软件测试之路

发布于 作者:

没一会,刘丽娜的男朋友陈冬也过来了,大家都是老相识了。互相打了招呼坐下来就准备玩牌了。

升级是国内非常盛行的一种 4 人扑克牌游戏,可以选择一副牌、两副牌进行。打一副牌时,也称为“40 分“或“打百分“;打两副牌时,也称为“80 分“。达到了相应的分数就可以升一级或者两级。

从二开始打,一直升级到A为止,也可以继续下一圈升级,一直持续。两两分为对家,一家需要吃分,另外一家不让这边吃分。

如果分数够了就换另外一家来打,五十k这三张牌是分牌,五是五分的,其他的是十分。

牌还分为主和副牌,每把开始前要叫主牌,王也算是主,并且是最大的主牌。整体类型主牌最大,其他副牌一样大。

一般开始出牌的人出啥花色,其他的人得出一样的花色,如果没有可以出主牌或者其他副牌。规则大家都搞清楚一致了之后就开始了牌局。

李飞几人下午就在刘丽娜家里吃着水果,玩着升级,这一下午的时间也过的很快。等到下午吃饭的时候,大家也懒得出去吃,就决定在家里吃了火锅。

一起去楼下超市买东西,肉卷,丸子,蔬菜,超市也都有。买完东西回去后几人分别收拾,洗菜切菜,准备其他东西,各司其职。很快就吃上了。

吃完了饭,大家帮着一块收拾了。人多还是快,要是都走了让刘丽娜一个人不知道得收拾到啥时候。

虽然吃完了饭,但是离睡觉时间还早。除了李飞稍微远点,其他三人都在这个小区住,于是大家决定再继续玩一会。

李飞等到玩完后回到家,已经很晚了,收拾收拾就准备睡觉了。

周日的话没有什么安排,李飞准备在宿舍学习一下。最近每周末都一堆的事情,周末本来抽空学习相关的知识也没太多的时间。

李飞把准备学习计划给李彤说了之后,李彤就表示很支持。毕竟谁看到自己对象想进步都肯定支持么。

所以两人就约定,以后周末一天约着一块玩,一天李飞就自己学习,李彤也可以有自己时间。

一方面可以提高自己,另一方面也给了对方一些空间。

好久没有学习了,李飞这天又得先整理下自己的学习计划了。目的还是实用为主吧,最近项目组在做安全送检的相关内容,李飞最近的重点就是安全测试相关的了,还刚好可以学以致用。

安全测试涵盖的面也比较多,李飞目前对于安全这方面算是小白级别的,所以需要学习的东西就格外的多。

最后思来想去,李飞决定从SQL注入开始学习。完了再看实际运用中有啥需要的再抽空学习。

SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。简单的说就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,最终使web服务器执行恶意命令的过程。

在网上搜了一些相关的视频,一些简单的原理讲解,李飞看了之后感觉也不太难。就特别跃跃欲试的感觉。

等到周一上班来了,李飞把学到的东西,在项目的测试试了一下,发现也没啥反应。

“难道是系统这方面防护做的比较好,所以没测出来问题。”李飞发出了这样的疑问。

带着自己的疑问准备去请教下王兴了,“兴哥,sql注入这块应该怎么测,我咋感觉在网上看的测不出来啥问题。”

“这个网上那种特别简单的注入方式一般都防护了,不会有啥问题。咱们这边一般需要进行代码的走读。

主要看咱们的传参的方式,如果使用的是#,就没啥问题。但是如果使用$传参,就容易有sql注入的风险了。这种的话就要进一步检查是否进行了防护。”王兴说道。

“哦哦,就说我测试环境看了下,感觉没发现啥。”

“嗯嗯,sql注入这个一般咱们都是进行白盒测试方便点。当然根据代码找出页面的具体使用点也可以进行测试。”

“好的,我先看看,白盒测试的话可能得后续这边你多给我们讲讲了,java代码大家都了解的不太多。”

“好的,这块还有安全日志,废弃接口需要看代码的,我完了会给大家举例子让大家看看怎么去读代码,咱们其实不需要了解太深的逻辑,大概能看明白一点就行了。”

“好,完了咱们组织个会议大家一起学习下。”

李飞经过王兴的讲解,大概明白了一点,但是也不是特别清楚,但是至少明白了,看到简单的介绍跟实际用的过程差距还是很大的,还得更进一步的学习。

很快这边开会给说安全这边有几个简单的东西搞差不多了,可以开始接入测试了。

最开始可以测试的是废弃接口删除,还有安全审计日志的东西。安全的这些东西其实都得看开发做的策略,才能制定对应的测试策略。

所以首先就是对应的开发,拉着大家一起开会把相关的内容讲一下,怎么去做的这些的相关内容。

先说废弃接口删除,这个其实就比较简单,后端开发把系统所以的接口整理出来,前端再看实际中有没有调用相关的接口,根据排查的结果再看是否需要删除。

对应的测试策略也就制定出来了,首先根据前端整理的功能点,测试这边再排查一遍是否还有已经废弃的业务,整体业务废弃,那对应的接口也就需要删除了。

按照制定的策略,李飞三人把开发整理出来的接口分了一下,按照王兴给讲的怎么去查代码。检查对应接口是否删除,对应的服务层是不是还有其他调用,如果没有的话,也应该对应删除。

然后排查出来的业务上已经不再使用的功能,跟大家讨论确定一下,确实不需要了再联系对应开发删除。

整体来说废弃接口删除的测试还比较简单,安全日志审计就涉及的多了。

页面: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70