韩国做美食的视频网站,徐州建设工程交易网站质量监督,天津建设网查询,网站开发采用了哪些技术怎么写探索无界#xff0c;BUG无限 一、修改系统时间
当功能模块中存在倒计时、计时器、时间#xff0c;与时间有关系时#xff0c;尝试修改系统时间#xff0c;测试系统时间是否参与计算#xff0c;修改系统时间是否会影响到倒计时、计时、时间等与时间有关系的模块
例#… 探索无界BUG无限 一、修改系统时间
当功能模块中存在倒计时、计时器、时间与时间有关系时尝试修改系统时间测试系统时间是否参与计算修改系统时间是否会影响到倒计时、计时、时间等与时间有关系的模块
例1小时后秒杀商品修改系统时间到1小时后测试是否可以下单 二、断网、断网重连、服务器断开
1、断网操作功能流程是否报错、闪退、卡死、异常显示问题
2、断网重连app内测试功能是否可正常使
3、断网进入app重连网测试部分接口是否未重新调用导致功能数据缺失
4、服务器断开功能使用检测 三、弱网
模拟网络弱网场景4g网络、地铁、机场、地下室、室外等
弱网状态重复提交操作会导致接口调用错乱、业务重复调用、业务出错等BUG
弱网状态测试响应超时导致的接口报错等
弱网状态测试延迟导致的页面交互错乱等
弱网状态测试接口超时导致的前后端异常问题状态变更错误、数据加减错误
1、弱网下客户端要传参数给服务器。 例如请求参数是index 0 拿到服务器响应我们就index。 若服务器500我们下次请求必须还 是index 0所以我们要做 --index用减去1返回值发请求。如果不幸写成index--很不幸bug就来了 因为此时index 1。 2、网络异常测试客户端重试策略只有在弱网下才能看到效果。 例如客户端经常做一种处理请求对象发送返回失败客户端会重试请求必须是异步进行的此时可 能会出现重试失败仍然一直在发请求重试策略有问题如果是服务器爆了你一直重试发请求app 绝对被爆………… 3、开源网络框架也许经不住弱网 例如现在Android的http开源框架天多了公司多数都会用这些二次封装的框架类似于okHttp、volley 用的比较多一些免不得在弱网环境下抛异常。就因为请求是在工作线程进行的所以……并发不是所 有人都能玩的转的很容易出现bug。 4、弱网环境下网络连接失败抛异常 例如弱网迟迟没有返回响应此时网络连接抛异常可能会没处理响应实例对象没有拿到是个null 又没处理又要抛异常………… 5、弱网环境下ui可能出现问题 例如网络请求还在异步进行中一般UI我们都会有进度条告知用户没有拿到响应后我们要更新ui提 示用户网络连接失败等等文案此时可能会出现问题View没有同步成功或者忘记gone掉进度条…… 6、网络请求失败策略之用户主动再次发出请求 例如弱网下请求失败抛出异常提示用户重试再次发出请求用户点击重试再次发出请求此时 处理可能会出现问题 四、推送
1、已登录账号删除app重装进入登录页面register_id未清空会收到推送
2、已登录账号登录信息失效踢出到登录页面register_id未清空会收到推送
3、已登录账号账号再其它地方登录踢出到登录页面register_id未清空会受到推送 五、修改请求参数、修改响应内容
1、用户购买会员的金额可以通过修改请求里的金额进行购买---原因后端的代码没有将拿到的用户的金额和实际的金额进行对比再去发出下一步的支付流程。
余额1元购买2元商品修改请求金额为2元测试是否可购买成功
余额1元购买2元商品修改请求金额为0.1元测试是否可购买成功
2、实名认证请求https://m.kaola.com/member/activity/valid/nameAuth.html只需将请求里Response里code修改为unknown200以及将success的值修改为true然后将这个请求发出去之后我们的刷子用户就可以成功绕过这个围墙了去购买参加我们试用会员了从而可以享受我们的7天会员96折价格 六、并发
1、余额1元并发提现1元100次测试成功提现多次
2、创建订单A对订单A进行并发100次付款测试付款成功多次
3、抽奖系统每人可抽一次并发抽取100次测试可抽取多次
4、1个红包、2个红包时同用户并发提现100次不同用户并发提现100次 七、越权
1、登录权限越权
token失效、账号被踢出使用创建订单、充值、付款功能对token检验进行测试
2、业务逻辑越权 1业务状态越权 新建的订单、已付款的订单、已发货的订单、已收货的订单、已完成的订单、已评价的订单进行付款操作测试 2业务终结越权
已实名认证成功再次实名认证、再次实名认证其它身份证 3业务上下层越权 已实名认证进入提现业务库里改状态为未未实名认证提现检测 4业务资源占用越权
A身份证被A用户占用B用户绑A身份证检测
3、垂直越权未授权功能
主管有修改权限客服有查看权限主管账号更换为客服账号进行修改操作测试
4、水平越权其它用户、团队资源
通过修改URL链接上的参数来进行一些非对应账号信息的查看和操作。
例1修改URL上的订单号为别人的查看、修改、删除、评价、操作别人的订单进行测试
例2修改URL上的订单参数为不存在的查看、修改、删除、评价、操作别人的订单进行测试
例3主管有修改权限A团队主管修改B团队成员信息
5、非归属关系越权
例转移会员给已锁定的BD转移成功应不可转移 八、重复提交
重复提交业务会处理多次业务逻辑会错乱
例1新建订单、每次签到、领取奖励重复提交多次导致业务创建多次检测
例2实名认证成功业务结束再次实名认证业务处理检测 九、假设法
1、假设列表字段为0、空、null值、超长、超大测试异常、报错、溢出问题
2、假设因为BUG导致绑定了别人的卡提现测试
3、假设列表数据10w条大量数据测试
4、假设接口返回跳转链接字段空点击跳转APP闪退需异常处理
接口应该返回
{code:0,msg:成功,data:{status:true,url:http:\/\/activity-h5.st1.test.lanxinka.com\/interview-report?targetwatch_cidJyNHWjwVbm}}
但是返回{code:0,msg:成功,data:{status:true,url:}}
5、假设页面1接口还未返回数据时进入页面2页面2需用到接口字段会报错
例页面1是商品列表点商品进入商品详情页面进入商品伤情页面需传商品id
解决页面1还未加载完成时无法拿到商品id前端判断无法进入商品详情
6、假设页面接口字段还未返回时触发页面功能导致出错
例接口返回手机号字段显示到页面上点拨打电话可拨打电话
解决前端还未拿到手机号字段时不显示拨打电话按钮或点拨打电话弹出提示 十、内存溢出、内存泄露
1、内存泄露长时间操作功能或模块感觉越来越卡、越来越慢测试内存泄露问题
2、内存溢出长时间操作功能或模块感觉越来越卡、越来越慢直至报错、闪退等问题测试内存溢出问题
3、操作功能观察内存使用情况测试后端代码是否存在内存泄露问题 十一、超时、失败、接口异常报错
超时
1、接口响应超时测试超时后的处理
因网络慢、服务器压力大、数据量大导致处理时间过长超时调用支付中心业务方失败支付中心处理成功钱已发出去
例1发佣金2000条点审核通过处理结果为发送失败应该是超时了但支付中心处理成功实际金额已发到用户账户
2、前端请求超时测试超时后的处理
3、第三方系统维护中测试维护中处理
4、服务器断开测试功能使用的异常处理
失败
1、失败结果处理
充值失败冲入和冲出账户回退检测
接口异常报错
1、接口报错500前端处理检测
2、接口返回格式错误前端处理检测
3、接口未获取到数据前端处理检测 十二、SQL、代码注入
1、表单类注入
登录时SQL是这样 select * from user where usernamechengzi and passwordmd5(123456);
我们现在需要构建一个比如在用户名输入框中输入: ’ or 11#,密码随便输入这时候的合成后的SQL查询语句为
select * from user where username or 11 # and passwordmd5(123456);
等价于
select * from user where username or 11;
就可以登录成功了
2、url传参注入
首先应测试是否存在注入漏洞简单的’ 或 and 11 and 12之类的SQL语句。
如果没有检测直接运行SQL语句说明有机会注入。
举例
从参数注入简单的测试方法是
① http://www.xxx.com/index.php?id2
② http://www.xxx.com/index.php?id2 and 11
③ http://www.xxx.com/index.php?id2 and 12
可以注入的表现
① 正常显示这是必然的不然程序就有错
② 正常显示内容基本与①相同
③ 提示BOF或EOF程序没做任何判断时、或提示找不到记录判断了rs.eof时、或显示内容为空程序加了on error resume next说明未进行特殊字符过滤处理存在SQL注入漏洞
3、代码注入
提交死循环代码测试是否进行过滤处理
script for(i0;i1;i--) { alert(msg) } /script 十三、安全测试—短信轰炸
危害
1、批量给用户发100w条短信造成用户骚扰和公司短信费用损失
2、批量给非正常手机号码发短信
语预防方案
1、对手机号做验证正确的手机号才可发短信成功
2、同一个手机号不能连续获取短信验证码如设置1分钟仅允许使用1次
3、同一手机号一天设置最大发送验证码次数如同一手机号一天最多发十条
4、设置每日总成功短信上限
5、当同一个手机号码或者ip重复连续不断发起请求时将手机号码或者ip拉黑处理 十四、多触点控
1、测试页面交互错乱问题 十五、接口status字段
1、接口各种status功能页面显示检测
2、接口各种status操作功能提示信息检测 十六、数据初始化修复
1、因表结构发生变化原因老数据需做初始化修复
2、因表版本功能变更原因老数据需做初始化修复
3、因操作失误原因老数据需做初始化修复
4、因BUG原因老数据需做初始化修复 十七、接口字段一般不能删减或字段值修改、删减
1、新版本原字段检测
2、新版本原字段值检测 十八、未来状态/不存在的关联传参
1、如果status有1招聘 2非招聘
考虑0和3测试程序如何处理的是否会1统一处理成招聘,2统一处理成非招聘如果这样处理了下个版本如果加了status 3急招新版本后端先上线app审核阶段0会显示招聘3会显示非招聘这样是错误的所以当时就应该非1和2统一处理为不存在的状态
2、支付不存在的订单号检测 十九、优选资源少校验
因为优先校验资源少的校验不通过避免校验资源大的造成服务器资源浪费消耗
例如手机号和验证码登录优先校验验证码是否正确再校验用户登录信息是否正确如果验证码不正确避免用户信息查询校验 二十、外部事件
断网、断网重连、关闭定位权限、关闭通知、关闭相机相册权限、关闭电话权限
电话、短信、视频、重启手机
安卓返回键、清缓存、清数据、转移应用
IOS锁屏、HOME 持续更新——————————————————————————————
