在新网站中测试哪些最常见的内容?
例如,防止机器人,恶意用户,大量负载等攻击?
同样重要的是,您应该使用哪些工具和方法?
(一些压力测试工具真的很贵/必须使用,你自己写吗?等等)
Common exploits that should be checked for。
编辑:这个问题的部分原因部分来自SO测试版,但请不要进行SO beta讨论,因此测试版让我想到了我自己的网站和好事。这是我,你或其他人以前没有想过的事情的清单。
答案 0 :(得分:4)
在别人做之前尝试打破您自己的网站。您的网站基本上是一个可公开访问的API,允许访问数据库和其他后端系统。测试URL就像它们是任何其他API一样。我喜欢首先对所有对系统状态产生某种永久影响的URL进行编目 - 如果您正在进行Ruby on Rails开发或尝试遵循RESTful设计模式,这很容易。对于每个URL,尝试使用不同的参数运行GET,POST,PUT或DELETE HTTP方法,以便确保您只能访问要授予访问权限的内容。
这当然是显而易见的:功能测试,负载测试,SQL注入,XSS等。
答案 1 :(得分:2)
关闭javascript并确保您的网站仍然可以导航。
即使你想忽略那些已经禁用它的人数很少但很多,这也会对搜索引擎产生影响。
答案 2 :(得分:1)
答案 3 :(得分:1)
YSlow可以让您快速分析不同的指标。
答案 4 :(得分:1)
关于运行网页功能测试的工具,我发现 Selenium IDE很有用。
Firefox(目前仅兼容版本2)插件可让您捕获几乎所有网络事件,并将其保存并在同一浏览器中重播。
与其他Firefox结合使用https://addons.mozilla.org/en-US/firefox/addon/1843"> Firebug 你可以创建一些非常强大的测试。
如果您想设置Selenium Remote Control 然后,您可以将Selenium IDE测试转换为 nUnit tests,您可以自动运行。
我使用cruise control 并将这些网络测试作为每日构建的一部分运行。
使用Selenium远程控制的好处是它可以在多个浏览器和操作系统上运行相同的功能测试,这是IDE无法做到的。
尽管Web测试需要花费很长时间才能运行,但有一个名为Selenium Grid的Selenium版本允许您使用任何旧备份硬件来并行运行测试作为计算网格的一部分。我自己没试过,但听起来很有趣。
以上所有内容都是开源和免费的,这有助于我说服管理层使用if: - )
答案 5 :(得分:1)
要检查您网站的跨浏览器和跨平台外观,browershots.org可能是最好的免费工具,可以节省大量时间和成本。
答案 6 :(得分:0)
这个阶段有单独的阶段。
首先是技术测试,您可以检查所有技术功能:
然后就是这样一个阶段,你有一个完全由计算机文盲的人坐下来让他们找到一些东西。它不仅向您展示了导航逻辑中存在缺陷的位置(我发现开发人员看待事物的方式与“其他人”不同),但他们也确保找到一些方法来破坏您的网站。