团队的交付能力，越多代表团队的交付越多 ...

app名称 　 自查点 检查方法 适用类别 修改方法 符合情况 传输协议 客户端与服务器端业务交互时，是否采用HTTPS传输协议 Android、IOS、小程序、SDK、方案 如果采用HTTP传输协议，改为HTTPS 　 密码传输 密码是否加密传输 Android、IOS、方案 密码采用非对称加密传输 　 错误密码次数 服务端是否限制错误密码输入次数 Android、IOS、小程序、SDK、方案

WEB安全测试检查清单 测试名称 测试内容 说明 测试结果 客户端安全测试 XSS测试 用户输入畸形脚本及标签过滤转义 　 CSRF测试 验证服务器是否添加会话TOKEN及验证referer 　 JSON挟持测试 检测json格式变化及是否验证referer 　 XSIO测试 测试是否限制图片postion为absolute 　 基础认证钓鱼测试 检查是否可以修改img标签的src属性构造基础钓鱼页面

#Monkey介绍##什么是MonkeyMonkey是一个Android自动化测试工具，主要用于Android的压力测试，测试app是否会Crash，通过Monkey程序模拟用户触摸屏幕、按键等操作来对设备上的程序进行压力测试，检测程序多久的时间会发生异常，Monkey测试是一种为了测试软件的稳定性，健壮性快速有效的方法。#安装Monkey测试环境*安装JDK，配置环境变量(https://www.oracle.com/technetwork/j...

测试流程规范1、需求创建：项目和需求均需要求产品在PMP/行云里创建相应的项目及需求任务信息；2、需求确认：同产品，开发以及相关人员确认需求（需求评审必须三方达成一致）；3、需求排期：项目和需求必须经测试人员排期，非测试排期可以不接受测试，评估测试工时，确定提测时间，上线时间；4、需求变更/紧急需求：必须要找测试leader沟通好方案、风险和资源，然后走变更/紧急邮件申请；5、测试用例：项目必须要有详细的测试用例，需求的用例可以根据实际情况灵活安排；6、用例评审：项目测试用例必须通过

简介限流的目的是防止恶意请求、恶意攻击，或者防止流量超出系统峰值时保护系统免受灭顶之灾。限流的具体做法是是通过对并发访问/请求进行限速或者对一个时间窗口的请求进行限速在保护系统，一旦达到限制速率则可以拒绝服务（定向到错误页），排队等待，降级（返回兜底数据、默认数据等）等。通过压测找到系统的处理峰值，然后通过设定峰值阈值，在防止系统在流量过载时，通过拒绝过载的请求来达到高可用的目的。......

目录一、 设计准备：二、 测试用例设计：一、 设计准备：1. 概念：定义 接口测试测试的主要对象是接口，是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与所测系统之间以及内部各系统之间的交互点。测试的重点是检查数据交互、传递、和控制管理过程以及系统间的相互依赖关系等。接口分类外部接口：用户接口（UI），数据库接口，服务器接口内部接口：数据流转移接口接...

目录Sonarlint 插件通用配置：Sonarlint插件工程配置：Sonarlint 插件通用配置：1)      通过jetbrains官方仓库安装Sonarlint，安装完成后重启IDE，这样就完成安装了；2)      打开配置项，选择Other Settings-Sonarlint General Settings； 3)      点击“+”添加Son...

分层自动化测试体系模型 

一、单元测试步骤代码编写完成后的单元测试工作主要分为两个步骤：人工静态检查人工静态检查是测试的第一步，这个阶段工作主要是保证代码算法的逻辑正确性（尽量通过人工检查发现代码的逻辑错误）、清晰性、规范性、一致性、算法高效性。并尽可能的发现程序中没有发现的错误。动态执行跟踪执行待测程序来跟踪比较实际结果与预期结果来发现错误。经验表明，使用人工静态检查法能够有效的发现30%到70%的逻辑设...

第一、引言1.1需求描述1.2添加用例的目的二、编写核对用户信息测试用例2.1搭建环境2.2测试应用2.3 遇到的问题2.4 优化测试应用三、编写验证公网链接测试用例3.1测试应用3.2 遇到的问题3.3优化测试应用四、jenkins部署实现4.1 创建任务4.2 运行并监控构建4.3 遇到的问题五、总结第一、引言本测试...

切流量是当系统遇到故障时、或者人工刻意控制流量入口时（比如灰度发布），对入口流量进行控制的一种手段。比如多机房环境下，某个机房出现问题，或者是某个机架有问题，或者是某个服务器宕机或应用死机了，都需要进行切流量。切流量是大型应用一个重要的运维手段。 要理解切流量的原理，先要知道域名...

##以下配置对所有ip 生效网络异常，可通过以下命令在接口服务端服务器设置（记住测试完删除命令否则一直生效）1.tc qdisc add dev eth0 root netem delay 100ms    该命令将 eth0 网卡 的传输设置为延迟 100 毫秒发送。2.tc qdisc del dev eth0 root netem delay 100ms    该命令将删除 eth0 网卡 ...

性能测试监控关键指标：Ø  资源指标CPU使用率：指用户进程与系统进程消耗的CPU时间百分比，长时间情况下，一般可接受上限不超过85%。内存利用率：内存利用率=（1-空闲内存/总内存大小）*100%，一般至少有10%可用内存，内存使用率可接受上限为85%。磁盘I/O: 磁盘主要用于存取数据，因此当说到IO操作的时候，就会存在两种相对应的操作，存数据的时候对应的是写IO操作，取数据的时候对应的是是读...

目录一、Easymock简单介绍二、easymock使用准备三、Easymock使用步骤四、扩展-powermock一、Easymock简单介绍EasyMock 是一套用于通过简单的方法对于给定的接口生成 Mock 对象的类库；它提供对接口的模拟，能够通过录制、回放、检查三步来完成大体的测试过程，可以令 Mock 对象返回指定的值或抛出指定异常；通过 EasyMoc...

目录一、自动化测试概述二、自动化测试优势&劣势优势：劣势：三、自动化测试常用工具代码级别：接口/协议级别：界面级别：一、自动化测试概述     软件自动化测试是相对手工测试而存在的，由测试人员根据测试用例中描述的规程一步步执行测试，得到实际结果与期望结果的比较。在此过程中，节省人力、时间或硬件资源，提高测试效率。二、自动化测试优势&劣势...

                                            京东安全测试         信息安全是互联网时代人们面临的严重威胁，首先来看看近几年比较著名的信息安全事件：1、2011年12月，国内某程序员社区遭拖库，600万个账户信息泄露。2、2014年3月，某旅游网站的系统存在技术漏洞，导致用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及...

Web站点测试经验：1.在执行客户端并发性能测试的过程中，需要同时监控数据库服务器、Web服务器以及网络资源等使用情况，以便对系统的性能做全面评估 2.录制脚本和手工编写脚本相结合 3.设置数据池，实现变量加载4.业务批量执行5.模拟用户数的递增 6.合理设置交易之间时间间隔 7.模拟IP地址变量的技术 8.超时（timeout）的设置 9.并发用户连续执行交易...

目录猴子捣乱介绍捣乱流程猴子捣乱        通常情况下，京东的系统是久经考验的，加之系统的多机房多集群部署，一般情况下不会发生重大的问题，但是在每年的618京东购物节和11.11购物节期间，系统流量会有瞬间的峰值，而且此瞬时峰值每年都会增加，面对如此的突入其来的瞬间峰值，对交易系统的稳定性和可用性将是一个重大的考验。所以每年在两个购物节来临之前，京东都会组织力量进行演练，进...

目录1、什么是接口测试？2、为什么要做接口测试?3、接口测试持续集成：4、接口测试质量评估标准：1、什么是接口测试？      接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。 2、为什么要做接口测试?　　a) 如今的系统复...

目录新旧系统数据迁移新旧系统数据迁移的实践与测试新旧系统数据迁移       随着互联网这么多年的技术的发展，在现有发展的基础上，基本上2-3年的时间，业务的快速增长和技术的革新，原有的系统会不断被功能更强大的新系统所取代。在新旧系统切换过度的过程中，必然要面临一个数据迁移的问题。       旧系统从启用到被新系统取代，在系统其使用期间长期以往的积累了大量珍贵的历史数器，其中许...

测试流程规范1、  需求创建：项目和需求均需要监督产品在PMP里创建相应的项目及需求任务信息；2、  需求确认：同产品，开发以及相关人员确认需求；3、  需求排期：项目和需求必须经测试人员排期，非测试排期可以不接受测试，评估测试工时，确定提测时间，上线时间；4、  风险评估：需求阶段和测试阶段，提前给出影响项目和需求的原因和风险；5、  测试用例：项目必须要有详细的测试用例，并...

目录规范分别从上线前，上线中，上线后三个阶段：上线前：上线中：上线后：规范分别从上线前，上线中，上线后三个阶段：上线前：1、  确保测试环境及预发布环境测试通过，才允许上线；2、  提前知晓关联系统负责人关注各自系统（以咚咚或邮件的方式）；3、  提前梳理好本次上线需要修改的配置文件等信息，提醒开发进行配置备份；4、  提前准备好本次上线验证所需的测试数据，...

异常测试分类 子类型 异常内容描述 页面UI 数值类型 1、边界值（最大值，最小值、比最大值大一个单位，比最小值小一个单位）、开闭区间（开区间：(A,B)和闭区间[A,B]的区别等） 2、特殊字符（空，“”，null，&，^,*，. %，/,\等特殊字符） 3、超出字符类型的定义范围（例如整型----32位 最大值 2147483647,最小值-2147...

目录1、什么是Mock ？2、为什么要做Mock ? 3、Mock的优缺点分析4、具体如何使用mock1、什么是Mock ？用一句通俗的语言来说： mock测试就是在测试过程中，对于某些不容易构造或者不容易获取的对象，用一个虚拟的对象来创建以便测试的测试方法。 Mock 方法是单元测试中常见的一种技术，它的主要作用是模拟一些在应用中不容易构造或者比较复杂的对象，从而把测...