什么是軟件測試：通俗的講：就是找軟件的“茬”（bug），即發(fā)現(xiàn)程序錯誤，然后提交給開發(fā)人員修改并進(jìn)行驗證的一系列過程，以滿足上線后系統(tǒng)能按期望的設(shè)計穩(wěn)定、正確的運(yùn)行。沒有經(jīng)過測試的軟件是不可靠的，后果也是可以想象到的。

測試的作用：是在用戶使用之前發(fā)現(xiàn)錯誤，測試工程師要站在用戶的角度來發(fā)現(xiàn)錯誤，使用戶拿到的產(chǎn)品質(zhì)量更高，讓用戶更滿意。

測試的目的：
發(fā)現(xiàn)被測對象與用戶需求之間的差異，即缺陷；
通過測試活動發(fā)現(xiàn)并解決缺陷，增加人們對軟件質(zhì)量的信心；
通過測試活動了解被測對象的質(zhì)量狀況，為決策提供數(shù)據(jù)依據(jù)；
通過測試活動積累經(jīng)驗，預(yù)防缺陷出現(xiàn)，降低產(chǎn)品失敗風(fēng)險。

測試的原則：
測試應(yīng)盡早啟動，盡早介入。發(fā)現(xiàn)的越早，修復(fù)的成本越低。通常項目立項就應(yīng)該開始介入

一般來說：測試主要分為功能測試、性能測試、UI測試、安全測試等，其中最廣泛的測試就是功能測試。

按不同維度又有不同的分類方法：
按階段：單元測試、集成測試、系統(tǒng)測試、回歸測試、α測試、β測試、驗收測試；

按是否運(yùn)行：靜態(tài)測試、動態(tài)測試；

按代碼可見：黑盒測試、白盒測試、灰盒測試；

按是否手工：手工測試、自動化測試；

其它：冒煙測試、隨機(jī)測試…

1、需求澄清階段： 測試主要是參加需求評審會議，這個是由產(chǎn)品發(fā)起的，測試不需要提交交付件；

2、測試準(zhǔn)備階段： 需求澄清完了，就需要測試團(tuán)隊進(jìn)行測試前的準(zhǔn)備工作了，
A、測試計劃， 測試計劃是在所有測試工作開展之前完成，主要是計劃測試資源分配（硬件資源、軟件資源、人力資源），測試規(guī)范制定（轉(zhuǎn)測試規(guī)范、用例規(guī)范、bug規(guī)范）， 測試范圍的制定， 測試策略的制定， 測試時間的制定， 測試的風(fēng)險預(yù)估及應(yīng)對方法；
B、測試用例， 在執(zhí)行測試前必須按要求把用例寫好、并進(jìn)行評審及修改；

3、測試執(zhí)行階段：
A、bug文檔是測試執(zhí)行階段的交付件；
B、測試用例執(zhí)行結(jié)果是測試執(zhí)行階段的交付件；

4、測試結(jié)束階段：
測試報告：包括測試的內(nèi)容、測試系統(tǒng)各個模塊的質(zhì)量，測試人力投入情況， 測試用例執(zhí)行分析， bug 的分析，測試結(jié)論， 遺留問題及解決辦法。

軟件安全屬于軟件領(lǐng)域里一個重要的子領(lǐng)域。在以前的單機(jī)時代，安全問題主要是操作系統(tǒng)容易感染病毒，單機(jī)應(yīng)用程序軟件安全問題并不突出。但是自從互聯(lián)網(wǎng)普及后，軟件安全問題愈加顯加突顯，使得軟件安全性測試的重要性上升到一個前所未有的高度。

一般來說，對安全性要求不高的軟件，其安全性測試可以混在單元測試、集成測試、系統(tǒng)測試?yán)镆黄鹱觥５珜Π踩杂休^高需求的軟件，則必須做專門的安全性測試，以便在破壞之前預(yù)防并識別軟件的安全問題。

全稱 IBM Security App Scan Standard ，是IBM公司出的一款web安全掃描工具，可以利用爬蟲技術(shù)進(jìn)行網(wǎng)站安全滲透測試，根據(jù)網(wǎng)站入口自動對網(wǎng)頁鏈接進(jìn)行安全掃描，掃描之后會提供掃描報告
和修復(fù)建議等。

工作原理：
1）通過explorer（探索）了解整個web頁面結(jié)構(gòu)；
2）通過分析，使用掃描規(guī)則庫對修改的HTTP Request進(jìn)行攻擊嘗試；
3）分析 Response 來驗證是否存在安全漏洞。

通過兩個示例來對AppScan工具進(jìn)行一個入門的使用：

1、測試一個網(wǎng)站
2、測試webApi接口

新建一個掃描

選擇自動或手動，下一步

輸入起始URL，將從這個地址開始進(jìn)行探索，下一步：

選擇登陸方法，這里面要看網(wǎng)站的登陸方式，主要是在探索網(wǎng)站過程中session超時，會自動進(jìn)行登陸，以便繼續(xù)探索

記錄：會打開網(wǎng)站登錄頁面，記錄你登陸的過程 （有驗證碼的不適合）；
提示：需要時，彈出登錄頁面，進(jìn)行手動輸入 （可以解決驗證碼問題）；
自動：直接輸入用戶名、密碼 （不適用有驗證碼的情況）；
無：無需登錄的情況（測試api等無需登陸的情況）。

下一步：

下一步：

掃描過程…

掃描完成

四個漏洞等級
高、中、低、參考信息，每個問題后面都會有相應(yīng)的問題描述和修訂建議

對于REST類型的web服務(wù)，主要有兩種方法：
對調(diào)用服務(wù)的應(yīng)用程序進(jìn)行手工探索調(diào)用該服務(wù)，從而進(jìn)行安全掃描；
利用代理使用“外部流量/客戶機(jī)”進(jìn)行安全掃描。

對于第一種情況

下一步：

下一步：

注意：get方法的沒問題，post的有參數(shù)的會有問題。
用post的接口使用第二種方式來進(jìn)行

第二種情況，使用postman作為外部工具，進(jìn)行接口的測試，同時這種方式支持post的有參數(shù)的情況。
選擇 外部設(shè)備/客戶機(jī)選項

下一步，并設(shè)置好外部客戶機(jī)（postman，稍后會進(jìn)行設(shè)置）要使用的代理端口

下一步

直接下一步，策略選擇web Service：

下一步，點(diǎn)擊完成：

彈出外部流量記錄器：

這時，打開postman，進(jìn)行代理設(shè)置，代理服務(wù)端口設(shè)成上面的51050

使用postman進(jìn)行接口的測試，這里進(jìn)行了2個接口的測試，如下面

接口測試完成后，發(fā)現(xiàn)外部流量記錄器記錄了接口的操作， 點(diǎn)擊 停止記錄

點(diǎn)擊確定：

結(jié)果：

結(jié)果：

總結(jié)

以上是生活随笔為你收集整理的安全测试工具—AppScan的使用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。