appscan如何进行web端安全性测试_常用的软件测试工具有哪些?
写在开头:本文推荐的测试工具都是现在市场上比较常用的,并不是所有的软件测试工具都有。
软件测试按照工作岗位可以分为功能测试、性能测试、测试开发,不同的工作岗位会用到不同的软件测试工具:
一、 测试管理工具(适用于项目管理)
1. 禅道
官网传送门:https://www.zentao.net/
特点:开源,有免费版也有收费版,包括了项目管理的核心流程
很多人最早接触的测试管理工具就是禅道。
禅道是第一款国产的开源项目管理软件,功能包括测试管理、计划管理、发布管理、文档管理、事务管理等等。能够把软件研发中的需求、任务、bug用例、计划等要素有序地跟踪管理起来,完整地覆盖了项目管理的核心流程。开源易上手,现在依然也有很多中小企业在使用禅道。
2. SVN
官网传送门:https://tortoisesvn.net/
特点:跨平台,支持大多数常见的操作系统,开源、安全、高效、资料共享
SVN是一个开源的集中式版本控制系统,是常用的代码和项目管理工具。简而言之就是用于多个人共同开发同一个项目,实现共享资源,实现最终集中式的管理。可以把SVN理解为一个库,里面存放各种文件,SVN给每个文件打上标签,记录文件的每次变动,方便你查找、获取最新的文件。
3. git
官网传送门:https://git-scm.com/
特点:免费开源,多分支管理比SVN好用
git和SVN的功能很像,但不同的是,SVN是集中式的,必须联网才能正常工作。而git是分布式的,所以git支持离线工作,分支管理比SVN好用。但是git的命令繁多且复杂,没有SVN简单易用。
4. Jira
官网传送门:https://www.atlassian.com/software/jira
特点:基于Java架构的管理系统,简单好用,开源
Jira是一款基于Java架构的项目管理工具,主要应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。JIRA软件是敏捷团队的项目管理工具,主要包括看板、路线图、敏捷报告、自定义过滤器、可自定义工具流等等,帮助所有类型的团队管理他们的工作。
5. TestDirector
官网传送门:没有找到官网,如有需要,可以去博客园找一下,有很多博主分享安装包
特点:基于web的测试管理系统,大而全
TestDirector是业界第一个基于web的测试管理系统,它可以在公司内部或者外部进行全球范围内测试的管理。通过在一个整体的应用系统中集成测试管理的各个部分,包括需求管理,测试计划、测试执行以及错误跟踪等等功能。
二、接口测试工具
1、Jmeter
官网传送门:https://jmeter.apache.org/
特点:开源,免费,能够加载和测试许多不同的应用程序/服务器/协议类型
Jmeter是一款基于Java的压力测试工具,旨在加载测试功能行为并测量性能。它最初是为测试Web应用程序而设计的,但后来扩展到其他测试功能。可用于测试静态和动态资源(Web动态应用程序)的性能,比如Java小程序服务、CGI脚本、Java对象、数据库、FTP服务等等。
JMeter 可以用于对服务器、网络或对象模拟巨大的负载,来自不同压力类别下测试它们的强度和分析整体性能。
2、postman
官网传送门:https://www.postman.com/
特点:使用简单,无需搭建环境,可以保存接口请求的历史记录
Postman 是一款功能强大的网页调试与发送网页HTTP请求的Chrome插件,提供功能强大的 Web API & HTTP 请求调试。它能够发送任何类型的HTTP 请求 ,附带任何数量的参数+ headers。
原作者:未知
原文链接:Postman首页、文档和下载 - API & HTTP 请求调试插件 - OSCHINA - 中文开源技术交流社区
来源:OSCHINA
支持不同的认证机制(basic, digest, OAuth),接收到的响应语法高亮(HTML,JSON或XML)。Postman 能够保留了历史的请求,这样我们就可以很容易地重新发送请求,有一个“集合”功能,用于存储所有请求相同的API/域。
三、性能测试工具
1、loadrunner
官网传送门:https://www.microfocus.com/zh-cn/products/loadrunner-professional/overview
特点:不开源,收费,平台大,功能全,要学精通还是有一定的难度
LoadRunner 是一种预测系统行为和性能的负载测试工具。通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题,LoadRunner 能够对整个企业架构进行测试。通过使用LoadRunner ,企业能最大限度地缩短测试时间,优化性能和加速应用系统的发布周期。
2、jmeter
官网传送门:同上
Jmeter和Loadrunner区别是,一个是开源免费,一个是收费,不开源。但是Loadrunner比Jmeter更加稳定,数据监控的报表也比Jmeter丰富。还有LoadRunner的IP欺骗功能可以更好地模拟实际用户场景。
四、自动化测试工具
(1)、APP自动化测试工具
1、AppScan
官网传送门:http://www.encoreconsulting.com/3-10-AppScan.html
特点:不开源,商业级软件,扫描漏洞比较全面
AppScan是一个自动化漏洞评估的Web应用程序安全测试工具。
AppScan测试常见的Web应用程序漏洞,包括跨站点脚本、缓冲区溢出、Flash/FLEX应用程序和Web2.0暴露扫描。
2、Fiddler
官网传送门:https://www.telerik.com/fiddler
特点:开源,使用简单,支持断点调试技术
Fiddler是一个常用的抓包工具。它是用C#写出来的,可以支持众多的http调试任务,并且能够使用.net语言进行扩展。Fiddler支持断点试技术,还可以显示所有的Http通讯,你可以很轻松地看到你请求的某个页面,总共被请求了多少次,以及多少字节被转换了。同类型的工具还有 httpwatch,wireshark等等。
3、Websecurify
官网传送门:https://websecurify.com/
特点:开源,简单易用,支持跨平台,支持插件,自动检测网页漏洞
Websecurify 是一款开源的跨平台网站安全检查工具,能够帮助你精确的检测 Web 应用程序安全问题,可以自动检测网页漏洞,运行后可生成多种格式的检测报告,但是Websecurify 的扫描时间比较长。
4、Wapiti
官网传送门:https://www.dictionary.com/browse/wapiti
特点:开源,可检测网页应用程序
原作者:Safe3
原文链接:https://www.cnblogs.com/Safe3/archive/2010/01/25/1655770.html
原文来源:博客园
这是一个用Python编写的开源的工具,可以检测网页应用程序,探测网页中存在的注入点。Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描,即它不关心Web应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。它用于检测网页,看脚本是否脆弱的。
(2)、C/S自动化测试工具
QTP
官网传送门:http://www.tutorialspoint.com/qtp/qtp_overview.htm
特点:商业级测试工具,收费,支持web,支持很多插件,用的是VB语言
QTP是一种自动测试工具,一般用于重复的自动化测试,主要是用于回归测试和测试同一软件的新版本。QTP支持的脚本语言是VBScript,VB本身比较简单,所以测试人员使用QTP比较简单。而且支持录制脚本和回放的功能,并且默认为每个test提供一个测试结果。
不知道是不是我浏览器的问题,我觉得这个官网有点过于简朴(笑哭)
好了,终于把这些常用的软件测试工具给总结完了。如果觉得这篇文章对你有所帮助,记得给我点赞哦~
如果你也是计算机小白,可以关注 @可乐豆,以后也会不断地更新自动化测试和性能测试相关干货知识。
