测试工具的使用

测试工具utf，loadrunner原理

loadrunner工具：是一种适用于许多软件体系构架的自动负载测试工具，从用户关注的响应时间、吞吐量，并发用户和性能计数器等方面来衡量系统的性能表现，辅助用户进行系统性能的优化。

原理：通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题，优化性能和加速应用系统的发布周期。

组成：LoadRunner主要包括三个前台功能组件，分别为VuGen（虚拟用户脚本生成器）、Controller（测试控制器）和Analysis（结果分析器）。系统会自动调用后台功能组件LG（负载生成器）和Proxy（用户代理）来完成性能测试工作。

Controller是执行负载测试管理和监控的中心。在这里指定具体的性能测试方案，执行性能测试，收集测试数据，监控测试指标。

LG是模拟多用户并发访问被测试系统的组件。模拟多用户访问系统的前提是已经具备了虚拟用户脚本，VuGen是录制和编辑虚拟用户脚本的工具，录制好的脚本是不同语言表达的文本文件，在LG执行时被解析和执行。脚本录制和回放过程是在Proxy支持下完成的。

Controller中的实时监控工具将测试过程中收集到的客户机、服务器和网络性能指标数据显示在监控页面上，便于测试人员对系统表现进行随时掌握。

Analysis在测试完成后，对测试过程中收集到的各种性能数据进行计算、汇总和处理，生成各种图表和报告，为系统性能测试结果分析提供支持。

utf工具：

unified functional testing自动化测试工具，主要应用于：功能测试，回归测试，使用UFT可以在网页或者基于客户端PC应用程序上，自动模拟用户行为、在不同windows操作系统以及不同的浏览器间、为不同的用户和数据集测试相同的动作行为。

UFT是一种自动化测试工具，以VB为内嵌语言，基本功能包括创建测试，检验数据，增强测试，运行测试脚本，分析测试结果，维护测试。在众多自动化测试工具中，UFT的市场占有率超过60%.

支持两种视图，一种是关键字视图（一种图形化的视图），另一种是专家视图（对于关键字视图中的每个节点，在专家视图中都对应一行脚本，也叫脚本视图）。

传输层是什么服务？

传输层的功能：1、提供应用程序间的逻辑通信。2、差错检测（对收到报文的首部和数据部分都进行差错检测）3、提供无连接的或面向连接的服务UDP,TCP 3、复用和分用（复用指发送方不同的应用程序都可以使用同一个传输层协议传送数据；分用指接收方的传输层在剥去报文的首部后能够把这些数据正确的交付到目的应用程序。）

http状态码从1到5

当浏览器访问一个页面时，浏览者的浏览器会向网页所在服务器发出请求，当浏览器接收并显示网页前，此网页所在的服务器会返回一个包含HTTP状态码的信息头（server header）用以响应浏览器的请求。

1. 1xx 临时响应 1xx的响应码代表请求被接收，需要继续处理。
2. 2xx 成功 2xx的响应码代表请求已被服务器成功接受处理。
3. 3xx 重定向 3xx的响应码代表客户端需要进一步操作，通常用来重定向。
4. 4xx 错误 4xx的响应码代表客户端可能发生错误，服务器无法正确处理。

5. 5xx 服务器错误 5xx的响应码代表服务器有错误或异常发生。

   重定向是什么

   通过各种方法将各种网络请求重新定个方向转到其它位置（如：网页重定向、域名的重定向、路由选择的变化也是对数据报文经由路径的一种重定向）。

   SQL注入是什么

   Sql注入指的是发生在Web应用对后台数据库查询语句处理存在的安全漏洞，就是在输入字符串中嵌入sql指令，在设计程序中忽略了对特殊字符串的检查，这些嵌入的指令会被误认为正常的sql指令，在数据库中执行，因此可以对后台数据库进行查看等工作，甚至破快后台数据库造成严重后果。目前SQL注入大致分为普通注入和盲注

   防范

   输入验证（检查用户输入的合法性，尽量限制用户输入特殊符号，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性）

   错误消息处理（防范SQL注入，还要避免出现一些详细的错误消息，因为可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。）

   加密处理（在一开始的CDNS例子中没有加密的数据就直接被利用了，但是加密了就不一定会解密成功，尽量不要用一些常见的加密算法，就算用也要使用32位以上的加密算法，将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了注入SQL命令。）

   存储过程来执行所有查询（SQL参数的传递方式将防止利用单引号和连字符实施注入。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式了。）

   XSS是啥

   （Cross Site Script 跨站脚本攻击）是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。

   XSS又称跨站脚本，是由于应用程序对用户的输入过滤不足而产生的。

   常见的XSS攻击有三种，反射型，DOM-based型，存储型。其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击，存储型归类为持久型 XSS 攻击。

   反射型攻击（一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。）

   DOM-based型攻击（客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到 DOM-based XSS 攻击。）

   存储型（攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客，都有可能会执行这段恶意脚本，因此储存型XSS的危害会更大。存储型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。）

   防范XSS攻击的方式有两方面：消毒（对危险字符进行转义）httponly（js无法获取cookie数据）

   csrf攻击（Cross Site Request Forgery 跨站请求伪造）

   CSRF的原理是利用浏览器的Cookie或服务器的Session，盗取用户身份

   防范CSRF的主要手段是识别请求者的身份，主要有以下几种方式：

   在表单中添加令牌（token）

   验证码；

   检查请求头中的Referer（前面提到防图片盗链接也是用的这种方式）。

   DDOS攻击（分布式拒绝服务）

   分为劫持网络服务器，使用请求重载端口使其无法使用，拒绝无线认证，

   死亡之平（根据TCP / IP协议，数据包的最大大小可以是65,535字节。死亡攻击的攻击利用了这个特殊的事实。在这种类型的攻击中，攻击者在数据包片段加起来时发送超过最大数据包大小的数据包。计算机通常不知道如何处理这些数据包并最终冻结或有时完全崩溃。）

   反映的攻击（攻击者使用看起来像来自受害者机器的僵尸网络向一群无辜的计算机发送连接请求（这是通过欺骗数据包头中的源来完成的）。这使得计算机主机向受害计算机发送确认。由于从不同的计算机到同一台机器有多个这样的请求，这会使计算机过载并使其崩溃。这种类型也称为smurf攻击。）

   邮件炸弹（邮件炸弹攻击通常攻击电子邮件服务器。在这种类型的攻击中，填充有随机垃圾值的超大电子邮件将被发送到目标电子邮件服务器，而不是数据包。这通常会导致电子邮件服务器因负载突然飙升而崩溃，并使其无法使用直到修复。）

   teardrop（在这种类型的攻击中，分组的分段偏移字段被滥用。IP报头中的一个字段是“片段偏移”字段，其指示包含在分段分组中的数据相对于原始分组中的数据的起始位置或偏移。如果一个分段分组的偏移和大小的总和不同于下一个分段分组的总和，则分组重叠。发生这种情况时，容易受到泪滴攻击的服务器无法重新组装数据包，从而导致拒绝服务的情况。）

   NAT（网络地址转换(NAT,Network Address Translation)）一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

   关联查询关键字：

   https://www.cnblogs.com/zhi-ma/p/9345960.html