接口測(cè)試培訓(xùn)

接口測(cè)試培訓(xùn)目錄測(cè)試依據(jù)測(cè)試范圍&內(nèi)容總結(jié)2021/7/172測(cè)試依據(jù)一切以需求文檔為準(zhǔn)需求文檔產(chǎn)品開發(fā)測(cè)試2021/7/173測(cè)試依據(jù)-需求規(guī)范接口文檔包含如下內(nèi)容：1、接口概述：

1）接口名稱 2）接口功能 3）接口類別 4）提交者、提交時(shí)間、需求來源及時(shí)間要求2、HTTP請(qǐng)求方式3、認(rèn)證說明4、請(qǐng)求限制說明5、請(qǐng)求參數(shù)說明

參數(shù)名、是否必選、類型、取值范圍、描述（非必選項(xiàng)的默認(rèn)值）6、相關(guān)約束7、注意事項(xiàng)8、調(diào)用示例9、返回說明

1）返回?cái)?shù)據(jù)格式 2）返回結(jié)果示例 3）錯(cuò)誤代碼及返回說明2021/7/174測(cè)試范圍&內(nèi)容安全性調(diào)用方式參數(shù)格式校驗(yàn)返回結(jié)果功能邏輯其他異常場(chǎng)景2021/7/175測(cè)試范圍&內(nèi)容-安全性Referer限制反射型XSS存儲(chǔ)型XSS防暴力破解應(yīng)用程序隱私SQL注入2021/7/176測(cè)試范圍&內(nèi)容-安全性Referer限制:

為了防止CSRF(跨站請(qǐng)求偽造),采取的一種防范方式。2021/7/177測(cè)試范圍&內(nèi)容-安全性反射型XSS、存儲(chǔ)型XSS:

XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。解決方案：

使用htmlspecialchars把html標(biāo)簽轉(zhuǎn)化。注意：

當(dāng)允許輸入HTML標(biāo)簽的頁面，可能會(huì)出現(xiàn)問題。2021/7/178測(cè)試范圍&內(nèi)容-安全性防暴力破解:暴力破解法，是一種針對(duì)于密碼的破譯方法，即將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。解決方案：方案1：限制密碼輸入一定次數(shù)后，需要輸入動(dòng)態(tài)碼。方案2：密碼輸入錯(cuò)誤達(dá)到一定次數(shù)后，在一段時(shí)間內(nèi)不允許輸入。2021/7/179測(cè)試范圍&內(nèi)容-安全性應(yīng)用程序隱私:用戶的敏感輸入字段未經(jīng)加密即進(jìn)行了傳遞，導(dǎo)致用戶信息存在泄露的風(fēng)險(xiǎn)。解決方案：

關(guān)鍵信息需加密傳輸。實(shí)例：2021/7/1710測(cè)試范圍&內(nèi)容-安全性SQL注入:通過惡意輸入，構(gòu)造非法sql語句，操作數(shù)據(jù)庫，從而達(dá)到非法攻擊或取得非法結(jié)果的手段。舉例:2021/7/1711測(cè)試范圍&內(nèi)容-調(diào)用方式HTTP調(diào)用

注意：提交數(shù)據(jù)，一定使用POST方式，不能使用GET方式。實(shí)際項(xiàng)目舉例：其他調(diào)用方式2021/7/1712測(cè)試范圍&內(nèi)容-參數(shù)格式校驗(yàn)(1)必選項(xiàng)檢查非必選項(xiàng)默認(rèn)值類型取值范圍長(zhǎng)度全/半角、大/小寫轉(zhuǎn)換2021/7/1713測(cè)試范圍&內(nèi)容-參數(shù)格式校驗(yàn)(2)舉例:添加好友接口，需求文檔中uid參數(shù)，opt參數(shù)描述如下：案例設(shè)計(jì)：1、帶/不帶uid參數(shù)，uid參數(shù)為空2、不帶opt參數(shù)3、uid填寫字母、漢字、特殊字符4、uid填寫3位、11位數(shù)字；opt參數(shù)填寫2；5、uid填寫全、半角數(shù)字參數(shù)意義是否必選類型取值范圍說明uid用戶uidYint4-10位數(shù)字……opt操作標(biāo)識(shí)Nint0或10：添加好友1：刪除好友默認(rèn)為02021/7/1714測(cè)試范圍&內(nèi)容-返回結(jié)果(1)原則：1、與需求一致（返回碼及返回字段）。2、每種錯(cuò)誤要有單獨(dú)且明確的錯(cuò)誤碼。2021/7/1715測(cè)試范圍&內(nèi)容-返回結(jié)果(2)實(shí)際項(xiàng)目舉例：測(cè)試點(diǎn)提案號(hào)與需求一致PROMINIBLOGBUG-3215單獨(dú)且明確的錯(cuò)誤碼JSZX-25772021/7/1716測(cè)試范圍&內(nèi)容-功能邏輯（1）正常流程的驗(yàn)證方式:1、通過查數(shù)據(jù)庫或MC驗(yàn)證數(shù)據(jù)是否處理正確。2、通過其他輔助途徑進(jìn)行驗(yàn)證。

例如：

驗(yàn)證插入數(shù)據(jù)是否成功，可在插入數(shù)據(jù)后，通過查詢功能進(jìn)行驗(yàn)證。切記：1、不能在看到正常調(diào)用且系統(tǒng)返回成功后，就認(rèn)為該功能沒有問題。2、所有的正確流程分支都需要覆蓋。2021/7/1717測(cè)試范圍&內(nèi)容-功能邏輯（2）異常流程測(cè)試測(cè)試案例設(shè)計(jì)思路：1、根據(jù)被測(cè)系統(tǒng)的功能，深入挖掘隱性需求。2、盡可能地把自己放在一個(gè)完全不了解需求的用戶角度去設(shè)計(jì)。2021/7/1718測(cè)試范圍&內(nèi)容-功能邏輯（3）功能邏輯測(cè)試舉例：

添加好友功能，存在用戶uid和目標(biāo)uid兩個(gè)參數(shù)，且存在查看好友、加入黑名單等功能。正常流程驗(yàn)證：1、添加好友后，查看數(shù)據(jù)庫好友關(guān)系是否入庫。2、使用查看好友功能，驗(yàn)證是否可正常查看到好友記錄。異常流程驗(yàn)證：1、添加好友后，再次添加好友。2、將某用戶加入黑名單后，添加該用戶為好友。3、兩個(gè)uid分別使用系統(tǒng)中不存在的值。4、兩個(gè)uid填寫相同值。以上情況系統(tǒng)均應(yīng)返回對(duì)應(yīng)的正確的錯(cuò)誤返回碼注意：

正常流程正確，是異常流程驗(yàn)證的前提。2021/7/1719測(cè)試范圍&內(nèi)容-其他異常場(chǎng)景研發(fā)的項(xiàng)目，有些項(xiàng)目是底層使用的系統(tǒng)，根據(jù)項(xiàng)目特點(diǎn)，可能會(huì)存在特殊的異常場(chǎng)景。舉例：消息倉庫項(xiàng)目，可支持消息的持久化存儲(chǔ)。需要特殊考慮的異常場(chǎng)景：1、在接收消息后，重啟應(yīng)用。2、刪除消息文件。3、硬盤寫滿。實(shí)際項(xiàng)目舉例：2021/7/1720總結(jié)功能實(shí)現(xiàn)是否正確，以需求為準(zhǔn)。在測(cè)試過程中，請(qǐng)脫離產(chǎn)品、開發(fā)的角色，以用戶的角度考慮問題。2021/7/1721Q&A

聯(lián)系方式：姓名：李