接口測試培訓(xùn)

1、 姓名：李卓 部門：研發(fā)-業(yè)務(wù)保障部 崗位：測試開發(fā)工程師 2012年年6月月21日日目錄目錄測試依據(jù)測試范圍&內(nèi)容總結(jié)測試依據(jù)一切以一切以需求文檔需求文檔為準為準需求文檔需求文檔產(chǎn)品開發(fā)測試測試依據(jù)-需求規(guī)范接口文檔接口文檔包含如下內(nèi)容：1、接口概述：1）接口名稱2）接口功能3）接口類別4）提交者、提交時間、需求來源及時間要求2、HTTP請求方式3、認證說明4、請求限制說明5、請求參數(shù)說明 參數(shù)名、是否必選、類型、取值范圍、描述（非必選項的默認值）6、相關(guān)約束7、注意事項8、調(diào)用示例9、返回說明1）返回數(shù)據(jù)格式2）返回結(jié)果示例3）錯誤代碼及返回說明測試范圍&內(nèi)容u安全性u調(diào)用方式u參數(shù)格式校

2、驗u返回結(jié)果u功能邏輯u其他異常場景測試范圍&內(nèi)容-安全性 Referer限制 反射型XSS 存儲型XSS 防暴力破解 應(yīng)用程序隱私 SQL注入測試范圍&內(nèi)容-安全性RefererReferer限制限制: 為了防止CSRF(跨站請求偽造),采取的一種防范方式。測試范圍&內(nèi)容-安全性反射型反射型XSS、存儲型存儲型XSS: XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。解決方案： 使用htmlspecialchars把html標簽轉(zhuǎn)化。注意注意： 當允許輸入HTML標簽的頁面，可能會出現(xiàn)問題。測試范圍&內(nèi)容-安全性防暴力破解防暴力

3、破解: 暴力破解法，是一種針對于密碼的破譯方法，即將密碼進行逐個推算直到找出真正的密碼為止。解決方案：方案1：限制密碼輸入一定次數(shù)后，需要輸入動態(tài)碼。方案2：密碼輸入錯誤達到一定次數(shù)后，在一段時間內(nèi)不允許輸入。測試范圍&內(nèi)容-安全性應(yīng)用程序隱私應(yīng)用程序隱私: 用戶的敏感輸入字段未經(jīng)加密即進行了傳遞，導(dǎo)致用戶信息存在泄露的風(fēng)險。解決方案： 關(guān)鍵信息需加密傳輸。實例：測試范圍&內(nèi)容-安全性SQL注入注入: 通過惡意輸入，構(gòu)造非法sql語句，操作數(shù)據(jù)庫，從而達到非法攻擊或取得非法結(jié)果的手段。舉例:測試范圍&內(nèi)容-調(diào)用方式HTTP調(diào)用調(diào)用 注意注意：提交數(shù)據(jù)，一定使用POST方式，不能使用GET方式。

4、實際項目舉例：http:/ 必選項檢查 非必選項默認值 類型 取值范圍 長度 全/半角、大/小寫轉(zhuǎn)換測試范圍&內(nèi)容-參數(shù)格式校驗(2)舉例:添加好友接口，需求文檔中uid參數(shù)，opt參數(shù)描述如下：案例設(shè)計：1、帶/不帶uid參數(shù)，uid參數(shù)為空2、不帶opt參數(shù)3、uid填寫字母、漢字、特殊字符4、uid填寫3位、11位數(shù)字；opt參數(shù)填寫2；5、uid填寫全、半角數(shù)字參數(shù)參數(shù)意義意義是否必選是否必選類型類型取值范圍取值范圍說明說明uid用戶uidYint4-10位數(shù)字opt操作標識Nint0或10：添加好友1：刪除好友默認為0測試范圍&內(nèi)容-返回結(jié)果(1)原則原則：1、與需求一致（返回碼及返

5、回字段）。2、每種錯誤要有單獨且明確的錯誤碼。測試范圍&內(nèi)容-返回結(jié)果(2)實際項目舉例：測試點測試點提案號提案號與需求一致PROMINIBLOGBUG-3215單獨且明確的錯誤碼JSZX-2577測試范圍&內(nèi)容-功能邏輯（1）正常流程正常流程的驗證方式:1、通過查數(shù)據(jù)庫或MC驗證數(shù)據(jù)是否處理正確。2、通過其他輔助途徑進行驗證。 例如：驗證插入數(shù)據(jù)是否成功，可在插入數(shù)據(jù)后，通過查詢功能進行驗證。切記： 1、不能在看到正常調(diào)用且系統(tǒng)返回成功后，就認為該功能沒有問題。 2、所有的正確流程分支都需要覆蓋。測試范圍&內(nèi)容-功能邏輯（2）異常流程測試異常流程測試測試案例設(shè)計思路測試案例設(shè)計思路：1、根據(jù)

6、被測系統(tǒng)的功能，深入挖掘隱性需求。2、盡可能地把自己放在一個完全不了解需求的用戶角度去設(shè)計。測試范圍&內(nèi)容-功能邏輯（3）功能邏輯測試舉例： 添加好友功能，存在用戶uid和目標uid兩個參數(shù)，且存在查看好友、加入黑名單等功能。正常流程驗證：1、添加好友后，查看數(shù)據(jù)庫好友關(guān)系是否入庫。2、使用查看好友功能，驗證是否可正常查看到好友記錄。異常流程驗證：1、添加好友后，再次添加好友。2、將某用戶加入黑名單后，添加該用戶為好友。3、兩個uid分別使用系統(tǒng)中不存在的值。4、兩個uid填寫相同值。以上情況系統(tǒng)均應(yīng)返回對應(yīng)的正確的錯誤返回碼 注意： 正常流程正確，是異常流程驗證的前提。測試范圍&內(nèi)容-其他異常場景 研發(fā)的項目，有些項目是底層使用的系統(tǒng)，根據(jù)項目特點，可能會存在特殊的異常場景。舉例： 消息倉庫項目，可支持消息的持久化存儲。需要特殊考慮的異常場景：1、在接收消息后