网站测试工作是网站上线前非常重要的环节,具体工作如下:
1.
搭建测试环境:需要与正式环境区分开,提供测试域名和空间,屏蔽搜索引擎抓取的环境来进行测试
2.
将待测试程序上传至测试环境:使用远程桌面或FTP将程序包和数据包上传至测试环境空间
3.
进行美工测试:由美工测试效果图与出品的匹配度,提供BUG报告
4.
进行功能测试:由程序员进行功能性测试,提供BUG报告
5.
进行使用流程测试:由测试专员模拟管理员、用户和平台管理者进行操作流程的测试,提供BUG报告
6.
记录测试BUG至测试报告:汇总上述BUG报告,形成测试报告和修改可行性方案
7.
技术部门调整网站修复BUG:修复BUG,完成BUG修复进度报告
8.
网站测试无误:对修改后的程序进行二次验证,确保BUG被修复
9.
正式上线
1.信息收集:
1)、获取域名的whois信息,获取注册者邮箱姓名电话等。
2)、查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。
3)、查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。
4)、查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等。
5)、扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针。
6)、google hack 进一步探测网站的信息,后台,敏感文件。
2.漏洞扫描:
开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含, 远程命令执行,弱口令,上传,器漏洞,暴力破解等。
3.漏洞利用:
利用以上的方式拿到webshell,或者其他权限。
4.权限提升:
提权服务器,比如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,巴西烤肉, linux藏牛漏洞,linux内核版本漏洞提权,linux下的mysql system提权以及oracle低权限提权。
5.日志清理:
结束渗透测试工作需要做的事情,抹除自己的痕迹。
需要规避的风险:
1. 不执行任何可能引起业务中断的攻击(包括资源耗竭型DoS,畸形报文攻击,数据破坏)。
2. 测试验证时间放在业务量最小的时间进行。
3. 测试执行前确保相关数据进行备份
4. 所有测试在执行前和维护人员进行沟通确认。
网站测试工作是网站上线前非常重要的环节,具体工作如下:
1.搭建测试环境:需要与正式环境区分开,提供测试域名和空间,屏蔽搜索引擎抓取的环境来进行测试
2.将待测试程序上传至测试环境:使用远程桌面或ftp将程序包和数据包上传至测试环境空间
3.进行美工测试:由美工测试效果图与出品的匹配度,提供bug报告
4.进行功能测试:由程序员进行功能性测试,提供bug报告
5.进行使用流程测试:由测试专员模拟管理员、用户和平台管理者进行操作流程的测试,提供bug报告
6.记录测试bug至测试报告:汇总上述bug报告,形成测试报告和修改可行性方案
7.技术部门调整网站修复bug:修复bug,完成bug修复进度报告
8.网站测试无误:对修改后的程序进行二次验证,确保bug被修复
9.正式上线
Google的Page Speed Online(页面在线速度)启用了Google的网页性能优化方案。输入你的网站,跑网页分析。结束之后,Page Speed会打出一个综合分数,让后提供一套该净方案的总结报告:你可以逐个点击查看。它还包括了手机端的网速测试。
Pingdom提供服务器,网络和网页监测。它的总结报告更加详细:网页上的每一个对象的速度都有一份独立报告(图像、视屏、脚本、样式表等),其中还包括了网页缓存。报告中的细目包括了下载速度,网页大小和提交的协议。
Which loads faster?
这个工具比较两个网站的速度,最后提供的报道是个相对的信息。这样的工具很有用处:譬如输入google 和bing 来比较两者的优劣。同样的,你可以用它来比较自己和竞争者的网站。开源工具。
WebPagetest
这个小巧的工具是把你的网页加载到浏览器上从而测试他们的网页加载速度(浏览器包括了Chrome,Firefox 和IE).用户还能选择全球不同的地点打开你的网页的速度。更加高级的功能是你能选择用户端网速和是否包括“屏蔽广告”,你就能知道在网页上跑广告的性能代价
?网站测试是为了更好地了解网站,维护以及优化网站,减少漏洞,提升用户体验等。
?当作好一个网站时,需要测试一下整体各种性能是否完善才能上线,以下简单说说网站的测试的几个方面。
1、功能测试
功能测试包括
链接测试:每个链接是否按照指示有正确的链接页面,页面是否存在,是否有死链等。
表单测试:模拟用户提交的信息,就是我们在手机上看的那些广告信息,在上面留需求,留省份,留电话等是否正确分析,完整。
CooKies测试:其实就是用户上网的痕迹,存在电脑上,可以保存登录密码等。
数据库测试:数据库为Web应用系统的管理、运行、查询和实现用户对数据存储的请求等提供空间。
2、性能测试
?测试网站打开的速度,你想一下,你如果第一次打开一个网站需要7、8秒,十几秒,1分钟,你还有兴趣打开吗?这是测服务器跟网络环境。
压力测试:网站的承受能力,比如系统会不会崩溃,什么情况崩溃,我们不是经常看到新闻某某网站因为突然涌入人太多导致系统崩溃吗,又或者因为代码等某种原因。
可用性检测:用户界面视觉效果、功能按键、使用性等是否合理方便等。
3、兼容性测试
? 现在的网站除了PC端,还要考虑移动端,所以站长在做网站的时候就要考虑PC端、移动端的页面适配及兼容处理,做一个响应式的页面,不管PC端,还是移动端都能完美展现网站的内容。
4、安全测试
?安全性不用说了吧,网站不安全,存在漏洞就会容易被一些不法分子利用攻击,服务器入侵 ?用户数据窃取、暴露站点目录结构 、截取敏感信息 、管理后台暴露,会劫持网站,挂恶意链接,病毒等,一旦被搜索引擎查到,辛辛苦苦搞起来的网站基本就废了,到时候就欲哭无泪了。
如下图是使用百度安全检测的网站。
百度安全检测的网站
姓名:
年龄:
电话: