本文介绍了健壮性测试在网络安全中的应用,特别是针对前端页面的测试。内容涉及手工准备Mock数据的问题、自动化测试的改进、随机处理返回数据以发现未知漏洞、自动化脚本优化以及稳定性测试。通过多目标场景的随机修改和接口接入,测试覆盖范围逐步扩大,并与开发团队合作分析异常,提升测试效率和质量。
引用:
健壮性测试概述
网络安全是现在的一个热点研究领域,网络安全方面的测试也是如火如荼。在网络安全的测试范畴中,健壮性测试是一项重要内容。
健壮性测试这种称呼,来源于Fuzz 测试,Fuzz 测试,直译为模糊测试,这是一种特殊的黑盒测试方法,与同样基于黑盒的功能性测试不同,Fuzz 测试的主要目的是发现系统的未知漏洞(0day 漏洞),是一种负面测试。
1.遇到的问题:
如何动态修改配置文件 (21-09-08)
(待确认)对响应返回的数据进行随时处理(21-09-09) 继续完善
动态同步修改所有属性时,会报错。二层属性随时修改。(21-9-17)
2.重新构思:
弊端:在阶段一执行过程中,通过手工准备MOCK的数据,发现的多为UI方面的问题,场景覆盖率达不到理想化。
改进:参考《健壮性测试方案》后,方案有所调整,对返回数据随机进行处理。目的:测试前端页面健壮性。
测试驱动方式:自动化测试(UI自动化)、稳定性测试(Money类测试)、手工测试
3.计划及进度:
1.完成MOCK的两种方式:①读取预留文件数据,②随机处理接口字段。(9.14前已完成)
2.先实现单目标场景的遍历,后续优化多目标的情况。(与⑦重复已完成)(9.15-9.16)
3.如何增加匹配节点类型修改数据(9.16-9.17)(后面遇到问题会继续维护)
4.场景补充:①删除字段属性②更新字段值为null③增加属性④更新字段值为空字符串⑤更新字段值为int类型⑥修改同类型的值
5.在优化策略的同时优化脚本(例如:执行方式)
6.在完成自动化驱动方式后,改为稳定性测试的驱动方式(需求:结合稳定性)
7.实现多目标多场景随机修改(9.16已完成)
8.接入其他接口,目前接入73个。(9.17完成11个,9.18新增17个, 9月28接入28个)
9.结合业务,对发生的异常进行分析(难点:分析环节需要开发配合)(9.27-)
10.分析:①对于业务,有时候构造的数据类型与实际会有差异,开发分析后认为不会出现这种数据结构,因此这部分问题需要优化脚本。(例如登录流程的第一个问题)
②通过稳定性的驱动方式,已经触发崩溃事件,结果上报到TFM监控平台
11.搭建beta远程服务(9.13-9.14)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
