系統(tǒng)測試案例分析案例一

性能測試/壓力測試項目介紹Page3

針對某公司辦公自動化（OA）系統(tǒng)的負(fù)載壓力測試，采用專業(yè)的負(fù)載壓力測試工具來執(zhí)行測試。系統(tǒng)采用B/S架構(gòu)，服務(wù)器是一臺PCServer（4路2.7GHz處理器，4GB內(nèi)存），安裝的平臺軟件包括MicrosoftInternetInformationServer5.0，ASP.NET，SQLServer2000。

使用2臺筆記本電腦安裝測試工具模擬客戶端執(zhí)行“登錄”業(yè)務(wù)操作。測試目標(biāo)Page41）試系統(tǒng)分別在2M、4M網(wǎng)絡(luò)寬帶下，能夠支持用戶登錄的最大并發(fā)用戶數(shù)；2）測試服務(wù)器的吞吐量（即：每秒可以處理的交易數(shù)），主要包括服務(wù)器CPU平均使用率達(dá)到85%時系統(tǒng)能夠支持的最大吞吐量和服務(wù)器CPU平均使用率達(dá)到100%時系統(tǒng)能夠支持的最大吞吐量。性能需求：指標(biāo)“響應(yīng)時間”合理范圍為0~5秒。測試策略Page51）設(shè)計出兩種場景2M網(wǎng)絡(luò)和4M網(wǎng)絡(luò)環(huán)境下進(jìn)行模擬測試。2）其中選定登錄業(yè)務(wù)進(jìn)行測試，加壓策略采取逐步加壓的方式。測試結(jié)果-2M網(wǎng)絡(luò)Page6問題：1.在滿足系統(tǒng)性能指標(biāo)需求（響應(yīng)時間0-5秒）時，系統(tǒng)所能承受的最大并發(fā)數(shù)？2.2M寬帶環(huán)境下，CPU使用是否合理？寬帶是否是系統(tǒng)瓶頸？測試結(jié)果-4M網(wǎng)絡(luò)Page7問題：1.在滿足系統(tǒng)性能指標(biāo)需求（響應(yīng)時間0-5秒）時，系統(tǒng)所能承受的最大并發(fā)數(shù)？2.4M寬帶環(huán)境下，CPU使用是否合理？增加寬帶是否是提高系統(tǒng)性能的有效方法？結(jié)果分析Page8優(yōu)化建議Page9案例二

性能測試/壓力測試（集群環(huán)境）項目介紹Page11模擬多用戶登錄《工作流系統(tǒng)》，針對代表性工作流A/B/C連續(xù)創(chuàng)建20個實例。在單機(jī)和集群測試環(huán)境分別進(jìn)行負(fù)載壓力性能測試。

單機(jī)環(huán)境下測試用機(jī)與一臺應(yīng)用服務(wù)器連接在同一交換機(jī)上，壓力直接加在一臺應(yīng)用服務(wù)器上。

集群環(huán)境下測試用機(jī)與服務(wù)器連接在同一臺交換機(jī)上，壓力由負(fù)載均衡模塊分?jǐn)偟絻膳_應(yīng)用服務(wù)器上，數(shù)據(jù)服務(wù)器不作集群處理。測試需求要點：1）隨著負(fù)載的增加，采用集群方案是否對此應(yīng)用系統(tǒng)有效2）服務(wù)器資源是否使用合理

測試策略1）單機(jī)測試環(huán)境2）集群測試環(huán)境Page12測試結(jié)果客戶端性能測試結(jié)果Page13客戶端性能提升：120并發(fā)用戶：19倍以上240并發(fā)用戶：3倍以上測試結(jié)果-單機(jī)環(huán)境的服務(wù)器端性能-APage14CPU占用率遞增50%測試結(jié)果-單機(jī)環(huán)境的服務(wù)器端性能-B/CPage15CPU占用率超85%測試結(jié)果-集群環(huán)境的服務(wù)器端性能-APage16服務(wù)端資源占用情況絕對值變化不大，但CPU占用遞增20%左右較為穩(wěn)定問題1）集群是否比單機(jī)環(huán)境效率高？2）單機(jī)與集群環(huán)境下，應(yīng)用服務(wù)器與數(shù)據(jù)服務(wù)器資源利用率如何？是否存在瓶頸？單機(jī)環(huán)境與集群環(huán)境相比，哪種資源占用率較高，哪種資源占用率遞增較快？3）此系統(tǒng)是否可以采用集群的方案？Page17案例三

Web項目安全性測試安全性測試案例分析Page19WEB的安全性測試主要從以下方面考慮：

1.SQLInjection(SQL注入)2.Cross-sitescritping(XSS):(跨站點腳本攻擊)3.EmailHeaderInjection(郵件標(biāo)頭注入)4.DirectoryTraversal(目錄遍歷)5.exposederrormessages(錯誤信息)1.SQL注入Page20<formid="form_search"action="/search/"method="get"><div><inputtype="text"name="q"id="search_q"value=""/><inputname="search"type="image"src="/media/images/site/search_btn.gif"/><ahref="/search/"class="fl">Gamefinder</a></div></form>1:對于未明顯標(biāo)識在URL中傳遞參數(shù)的,可以通過查看HTML源代碼中的"FORM"標(biāo)簽來辨別是否還有參數(shù)傳遞.在<FORM>和</FORM>的標(biāo)簽中間的每一個參數(shù)傳遞都有可能被利用.2:當(dāng)找不到有輸入行為的頁面時,可以嘗試找一些帶有某些參數(shù)的特殊的URL,如HTTP://DOMAIN/INDEX.ASP?ID=101.SQL注入Page21例子：在登錄時進(jìn)行身份驗證時，通常使用如下語句來進(jìn)行驗證：sql=select*fromuserwhereusername='username'andpwd='password‘如輸入http://duck/index.asp?username=admin'or1='1&pwd=11，SQL語句會變成以下：sql=select*fromuserwhereusername='admin'or1='1'andpassword='11''與admin前面的'組成了一個查詢條件,即username='admin',接下來的語句將按下一個查詢條件來執(zhí)行.接下來是OR查詢條件,OR是一個邏輯運算符，在判斷多個條件的時候，只要一個成立，則等式就成立，后面的AND就不再時行判斷了，也就是說我們繞過了密碼驗證，我們只用用戶名就可以登錄.如輸入http://duck/index.asp?username=admin'--&pwd=11，SQL語句會變成以下sql=select*fromuserwherename='admin'--'andpasword='11',

‘與admin前面的’組成了一個查詢條件,即username=‘a(chǎn)dmin’,接下來的語句將按下一個查詢條件來執(zhí)行

接下來是“--”查詢條件,“--”是忽略或注釋,上述通過連接符注釋掉后面的密碼驗證。1.SQL注入—如何預(yù)防？Page22從應(yīng)用程序的角度：轉(zhuǎn)義敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”).屏蔽出錯信息：阻止攻擊者知道攻擊的結(jié)果在服務(wù)端正式處理之前提交數(shù)據(jù)的合法性(合法性檢查主要包括三項:數(shù)據(jù)類型,數(shù)據(jù)長度,敏感字符的校驗)進(jìn)行檢查等。最根本的解決手段,在確認(rèn)客戶端的輸入合法之前,服務(wù)端拒絕進(jìn)行關(guān)鍵性的處理操作.

從測試人員的角度，在程序開發(fā)前(即需求階段),我們就應(yīng)該有意識的將安全性檢查應(yīng)用到需求測試中,例如對一個表單需求進(jìn)行檢查時,我們一般檢驗以下幾項安全性問題:需求中應(yīng)說明表單中某一FIELD的類型,長度,以及取值范圍(主要作用就是禁止輸入敏感字符)需求中應(yīng)說明如果超出表單規(guī)定的類型,長度,以及取值范圍的,應(yīng)用程序應(yīng)給出不包含任何代碼或數(shù)據(jù)庫信息的錯誤提示.2.跨站點腳本攻擊Page23首先,找到帶有參數(shù)傳遞的URL,如登錄頁面,搜索頁面,提交評論,發(fā)表留言頁面等等。其次,在頁面參數(shù)中輸入如下語句(如:Javascrīpt,VBscrīpt,HTML,ActiveX,Flash)來進(jìn)行測試：<scrīpt>alert(document.cookie)</scrīpt>最后,當(dāng)用戶瀏覽時便會彈出一個警告框，內(nèi)容顯示的是瀏覽者當(dāng)前的cookie串,這就說明該網(wǎng)站存在XSS漏洞。試想如果我們注入的不是以上這個簡單的測試代碼，而是一段經(jīng)常精心設(shè)計的惡意腳本，當(dāng)用戶瀏覽此帖時，cookie信息就可能成功的被攻擊者獲取。此時瀏覽者的帳號就很容易被攻擊者掌控了。2.跨站點腳本攻擊—如何預(yù)防？Page24從應(yīng)用程序的角度：對Javascrīpt,VBscrīpt,HTML,ActiveX,Flash等語句或腳本進(jìn)行轉(zhuǎn)義.在服務(wù)端正式處理之前提交數(shù)據(jù)的合法性(合法性檢查主要包括三項:數(shù)據(jù)類型,數(shù)據(jù)長度,敏感字符的校驗)進(jìn)行檢查等。最根本的解決手段,在確認(rèn)客戶端的輸入合法之前,服務(wù)端拒絕進(jìn)行關(guān)鍵性的處理操作.

從測試人員的角度:在需求檢查過程中對各輸入項或輸出項進(jìn)行類型、長度以及取值范圍進(jìn)行驗證，著重驗證是否對HTML或腳本代碼進(jìn)行了轉(zhuǎn)義。執(zhí)行測試過程中也應(yīng)對上述項進(jìn)行檢查。3.郵件標(biāo)頭注入Page25如果表單用于發(fā)送email,表單中可能包括“subject”輸入項（郵件標(biāo)題），我們要驗證subject中應(yīng)能escape掉“\n”標(biāo)識。因為“\n”是新行，如果在subject中輸入“hello\ncc:spamvictim@”，可能會形成以下Subject:hellocc:spamvictim@如果允許用戶使用這樣的subject，那他可能會給利用這個缺陷通過我們的平臺給其它用戶發(fā)送垃圾郵件。4.目錄遍歷Page26如何進(jìn)行目錄遍歷測試：目錄遍歷產(chǎn)生的原因是：程序中沒有過濾用戶輸入的“../”和“./”之類的目錄跳轉(zhuǎn)符,導(dǎo)致惡意用戶可以通過提交目錄跳轉(zhuǎn)來遍歷服務(wù)器上的任意文件。測試方法：在URL中輸入一定數(shù)量的“../”和“./”，驗證系統(tǒng)是否ESCAPE掉了這些目錄跳轉(zhuǎn)符.如何預(yù)防目錄遍歷？限制Web應(yīng)用在服務(wù)器上的運行進(jìn)行嚴(yán)格的輸入驗證，控制用戶輸入非法路徑5.錯誤信息Page2