接口测试培训讲述.ppt

* * * * * * * * * * * * * 接口测试培训 姓名：李卓 部门：研发-业务保障部 岗位：测试开发工程师 2012年6月21日 目录 测试依据 测试范围内容 总结 测试依据 一切以需求文档为准 需求文档 产品 开发 测试 测试依据-需求规范 接口文档包含如下内容： 1、接口概述： 1）接口名称 2）接口功能 3）接口类别 4）提交者、提交时间、需求来源及时间要求 2、HTTP请求方式 3、认证说明 4、请求限制说明 5、请求参数说明 参数名、是否必选、类型、取值范围、描述（非必选项的默认值） 6、相关约束 7、注意事项 8、调用示例 9、返回说明 1）返回数据格式 2）返回结果示例 3）错误代码及返回说明 测试范围内容 安全性 调用方式 参数格式校验 返回结果 功能逻辑 其他异常场景 测试范围内容-安全性 Referer限制 反射型XSS 存储型XSS 防暴力破解 应用程序隐私 SQL注入 测试范围内容-安全性 Referer限制: 为了防止CSRF(跨站请求伪造),采取的一种防范方式。 测试范围内容-安全性 反射型XSS、存储型XSS: XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 解决方案： 使用htmlspecialchars把html标签转化。 注意： 当允许输入HTML标签的页面，可能会出现问题。 测试范围内容-安全性 防暴力破解: 暴力破解法，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。 解决方案： 方案1：限制密码输入一定次数后，需要输入动态码。 方案2：密码输入错误达到一定次数后，在一段时间内不允许输入。 测试范围内容-安全性 应用程序隐私: 用户的敏感输入字段未经加密即进行了传递，导致用户信息存在泄露的风险。 解决方案： 关键信息需加密传输。 实例： 测试范围内容-安全性 SQL注入: 通过恶意输入，构造非法sql语句，操作数据库，从而达到非法攻击或取得非法结果的手段。 举例: 测试范围内容-调用方式 HTTP调用 注意：提交数据，一定使用POST方式，不能使用GET方式。 实际项目举例： /browse/CLOUDBOXBUG-608 其他调用方式 测试范围内容-参数格式校验(1) 必选项检查 非必选项默认值 类型 取值范围 长度 全/半角、大/小写转换 测试范围内容-参数格式校验(2) 举例: 添加好友接口，需求文档中uid参数，opt参数描述如下： 案例设计： 1、带/不带uid参数，uid参数为空 2、不带opt参数 3、uid填写字母、汉字、特殊字符 4、uid填写3位、11位数字；opt参数填写2； 5、uid填写全、半角数字 参数 意义 是否必选 类型 取值范围 说明 uid 用户uid Y int 4-10位数字 …… opt 操作标识 N int 0或1 0：添加好友 1：删除好友 默认为0 测试范围内容-返回结果(1) 原则： 1、与需求一致（返回码及返回字段）。 2、每种错误要有单独且明确的错误码。 测试范围内容-返回结果(2) 实际项目举例： 测试点 提案号 与需求一致 PROMINIBLOGBUG-3215 单独且明确的错误码 JSZX-2577 测试范围内容-功能逻辑（1） 正常流程的验证方式: 1、通过查数据库或MC验证数据是否处理正确。 2、通过其他辅助途径进行验证。 例如： 验证插入数据是否成功，可在插入数据后，通过查询功能进行验证。 切记： 1、不能在看到正常调用且系统返回成功后，就认为该功能没有问题。 2、所有的正确流程分支都需要覆盖。 测试范围内容-功能逻辑（2） 异常流程测试 测试案例设计思路： 1、根据被测系统的功能，深入挖掘隐性需求。 2、尽可能地把自己放在一个完全不了解需求的用户角度去设计。 测试范围内容-功能逻辑（3） 功能逻辑测试举例： 添加好友功能，存在用户uid和目标uid两个参数，且存在查看好友、加入黑名单等功能。 正常流程验证： 1、添加好友后，查看数据库好友关系是否入库。 2、使用查看好友功能，验证是否可正常查看到好友记录。 异常流程验证： 1、添加好友后，再次添加好友。 2、