測試工具的使用

測試工具utf，loadrunner原理

loadrunner工具：是一種适用于許多軟體體系構架的自動負載測試工具，從使用者關注的響應時間、吞吐量，并發使用者和性能計數器等方面來衡量系統的性能表現，輔助使用者進行系統性能的優化。

原理：通過以模拟上千萬使用者實施并發負載及實時性能監測的方式來确認和查找問題，優化性能和加速應用系統的釋出周期。

組成：LoadRunner主要包括三個前台功能元件，分别為VuGen（虛拟使用者腳本生成器）、Controller（測試控制器）和Analysis（結果分析器）。系統會自動調用背景功能元件LG（負載生成器）和Proxy（使用者代理）來完成性能測試工作。

Controller是執行負載測試管理和監控的中心。在這裡指定具體的性能測試方案，執行性能測試，收集測試資料，監控測試名額。

LG是模拟多使用者并發通路被測試系統的元件。模拟多使用者通路系統的前提是已經具備了虛拟使用者腳本，VuGen是錄制和編輯虛拟使用者腳本的工具，錄制好的腳本是不同語言表達的文本檔案，在LG執行時被解析和執行。腳本錄制和回放過程是在Proxy支援下完成的。

Controller中的實時監控工具将測試過程中收集到的客戶機、伺服器和網絡性能名額資料顯示在監控頁面上，便于測試人員對系統表現進行随時掌握。

Analysis在測試完成後，對測試過程中收集到的各種性能資料進行計算、彙總和處理，生成各種圖表和報告，為系統性能測試結果分析提供支援。

utf工具：

unified functional testing自動化測試工具，主要應用于：功能測試，回歸測試，使用UFT可以在網頁或者基于用戶端PC應用程式上，自動模拟使用者行為、在不同windows作業系統以及不同的浏覽器間、為不同的使用者和資料集測試相同的動作行為。

UFT是一種自動化測試工具，以VB為内嵌語言，基本功能包括建立測試，檢驗資料，增強測試，運作測試腳本，分析測試結果，維護測試。在衆多自動化測試工具中，UFT的市場占有率超過60%.

支援兩種視圖，一種是關鍵字視圖（一種圖形化的視圖），另一種是專家視圖（對于關鍵字視圖中的每個節點，在專家視圖中都對應一行腳本，也叫腳本視圖）。

傳輸層是什麼服務？

傳輸層的功能：1、提供應用程式間的邏輯通信。2、差錯檢測（對收到封包的首部和資料部分都進行差錯檢測）3、提供無連接配接的或面向連接配接的服務UDP,TCP 3、複用和分用（複用指發送方不同的應用程式都可以使用同一個傳輸層協定傳送資料；分用指接收方的傳輸層在剝去封包的首部後能夠把這些資料正确的傳遞到目的應用程式。）

http狀态碼從1到5

當浏覽器通路一個頁面時，浏覽者的浏覽器會向網頁所在伺服器送出請求，當浏覽器接收并顯示網頁前，此網頁所在的伺服器會傳回一個包含HTTP狀态碼的資訊頭（server header）用以響應浏覽器的請求。

1. 1xx 臨時響應 1xx的響應碼代表請求被接收，需要繼續處理。
2. 2xx 成功 2xx的響應碼代表請求已被伺服器成功接受處理。
3. 3xx 重定向 3xx的響應碼代表用戶端需要進一步操作，通常用來重定向。
4. 4xx 錯誤 4xx的響應碼代表用戶端可能發生錯誤，伺服器無法正确處理。

5. 5xx 伺服器錯誤 5xx的響應碼代表伺服器有錯誤或異常發生。

   重定向是什麼

   通過各種方法将各種網絡請求重新定個方向轉到其它位置（如：網頁重定向、域名的重定向、路由選擇的變化也是對資料封包經由路徑的一種重定向）。

   SQL注入是什麼

   Sql注入指的是發生在Web應用對背景資料庫查詢語句處理存在的安全漏洞，就是在輸入字元串中嵌入sql指令，在設計程式中忽略了對特殊字元串的檢查，這些嵌入的指令會被誤認為正常的sql指令，在資料庫中執行，是以可以對背景資料庫進行檢視等工作，甚至破快背景資料庫造成嚴重後果。目前SQL注入大緻分為普通注入和盲注

   防範

   輸入驗證（檢查使用者輸入的合法性，盡量限制使用者輸入特殊符号，确信輸入的内容隻包含合法的資料。資料檢查應當在用戶端和伺服器端都執行之是以要執行伺服器端驗證，是為了彌補用戶端驗證機制脆弱的安全性）

   錯誤消息處理（防範SQL注入，還要避免出現一些詳細的錯誤消息，因為可以利用這些消息。要使用一種标準的輸入确認機制來驗證所有的輸入資料的長度、類型、語句、企業規則等。）

   加密處理（在一開始的CDNS例子中沒有加密的資料就直接被利用了，但是加密了就不一定會解密成功，盡量不要用一些常見的加密算法，就算用也要使用32位以上的加密算法，将使用者登入名稱、密碼等資料加密儲存。加密使用者輸入的資料，然後再将它與資料庫中儲存的資料比較，這相當于對使用者輸入的資料進行了“消毒”處理，使用者輸入的資料不再對資料庫有任何特殊的意義，進而也就防止了注入SQL指令。）

   存儲過程來執行所有查詢（SQL參數的傳遞方式将防止利用單引号和連字元實施注入。此外，它還使得資料庫權限可以限制到隻允許特定的存儲過程執行，所有的使用者輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式了。）

   XSS是啥

   （Cross Site Script 跨站腳本攻擊）是向網頁中注入惡意腳本在使用者浏覽網頁時在使用者浏覽器中執行惡意腳本的攻擊方式。

   XSS又稱跨站腳本，是由于應用程式對使用者的輸入過濾不足而産生的。

   常見的XSS攻擊有三種，反射型，DOM-based型，存儲型。其中反射型、DOM-based 型可以歸類為非持久型 XSS 攻擊，存儲型歸類為持久型 XSS 攻擊。

   反射型攻擊（一般是攻擊者通過特定手法（如電子郵件），誘使使用者去通路一個包含惡意代碼的 URL，當受害者點選這些專門設計的連結的時候，惡意代碼會直接在受害者主機上的浏覽器執行。）

   DOM-based型攻擊（用戶端的腳本程式可以動态地檢查和修改頁面内容，而不依賴于伺服器端的資料。例如用戶端如從 URL 中提取資料并在本地執行，如果使用者在用戶端輸入的資料包含了惡意的 JavaScript 腳本，而這些腳本沒有經過适當的過濾和消毒，那麼應用程式就可能受到 DOM-based XSS 攻擊。）

   存儲型（攻擊者事先将惡意代碼上傳或儲存到漏洞伺服器中，隻要受害者浏覽包含此惡意代碼的頁面就會執行惡意代碼。這就意味着隻要通路了這個頁面的訪客，都有可能會執行這段惡意腳本，是以儲存型XSS的危害會更大。存儲型 XSS 一般出現在網站留言、評論、部落格日志等互動處，惡意腳本存儲到用戶端或者服務端的資料庫中。）

   防範XSS攻擊的方式有兩方面：消毒（對危險字元進行轉義）httponly（js無法擷取cookie資料）

   csrf攻擊（Cross Site Request Forgery 跨站請求僞造）

   CSRF的原理是利用浏覽器的Cookie或伺服器的Session，盜取使用者身份

   防範CSRF的主要手段是識别請求者的身份，主要有以下幾種方式：

   在表單中添加令牌（token）

   驗證碼；

   檢查請求頭中的Referer（前面提到防圖檔盜連結也是用的這種方式）。

   DDOS攻擊（分布式拒絕服務）

   分為劫持網絡伺服器，使用請求重載端口使其無法使用，拒絕無線認證，

   死亡之平（根據TCP / IP協定，資料包的最大大小可以是65,535位元組。死亡攻擊的攻擊利用了這個特殊的事實。在這種類型的攻擊中，攻擊者在資料包片段加起來時發送超過最大資料包大小的資料包。計算機通常不知道如何處理這些資料包并最終當機或有時完全崩潰。）

   反映的攻擊（攻擊者使用看起來像來自受害者機器的僵屍網絡向一群無辜的計算機發送連接配接請求（這是通過欺騙資料標頭中的源來完成的）。這使得計算機主機向受害計算機發送确認。由于從不同的計算機到同一台機器有多個這樣的請求，這會使計算機過載并使其崩潰。這種類型也稱為smurf攻擊。）

   郵件炸彈（郵件炸彈攻擊通常攻擊電子郵件伺服器。在這種類型的攻擊中，填充有随機垃圾值的超大電子郵件将被發送到目标電子郵件伺服器，而不是資料包。這通常會導緻電子郵件伺服器因負載突然飙升而崩潰，并使其無法使用直到修複。）

   teardrop（在這種類型的攻擊中，分組的分段偏移字段被濫用。IP報頭中的一個字段是“片段偏移”字段，其訓示包含在分段分組中的資料相對于原始分組中的資料的起始位置或偏移。如果一個分段分組的偏移和大小的總和不同于下一個分段分組的總和，則分組重疊。發生這種情況時，容易受到淚滴攻擊的伺服器無法重新組裝資料包，進而導緻拒絕服務的情況。）

   NAT（網絡位址轉換(NAT,Network Address Translation)）一種将私有(保留)位址轉化為合法IP位址的轉換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP位址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隐藏并保護網絡内部的計算機。

   關聯查詢關鍵字：

   https://www.cnblogs.com/zhi-ma/p/9345960.html