衡水提供网站设计公司哪家专业,网站维护简单吗,软件开发公司账务处理,大港油田建设官方网站#x1f384;欢迎来到边境矢梦的csdn博文#x1f384; #x1f384;追求开源思想和学无止境思想一直在提升技术的路上 #x1f384; #x1f308;涉及的领域有#xff1a;Java、Python、微服务架构和分布式架构思想、基本算法编程#x1f308; #x1f386;喜欢的朋友可… 欢迎来到边境矢梦°的csdn博文 追求开源思想和学无止境思想一直在提升技术的路上 涉及的领域有Java、Python、微服务架构和分布式架构思想、基本算法编程 喜欢的朋友可以关注一下让我们一起在变成的路上相伴而行 本文主要记录自己的项目二手交易平台的测试过程和测试主要内容该项目是基于SpringCloud、MybatisPlus、MySQL、Redis、Maven、docker、RabbitMQ实现的高效稳定的交易系统不仅可以理解业务主要内容而且部分模块非常锻炼测试的能力和测试的技术提升。
一、环境搭建
在Linux上结合Docker进行环境的搭建 在Windows上安装VM虚拟机使用VM安装CentOS7.6镜像启动Linux系统并配置必要信息在Linux中安装Docker给Docker配置国内的镜像源在Docker中下载必需的镜像使用镜像生成容器方便后续的项目启动 ELK相关环境部署 在Docker中安装并运行Elasticsearch容器在Docker中安装并运行Logstash容器并进入容器内部安装json_lines插件在Docker中安装并运行Kibana容器搭建完成就可以访问Kibana的界面了 其他需要的组件可以在Java的Maven中通过依赖的方式导入Mysql使用Navicat进行操作Redis使用RedisDesktopManager进行操作MQ在Maven中进行依赖配置即可。
二、项目搭建
1. 准备工作
为了方便版本控制使用 git 进行项目托管 使用git在远程仓库先创建仓库然后再将仓库克隆到本地文件夹接下来本地文件夹中就会有一个.git 文件说明我们克隆成功 新建项目 在克隆成功的文件夹下新建后台管理项目 STrade打开IDEA在STrade文件下新建maven项目 快速搭建脚手架 为了方便开发和测试使用当下最常用的微服务脚手架搭建项目若依、人人fast将不用的模块删除留下基本模块和 Mybatis-Plus 为了后续使用它的功能 创建需要的数据库和表
商品相关的表 管理系统中信息管理的相关表 2.列出项目业务模块
主要业务 搜索模块即ElasticSearch实现的搜索功能秒杀模块商品秒杀模块数据同步模块即Canal将Mysql中的数据同步到ElasticSearch和Redis中 业务模块模块之间的关系 登录模块/注册模块购物车模块商品添加到购物车秒杀模块需要登录并获取到秒杀链接然后再生成订单 登录生产订单清除购物车订单支付模块搜索模块 测试的流程 需求评审编写测试计划和测试方案编写测试用例与评审测试执行与BUG跟踪编写测试报告 三、功能测试
基本要求覆盖需求需求文档产品原型图UI设计图以用户角度测试软件的可见功能
设计步骤需求分析 → 测试点 → 测试用例
1.登录测试 需求 1. 账号必填已经注册手机号或邮箱 2. 密码必填注册账号的密码 如何测试 1、分析需求 2、设计测试点覆盖需求维度参考质量模型 3、将测试点转为可执行用例文档 4、执行测试 5、缺陷管理提交-验证-关闭 有多个同类型数据如何选择 步骤 1、划分有效等价类满足需求的数据集合 2、划分无效等价类不满足需求的数据集合 3、每类中选取代表数据 功能需求测试点 1、输入正确的用户名正确的密码验证是否登录成功 2、输入正确的用户名不正确的密码验证是否登录失败并提示用户名或者密码不正确 3、输入不正确的用户名正确的密码验证是否登录失败并显示提示信息正确 4、输入不正确的用户名不正确的密码验证是否登录失败并显示提示信息正确 5、用户名和密码两者之一为空验证是否登录失败并显示提示信息正确 6、用户名和密码都为空验证是否登录失败并显示提示信息正确 编写测试用例 2.注册测试 需求说明与测试点 编写测试用例 等价类划分测试用例尽量覆盖全部的有效等价类每个无效等价类都需要一条测试用例 3.购物车测试 需求分析 测试用例 4.商品展示测试 测试项目 测试子项 测试步骤 预期结果 商品列表展示 - 信息完整性 商品图片显示 打开秒杀商品列表页面查看每个商品的图片 所有商品图片显示正常无加载失败、变形或模糊情况 商品列表展示 - 信息完整性 商品关键信息显示 查看每个商品是否显示名称、原价、秒杀价、剩余数量、秒杀开始和结束时间如有 所有商品的上述关键信息完整显示无信息缺失 商品列表展示 - 信息准确性 商品名称准确性 对比商品原始数据与列表中商品名称 商品名称与原始数据完全一致 商品列表展示 - 信息准确性 价格准确性 对比商品原价、秒杀价与预设值 原价和秒杀价与预设值相符 商品列表展示 - 信息准确性 数量准确性 对比商品剩余数量与实际库存情况 剩余数量与实际库存一致 商品列表展示 - 信息准确性 时间准确性 查看秒杀开始和结束时间格式与预设值 时间显示准确格式符合习惯 商品列表展示 - 显示格式与布局 整体布局合理性 查看商品列表布局注意商品间间距 布局合理信息排列整齐、易于阅读间距合适 商品列表展示 - 显示格式与布局 信息显示格式 查看商品信息字体大小、颜色等 字体大小、颜色统一且美观特殊商品有标识 商品详情展示 - 信息完整性与准确性 商品描述完整性 进入商品详情页查看商品描述内容 商品描述完整、通顺包含关键信息相关图片正常显示 商品详情展示 - 信息完整性与准确性 规格参数完整性 查看商品详情页规格参数部分 详细列出商品各项参数参数值准确 商品详情展示 - 信息完整性与准确性 售后服务条款完整性 查看售后服务条款内容 退换货政策、保修期限、客服联系方式等内容清晰明确 商品详情展示 - 图片展示 主图和细节图质量 查看商品详情页主图和细节图 图片清晰、完整展示商品外观和细节可放大查看如有功能且放大后质量好 商品详情展示 - 图片展示 图片加载速度 查看商品详情页图片加载情况 图片加载速度在可接受范围内 搜索框查询 - 搜索准确性 准确名称搜索 在搜索框输入商品准确名称 准确显示与输入名称相关的秒杀商品 搜索框查询 - 搜索准确性 关键词搜索 在搜索框输入商品关键词 准确显示与关键词相关的秒杀商品 搜索框查询 - 搜索准确性 品牌名搜索 在搜索框输入商品品牌名 准确显示该品牌的秒杀商品 搜索框查询 - 搜索准确性 多音字、同义词处理 在搜索框输入商品的多音字或同义词 能搜索到相应商品 搜索框查询 - 搜索结果排序 排序规则准确性 输入搜索词后查看搜索结果排序情况切换排序方式后再次查看 搜索结果按相关性、销量、价格等设定规则排序切换排序方式后结果准确 搜索框查询 - 搜索提示功能 提示相关性 在搜索框输入部分关键词 显示与输入相关且有引导性的搜索提示 分类查询 - 分类准确性 一级分类准确性 点击不同的一级商品分类标签 准确筛选出该分类下的秒杀商品无商品错分 分类查询 - 分类准确性 多级分类准确性 对于有多级分类的商品点击各级分类标签 准确通过多级分类筛选出目标商品层级关系正确 分类查询 - 全部分类显示 全部分类功能 点击“全部分类”选项如有 正确显示所有秒杀商品不受分类筛选影响 用例编号 测试项目 测试场景 测试步骤 预期结果 实际结果 测试状态 优先级 备注 1 商品列表展示 - 信息完整性 - 商品图片显示 查看商品列表中商品图片显示情况 1. 打开秒杀商品列表页面 2. 逐个查看商品图片 所有商品图片正常显示无加载失败、变形、模糊问题 / 未执行 高 / 2 商品列表展示 - 信息完整性 - 商品关键信息显示 检查商品列表中各商品关键信息完整性 1. 打开秒杀商品列表页面 2. 查看每个商品是否显示名称、原价、秒杀价、剩余数量、秒杀开始和结束时间如有 所有商品关键信息完整显示无缺失 / 未执行 高 / 3 商品列表展示 - 信息准确性 - 商品名称准确性 核对商品列表中商品名称准确性 1. 打开秒杀商品列表页面 2. 选取几个商品对比其在列表中的名称与原始数据 商品名称与原始数据完全一致 / 未执行 高 / 4 商品列表展示 - 信息准确性 - 价格准确性 核对商品原价和秒杀价准确性 1. 打开秒杀商品列表页面 2. 选取几个商品对比其原价和秒杀价与预设值 原价和秒杀价与预设值相符 / 未执行 高 / 5 商品列表展示 - 信息准确性 - 数量准确性 核对商品剩余数量准确性 1. 打开秒杀商品列表页面 2. 选取几个商品对比其剩余数量与实际库存情况 剩余数量与实际库存一致 / 未执行 高 / 6 商品列表展示 - 信息准确性 - 时间准确性 核对商品秒杀开始和结束时间准确性 1. 打开秒杀商品列表页面 2. 查看有秒杀时间限制商品的开始和结束时间格式与预设值 时间显示准确格式符合习惯 / 未执行 高 / 7 商品列表展示 - 显示格式与布局 - 整体布局合理性 检查商品列表整体布局合理性 1. 打开秒杀商品列表页面 2. 观察商品列表布局注意商品间间距 布局合理信息排列整齐、易于阅读间距合适 / 未执行 中 / 8 商品列表展示 - 显示格式与布局 - 信息显示格式 检查商品信息显示格式 1. 打开秒杀商品列表页面 2. 查看商品信息字体大小、颜色等 字体大小、颜色统一且美观特殊商品有标识 / 未执行 中 / 9 商品详情展示 - 信息完整性与准确性 - 商品描述完整性 检查商品详情页商品描述完整性 1. 在商品列表中点击一个商品进入详情页 2. 查看商品描述内容 商品描述完整、通顺包含关键信息相关图片正常显示 / 未执行 高 / 10 商品详情展示 - 信息完整性与准确性 - 规格参数完整性 检查商品详情页规格参数完整性 1. 在商品列表中点击一个商品进入详情页 2. 查看规格参数部分 详细列出商品各项参数参数值准确 / 未执行 高 / 11 商品详情展示 - 信息完整性与准确性 - 售后服务条款完整性 检查商品详情页售后服务条款完整性 1. 在商品列表中点击一个商品进入详情页 2. 查看售后服务条款内容 退换货政策、保修期限、客服联系方式等内容清晰明确 / 未执行 高 / 12 商品详情展示 - 图片展示 - 主图和细节图质量 检查商品详情页主图和细节图质量 1. 在商品列表中点击一个商品进入详情页 2. 查看主图和细节图 图片清晰、完整展示商品外观和细节可放大查看如有功能且放大后质量好 / 未执行 高 / 13 商品详情展示 - 图片展示 - 图片加载速度 检查商品详情页图片加载速度 1. 在商品列表中点击一个商品进入详情页 2. 观察图片加载情况 图片加载速度在可接受范围内 / 未执行 中 / 14 搜索框查询 - 搜索准确性 - 准确名称搜索 通过商品准确名称搜索商品 1. 在搜索框输入商品准确名称 2. 查看搜索结果 准确显示与输入名称相关的秒杀商品 / 未执行 高 / 15 搜索框查询 - 搜索准确性 - 关键词搜索 通过商品关键词搜索商品 1. 在搜索框输入商品关键词 2. 查看搜索结果 准确显示与关键词相关的秒杀商品 / 未执行 高 / 16 搜索框查询 - 搜索准确性 - 品牌名搜索 通过商品品牌名搜索商品 1. 在搜索框输入商品品牌名 2. 查看搜索结果 准确显示该品牌的秒杀商品 / 未执行 高 / 17 搜索框查询 - 搜索准确性 - 多音字、同义词处理 通过商品多音字或同义词搜索商品 1. 在搜索框输入商品的多音字或同义词 2. 查看搜索结果 能搜索到相应商品 / 未执行 中 / 18 搜索框查询 - 搜索结果排序 - 排序规则准确性 检查搜索结果排序规则准确性 1. 在搜索框输入搜索词 2. 查看搜索结果排序情况 3. 切换排序方式后再次查看 搜索结果按相关性、销量、价格等设定规则排序切换排序方式后结果准确 / 未执行 高 / 19 搜索框查询 - 搜索提示功能 - 提示相关性 检查搜索提示相关性 1. 在搜索框输入部分关键词 2. 查看搜索提示内容 显示与输入相关且有引导性的搜索提示 / 未执行 中 / 20 分类查询 - 分类准确性 - 一级分类准确性 通过一级分类标签筛选商品 1. 点击不同的一级商品分类标签 2. 查看筛选结果 准确筛选出该分类下的秒杀商品无商品错分 / 未执行 高 / 21 分类查询 - 分类准确性 - 多级分类准确性 通过多级分类标签筛选商品 1. 对于有多级分类的商品点击各级分类标签 2. 查看筛选结果 准确通过多级分类筛选出目标商品层级关系正确 / 未执行 高 / 22 分类查询 - 全部分类显示 - 全部分类功能 使用全部分类功能显示所有商品 1. 点击“全部分类”选项如有 2. 查看显示结果 正确显示所有秒杀商品不受分类筛选影响 / 未执行 高 / 四、非功能测试 1.秒杀测试 业务描述 秒杀活动开始之前有个活动倒计时时间到了则会放开秒杀的权限并生成一个验证码展示在前面页面并把验证结果存在redis中这里利用redis有过期时间的特性也给验证码的缓存加了个过期时间。这里的redis缓存用的是redis的string类型。在秒杀之前先要填一个验证码verifyCode点击秒杀按钮时先发送ajax请求到后台获取真实的秒杀地址path这里秒杀地址是隐藏的目的是防止有人恶意刷秒杀接口。所谓隐藏地址其实是在请求地址中加一段随机字符串这段字符串是变化的因此秒杀请求地址是动态的先说下如何获取真实的秒杀地址后台先访问redis验证一下这个验证码有没有过期以及这个verifyCode是不是正确验证码验证通过后先删除这个验证码缓存然后生成真实地址真实地址随机字符串由uuid以及md5加密生成并且保存在redis中并且设置了有效期从浏览器端向秒杀地址发起请求带上path参数去后台调用真正的秒杀接口下面是秒杀接口的逻辑访问redis验证path有没有过期以及是不是正确。这里验证path以及上面的校验验证码都是用userId对应生成的一个key值去取redis中的数据path验证通过后先访问内存标识看秒杀的这个商品有没有卖完减少对redis的不必要访问。每一种参与秒杀活动的商品都在内存里用HashMap设置了一个标识标识某个商品id商品是否卖完了。这里的是否卖完的内存标识设置以及每种参与秒杀商品的库存存入redis是在系统启动时做的如果内存标识中这个商品没有卖完则要看这个用户在这次活动中是否重复秒杀因为我们的秒杀规则是一个用户id对于某个商品id的商品只能秒杀一件。如何判断该用户有没有秒杀过这件商品呢秒杀记录也保存在redis缓存中如果判断秒杀过则返回提示如果没有秒杀过继续上面说过系统加载时redis中保存了各商品对应的库存这里用到redis的原子操作的方法decr将对应商品的库存减1此时数据库时的库存还没有减因此是预减库存desc方法返回该商品此时的库存如果小于0说明商品已经卖完了此次秒杀无效并且设置该商品的内存标识为true表示已卖完正确地预减库存后然后就要真正操作数据库了数据库一般是性能瓶颈比较耗时因此决定用异步方式处理。对于每一条秒杀请求存入消息队列RabbitMQ中消息体中要包含哪个用户秒杀哪个商品的信息这里是封装了一个消息体类这样一个秒杀请求就进入了消息队列一个秒杀请求还没有完成真正的秒杀请求的完成得要持久化到数据库生成订单减了数据库的库存才能算数这时在客户端显示的一般是排队中比如以前在抢购小米手机时我就看到这样的展示过一会再刷新页面就显示没抢到消息队列处理秒杀请求。先从消息体中解析出用户id和商品id查数据库看这个商品是否卖完了查数据库看该用户对于这个商品是否有过秒杀记录数据库减库存数据库生成订单这两项持久化地写数据库操作放在同一个事务中要么都执行成功要么都失败。并把秒杀记录对象包括秒杀单号、订单号、用户id、商品id存入redis中。如果数据库减库存失败表明商品卖完了则要在redis中设置该商品已卖完的标识。数据库减库存数据库生成订单这两项持久化地写数据库操作放在同一个事务中要么都执行成功要么都失败。并把秒杀记录对象包括秒杀单号、订单号、用户id、商品id存入redis中。如果数据库减库存失败表明商品卖完了则要在redis中设置该商品已卖完的标识。ajax发起秒杀请求秒杀请求的处理逻辑最后也只是把这条请求放入消息队列并不能返回是否秒杀成功的结果。因此当秒杀请求正确响应后即请求放入消息队列后需要另外一个请求去轮询秒杀结果秒杀成功的标志是生成秒杀订单并把秒杀订单对象放入redis中。所以轮询秒杀结果只用去轮询redis中是否有对应于该用户的该商品的秒杀订单对象如果有则表明秒杀成功并在前台给出提示。 流程图 设计秒杀场景的测试用例时需要考虑以下几个方面 并发场景测试在高并发下系统的稳定性和性能。可以模拟多个用户同时参与秒杀活动设置不同的线程数和请求间隔时间测试系统的响应时间和吞吐量等指标。库存场景测试系统对库存的管理和控制。可以设置不同的库存数量和秒杀人数测试系统是否能正常抢购并准确控制库存数量。安全场景测试系统的安全性。可以模拟攻击者对系统进行DDoS攻击或SQL注入等攻击方式测试系统的抗攻击能力。异常场景测试系统处理异常情况的能力。可以模拟网络故障、服务器宕机、重启等异常情况测试系统是否能够快速恢复和处理异常情况。业务场景测试系统对业务逻辑的处理能力。可以模拟不同的用户身份、优惠券使用、活动时间等不同的业务场景测试系统的处理能力和正确性。 比如可以设计以下测试用例 在高并发场景下测试系统的响应时间和吞吐量是否满足要求。设置不同的库存数量和秒杀人数测试系统是否能正常抢购并准确控制库存数量。模拟攻击者对系统进行DDoS攻击或SQL注入等攻击方式测试系统的抗攻击能力。模拟网络故障、服务器宕机、重启等异常情况测试系统是否能够快速恢复和处理异常情况。模拟不同的用户身份、优惠券使用、活动时间等不同的业务场景测试系统的处理能力和正确性。 压测秒杀接口
因为请求都要在登录的情况下才能进行否则拦截器会直接重定向到登录页面所以需要在请求时设置cookie信息模拟已登录的用户首先生5000个用户并使用这5000个用户登录系统将生成的用户电话号码和token写入文件 使用 JMeter 来模拟同时有 5000 个用户循环 10 次的情况。 请求默认值设置 token设置即将我们刚才生成的用户信息文件配置到Jmeter 秒杀接口的配置 执行结果 2.安全性
测试需求 测试项目 测试子项 测试步骤 预期结果 用户认证与授权安全 - 登录认证 - 正常登录测试 正常登录 使用合法的用户名和密码登录秒杀系统 成功登录并进入相应用户界面 用户认证与授权安全 - 登录认证 - 错误密码测试 错误密码多次尝试 连续输入错误密码 达到一定次数后系统提示账户锁定或限制登录如提示“账户已锁定请稍后再试” 用户认证与授权安全 - 登录认证 - 密码复杂度测试 简单密码使用 尝试使用简单密码如纯数字、长度过短等注册或修改密码 系统提示密码不符合复杂度要求如“密码必须包含字母、数字和特殊字符长度至少为8位” 用户认证与授权安全 - 登录认证 - 密码加密测试 查看密码存储 通过数据库查询工具查看存储用户密码的字段内容 密码以加密形式存储无法直接识别原始密码内容 用户认证与授权安全 - 权限控制 - 普通用户权限测试 普通用户访问管理页面 以普通用户身份登录后尝试访问管理员专属功能页面如创建秒杀活动页面 系统拒绝访问提示“权限不足”或跳转到其他合法页面如用户个人中心 用户认证与授权安全 - 权限控制 - 管理员权限测试 管理员正常操作 以管理员身份登录执行创建秒杀活动、管理商品等管理功能 操作成功相应功能正常执行如成功创建秒杀活动商品信息准确更新 用户认证与授权安全 - 权限控制 - 权限升级测试 非法提升权限 通过修改 URL 参数或其他方式尝试将普通用户权限提升为管理员权限 系统拒绝访问无权限提升情况发生如提示“非法操作权限不足” 数据加密与传输安全 - 网络抓包 - 传输加密检查 网络抓包操作 使用 Wireshark 等网络抓包工具在用户登录、提交订单时抓包 抓到的数据为加密信息无法直接获取明文内容若使用 HTTPS可看到加密协议相关信息 数据加密与传输安全 - 网络抓包 - 证书验证 检查加密证书 查看抓包信息中的证书详情尝试进行中间人攻击模拟 证书有效系统能识别并拒绝中间人攻击如显示证书验证通过攻击请求被阻断 数据加密与传输安全 - 敏感数据加密 - 信息加密检查 查看存储和传输的敏感数据 检查用户个人信息和支付信息在存储数据库和传输网络抓包查看过程 数据以加密形式存在无法直接获取明文如姓名、银行卡号等信息加密存储和传输 数据加密与传输安全 - 敏感数据加密 - 加密强度验证 尝试破解加密数据 使用常见的加密破解工具或算法对加密数据进行破解尝试 在合理时间内无法破解加密数据加密算法强度符合安全标准 防止 SQL 注入攻击 - 输入验证 - SQL 语句输入 在输入框输入 SQL 注入语句 在搜索框、商品评论等输入框输入类似“ OR 11 --”的语句 系统不执行恶意 SQL 语句提示输入错误或正常处理无数据泄露或异常行为 防止 SQL 注入攻击 - 输入验证 - 数据类型和长度验证 输入不符合要求的数据 输入不符合数据类型如在数字字段输入字母或超过长度限制的数据 系统提示输入错误如“输入数据类型不匹配”或“输入长度超出限制” 防止 SQL 注入攻击 - 参数化查询 - 检查查询方式 查看系统与数据库交互方式 检查代码或通过数据库监控工具查看系统与数据库交互的查询语句执行情况 系统使用参数化查询或存储过程不存在拼接 SQL 语句的情况 防止 XSS 攻击 - 输入 - 脚本输入 输入含脚本内容 在用户名、商品描述等输入框输入“” 系统对输入进行过滤或转义页面不会弹出警告框无脚本执行情况 防止 XSS 攻击 - 输入 - HTML 标签过滤 输入 HTML 标签 输入一些 HTML 标签如、等 系统对标签进行过滤或转义标签不会以 HTML 形式渲染如显示原始标签内容而不是加粗或斜体效果 防止 XSS 攻击 - 输出编码 - 特殊字符输出 查看输出数据 检查系统将用户输入的数据输出到页面时的情况如显示用户评论 特殊字符如、、等被正确编码不会被浏览器解析为 HTML 或脚本元素 防止 CSRF 攻击 - 令牌验证 - 正常操作令牌检查 关键操作检查 在提交订单、修改密码等操作时查看系统是否有令牌生成和验证机制 系统生成唯一的 CSRF 令牌每次操作验证令牌有效性操作成功 防止 CSRF 攻击 - 令牌验证 - 伪造请求测试 跨站伪造请求 通过其他网站发起伪造的请求模拟 CSRF 攻击 系统能识别并拒绝伪造请求如提示“非法请求CSRF 攻击检测” 防止 CSRF 攻击 - Referer 检查 - 正常请求检查 查看 Referer 正常访问秒杀系统并执行操作查看请求头中的 Referer 信息 Referer 信息与系统域名相关显示合法的来源请求 防止 CSRF 攻击 - Referer 检查 - 非法请求检查 模拟非法 Referer 请求 通过修改请求头的 Referer 为其他域名后发起请求 系统拒绝请求提示“非法 Referer可能是 CSRF 攻击” 系统漏洞扫描 - 专业工具扫描 全面漏洞扫描 使用 Nessus、OpenVAS 等工具对秒杀系统进行扫描 扫描报告列出发现的漏洞如有并提供详细的漏洞信息如漏洞名称、位置、风险等级 系统漏洞扫描 - 手动审查 代码和配置审查 安全专家对系统代码、配置文件进行手动审查 发现潜在安全风险和漏洞如有如代码中的逻辑错误可能导致安全问题、配置不当的安全参数 压力测试下的安全性 - 高并发压力测试 - 安全表现观察 高并发模拟 使用 JMeter 等压力测试工具模拟大量用户同时访问和操作秒杀系统如登录、抢购 在高并发情况下系统无安全漏洞被利用的情况如用户信息未泄露、订单未被篡改 压力测试下的安全性 - 资源耗尽测试 - 资源耗尽模拟 耗尽资源操作 通过大量请求使系统 CPU、内存、网络带宽等资源耗尽 系统有资源监控机制在资源耗尽时不出现安全漏洞被利用的情况如防止恶意攻击利用资源耗尽进行非法操作 测试用例 用例编号 测试项目 测试场景 测试步骤 预期结果 实际结果 测试状态 优先级 备注 1 用户认证与授权安全 - 登录认证 - 正常登录测试 使用合法凭证登录系统 1. 打开秒杀系统登录页面 2. 输入合法的用户名和密码 3. 点击登录按钮 成功登录进入与用户角色对应的界面如普通用户进入商品浏览页面管理员进入管理后台首页 / 未执行 高 确保用户名和密码正确且为已注册账号 2 用户认证与授权安全 - 登录认证 - 错误密码测试 多次输入错误密码 1. 打开秒杀系统登录页面 2. 输入正确的用户名和错误的密码 3. 重复步骤2直到达到系统设定的尝试次数限制 在达到限制次数前每次提示密码错误达到限制次数后系统提示账户锁定或限制登录如显示“账户已锁定请于[X]分钟后再试” / 未执行 高 记录每次提示信息和锁定情况 3 用户认证与授权安全 - 登录认证 - 密码复杂度测试 尝试使用简单密码注册或修改密码 1. 打开注册页面或密码修改页面如有 2. 输入简单密码如纯数字如123456、纯字母如abcdef或长度过短如小于6位的密码 3. 尝试提交密码 系统提示密码不符合复杂度要求如弹出“密码必须包含字母、数字和特殊字符长度至少为8位”提示框 / 未执行 高 测试不同类型的简单密码情况 4 用户认证与授权安全 - 登录认证 - 密码加密测试 检查用户密码存储方式 1. 使用数据库管理工具连接到系统数据库 2. 在存储用户信息的表中查找存储密码的字段 密码以加密形式存储呈现为不可识别的密文如乱码或经过哈希处理后的字符串 / 未执行 高 注意不要影响生产数据 5 用户认证与授权安全 - 权限控制 - 普通用户权限测试 普通用户访问管理员功能页面 1. 使用普通用户账号登录系统 2. 在浏览器地址栏手动输入管理员功能页面的 URL如创建秒杀活动页面的 URL或通过菜单尝试访问 系统拒绝访问页面跳转到用户个人中心或显示“权限不足”的提示信息 / 未执行 高 可尝试多种管理员功能入口 6 用户认证与授权安全 - 权限控制 - 管理员权限测试 管理员执行管理功能 1. 使用管理员账号登录系统 2. 执行创建秒杀活动、修改商品信息、查看订单列表等管理功能 3. 检查操作结果 相应管理功能执行成功如成功创建带有正确参数的秒杀活动商品信息准确更新订单列表正确显示 / 未执行 高 检查每个功能的输入输出是否正确 7 用户认证与授权安全 - 权限控制 - 权限升级测试 非法提升权限 1. 使用普通用户账号登录系统 2. 通过修改 URL 参数如在 URL 中添加管理员权限标识或修改请求中的其他参数如在 POST 请求中添加管理员权限相关字段尝试访问管理员功能 系统拒绝访问提示“非法操作权限不足”无权限提升情况如不能进入管理员功能页面或执行管理员操作 / 未执行 高 记录修改的参数和系统的响应 8 数据加密与传输安全 - 网络抓包 - 传输加密检查 检查用户操作过程中的数据加密情况 1. 打开网络抓包工具如Wireshark 2. 在用户登录、提交订单等操作时进行抓包 抓到的数据为加密信息无法直接获取明文内容若使用 HTTPS可看到加密协议相关信息如TLS握手过程 / 未执行 高 确保抓包工具设置正确 9 数据加密与传输安全 - 网络抓包 - 证书验证 验证加密证书有效性 1. 在网络抓包工具中查看加密证书详情 2. 尝试使用中间人攻击模拟工具如有模拟中间人攻击 证书有效系统能识别并拒绝中间人攻击如抓包工具显示证书验证通过中间人攻击请求被系统阻断无数据泄露 / 未执行 高 注意模拟攻击的合法性和范围 10 数据加密与传输安全 - 敏感数据加密 - 信息加密检查 检查敏感数据的加密存储和传输 1. 使用数据库管理工具查看用户个人信息姓名、地址等和支付信息银行卡号等在数据库中的存储情况 2. 在网络抓包过程中查看这些信息在传输过程中的情况 数据以加密形式存在无论是在数据库存储还是网络传输过程中都无法直接获取明文如银行卡号显示为加密后的字符串 / 未执行 高 注意保护敏感数据安全 11 数据加密与传输安全 - 敏感数据加密 - 加密强度验证 尝试破解加密数据 1. 使用常见的加密破解工具或算法如针对哈希加密的彩虹表攻击工具对加密的敏感数据进行破解尝试 2. 设置合理的破解时间限制如数小时 在规定时间内无法破解加密数据加密算法强度符合安全标准如哈希值未被还原为原始密码 / 未执行 高 注意破解工具的合法性和使用环境 12 防止 SQL 注入攻击 - 输入验证 - SQL 语句输入 在输入框输入 SQL 注入语句 1. 打开秒杀系统的搜索框、商品评论等可输入的界面 2. 输入类似“ OR 11 --”的 SQL 注入语句 3. 提交输入内容 系统不执行恶意 SQL 语句提示输入错误如“输入内容包含非法字符”或正常处理如搜索结果正常未出现数据泄露无异常行为如数据库报错、数据被篡改 / 未执行 高 尝试不同类型的 SQL 注入语句 13 防止 SQL 注入攻击 - 输入验证 - 数据类型和长度验证 输入不符合要求的数据 1. 找到系统中数字类型输入框如商品数量输入框输入字母字符 2. 在有长度限制的输入框如用户名输入框输入超过长度限制的数据 3. 提交输入内容 系统提示输入错误如在数字输入框输入字母时提示“输入数据类型不匹配”在超过长度限制时提示“输入长度超出限制” / 未执行 高 测试多个不同类型和长度限制的输入框 14 防止 SQL 注入攻击 - 参数化查询 - 检查查询方式 查看系统与数据库交互方式 1. 通过查看系统代码如果有权限或使用数据库监控工具如数据库自带的查询日志功能 2. 执行一些数据库操作如查询商品、提交订单等观察系统与数据库交互的查询语句执行情况 系统使用参数化查询或存储过程不存在拼接 SQL 语句的情况如在查询日志中看到参数化的查询语句格式 / 未执行 高 确保监控工具不影响系统性能 15 防止 XSS 攻击 - 输入 - 脚本输入 在输入框输入 JavaScript 脚本 1. 打开秒杀系统的用户名、商品描述等可输入界面 2. 输入“” 3. 查看页面显示情况 系统对输入进行过滤或转义页面不会弹出警告框无脚本执行情况输入内容以原始文本形式显示或经过安全处理后的形式显示 / 未执行 高 尝试不同类型的 JavaScript 脚本 16 防止 XSS 攻击 - 输入 - HTML 标签过滤 输入 HTML 标签 1. 在秒杀系统的可输入界面输入一些 HTML 标签如、、等2. 查看页面显示情况 系统对标签进行过滤或转义标签不会以 HTML 形式渲染如输入的标签不会使文本加粗而是以原始标签文本形式显示 / 未执行 高 测试多种 HTML 标签 17 防止 XSS 攻击 - 输出编码 - 特殊字符输出 检查系统输出用户输入数据的情况 1. 在秒杀系统的评论区输入包含特殊字符如、、、、等的内容 2. 查看评论内容在页面上的显示情况 特殊字符被正确编码不会被浏览器解析为 HTML 或脚本元素如显示为显示为 / 未执行 高 检查多个输出用户输入数据的页面 18 防止 CSRF 攻击 - 令牌验证 - 正常操作令牌检查 检查关键操作中的 CSRF 令牌机制 1. 打开秒杀系统执行提交订单、修改密码等关键操作 2. 使用浏览器开发者工具查看请求中的令牌信息如在请求头或请求体中 系统生成唯一的 CSRF 令牌每次操作验证令牌有效性操作成功如订单提交成功密码修改成功 / 未执行 高 不同操作可能有不同的令牌位置 19 防止 CSRF 攻击 - 令牌验证 - 伪造请求测试 发起跨站伪造请求 1. 使用模拟 CSRF 攻击的工具或自行编写代码模拟从其他网站发起伪造的请求针对提交订单、修改密码等关键操作 2. 观察系统响应 系统能识别并拒绝伪造请求如提示“非法请求CSRF 攻击检测”关键操作未执行 / 未执行 高 注意模拟攻击的合法性和对其他系统的影响 20 防止 CSRF 攻击 - Referer 检查 - 正常请求检查 查看正常请求的 Referer 信息 1. 使用正常的浏览器访问秒杀系统执行一些操作如浏览商品、添加购物车等 2. 使用浏览器开发者工具查看请求头中的 Referer 信息 Referer 信息与系统域名相关显示合法的来源请求如显示秒杀系统的域名或相关子域名 / 未执行 高 不同浏览器可能显示方式略有不同 21 防止 CSRF 攻击 - Referer 检查 - 非法请求检查 模拟非法 Referer 请求 1. 使用工具修改请求头的 Referer 为其他域名后发起对秒杀系统关键操作如提交订单的请求 2. 观察系统响应 系统拒绝请求提示“非法 Referer可能是 CSRF 攻击”关键操作未执行 / 未执行 高 注意修改 Referer 的工具使用方法 22 系统漏洞扫描 - 专业工具扫描 使用专业漏洞扫描工具全面扫描系统 1. 安装并配置 Nessus、OpenVAS 等专业漏洞扫描工具 2. 设置扫描目标为秒杀系统的服务器地址或域名 3. 启动扫描并等待扫描完成 扫描报告列出发现的漏洞如有并提供详细的漏洞信息如漏洞名称、位置、风险等级无扫描工具报错情况 / 未执行 高 扫描可能需要较长时间注意扫描过程对系统的影响 23 系统漏洞扫描 - 手动审查 人工审查系统代码和配置 1. 安排安全专家对系统代码包括前端、后端代码进行逐行审查 2. 对系统的配置文件如服务器配置、数据库配置等进行详细审查 发现潜在安全风险和漏洞如有如代码中的逻辑错误可能导致安全问题、配置不当的安全参数审查过程有详细记录 / 未执行 高 安全专家需具备相关知识和经验 24 压力测试下的安全性 - 高并发压力测试 - 安全表现观察 在高并发情况下检查系统安全 1. 使用 JMeter 等压力测试工具设置大量并发用户如1000个以上 2. 配置模拟用户登录、抢购商品等操作 3. 运行压力测试并观察系统情况 在高并发情况下系统无安全漏洞被利用的情况如用户信息未泄露、订单未被篡改系统性能稳定无崩溃或异常错误信息 / 未执行 高 压力测试可能对系统资源有较高要求 25 压力测试下的安全性 - 资源耗尽测试 - 资源耗尽模拟 模拟资源耗尽时的安全情况 1. 使用工具如网络压力测试工具大量占用带宽、内存泄漏测试工具消耗内存等使系统 CPU、内存、网络带宽等资源耗尽 2. 在资源耗尽过程中观察系统的安全表现 系统有资源监控机制在资源耗尽时不出现安全漏洞被利用的情况如防止恶意攻击利用资源耗尽进行非法操作系统可能有相应的保护措施如自动限制部分功能 / 未执行 高 注意资源耗尽可能对系统造成的损害
