c/s，b/s，app测试。0527

1、C/S中优秀界面的特点

（1）符合标准和规范
（2）直观性
（3）一致性
（4）灵活性
（5）舒适性
（6）正确性
（7）实用性

2、什么是C/S结构？我们可以进行哪些方面的测试？

C/S结构即客户端和服务器架构模式
安装/卸载、界面及用户体验、具体功能、兼容性、性能、提示信息、鼠标键盘操作、文件传输功能

3、C/S结构的软件有什么优缺点，我们可以进行哪些方面的测试？

• 优点：
  （1） C/S架构的界面和操作可以很丰富；
  （2） 安全性能可以很容易保证，实现多层认证也不难；
  （3） 由于只有一层交互，因此响应速度较快。
• 缺点：
  （1） 适用面窄，通常用于局域网中；
  （2）用户群固定。由于程序需要安装才可使用，因此不适合面向一些不可知的用户；
  （3）维护成本高，发生一次升级，则所有客户端的程序都需要改变。
• 可以从以下方面进行测试：安装/卸载、界面及用户体验、提示信息、键盘鼠标操作、具体功能、文件传输、兼容性、性能、安全等

4、什么是B/S结构？B/S结构有哪些特点？请说明一下B/S结构应用系统常见的几种测试类型(比如说功能测试)。

（1）B/S结构即浏览器和服务器架构模式
（2）特点：图形化、与平台无关、分布的、动态的、交互的
（3）测试类型：链接测试、表单测试、图形（UI）测试、交互性数据测试、兼容性测试、性能测试

5、B/S中常用的协议类型

• fttps/ftp/smtp/pop3
• 1xx：信息提示，表示临时的响应
  2xx：响应成功，表面服务器成功接收了客户端请求
  3xx：重定向
  4xx：客户端错误，表明客户端可能有问题
  5xx：服务器错误，表明服务器由于遇到某种错误而不能响应客户端请求
  200：响应成功
  400：错误的请求，表明客户端可能有问题
  404：文件不存在，在服务器没有客户要求访问的文档
  405：服务器不支持客户的请求方式
  500：服务器内部错误

6、请说一下表单测试的主要测试内容。

①首先检查每个字段的所有验证（输入长度、类型、特殊字符、按钮、下拉列表）；
②检查字段的必填项、缺省值；
③表单中的错误输入；
④如果有创建、删除、查看和修改表单，要进行测试；
⑤重复提交表单。

7、交互性数据测试可以怎么测试？

前台的数据操作是否对后台产生相应正确的影响
后台修改设置，前台是否生效
用户的权限，是否随着授权而变化
数据未审核时，前台应不显示；审核通过后，前台应可显示该条数据

8、简述图形测试的主要检查点。

检查图形是否符合标准规范，
从用户视觉角度检查需要突出的链接颜色是否容易识别，
检查图形的风格是否与软件类型和用户群体一致，
检查图形的大小、是否经过裁剪不变型、
是否能正常加载所有图形，当图形未加载时，图形是否有文字提示信息。

9、在测试web系统时，我们需要对整体页面进行测试，请简述页面测试的主要方面。

页面测试可以从以下几个方面进行：
（1）页面的一致性、布局合理；
（2）在每个页面上是否设计友好的用户界面和直观的导航系统；
（3）是否考虑多种浏览器的需要；
（4）是否建立了页面文件的命名体系：
（5）是否充分考虑了合适的页面布局技术，如层叠样式表、表格和帧结构等。

10、APP测试与Web测试的区别有哪些？

（1）系统构架不同：APP属于c/s结构，Web属于b/s结构
（2）测试方法不同：
功能测试：Web不支持离线浏览，但是有的APP支持；
性能测试：Web主要关注服务器性能，APP除了服务器，还要考虑手机端的性能
兼容性测试：Web主要考虑浏览器的兼容性，APP还要考虑 不同设备、不同系统、不同系统版本、不同分辨率等。
（3）专项测试：APP中多了一些专项测试，比如电量测试、弱网测试、中断测试等；
（4）测试工具不同.

11、给你一个APP，你可以从哪些方面进行测试呢？（测试方法）

UI测试、功能测试、安装卸载测试、启动运行测试、登录注册、前后台切换、更新升级、异常测试、安全测试、兼容性测试、接口测试、用户体验测试等

12、APP测试的流程

计划阶段
设计阶段
执行阶段
评估报告阶段

13、APP安全测试（用户的隐私泄露）

（1）安装包安全性：
首先验证安装包是否对签名进行了校验，以防止被恶意第三方应用覆盖安装等；开发人员是否对源代码进行混淆，以免被反编译软件查看源代码；用户隐私，特别是访问通讯录，需要对特定权限进行检查
（2）用户安全性：
免登录是否设置了过期时间；用户密码在传输中是否进行了加密，在数据库中存储是否进行了加密
（3）数据安全性
用户的敏感数据是否写到日志或配置文件中
在含有敏感数据的连接中是否使用了安全通信，如https
（4）服务端安全性
与Web端类似，主要考虑SQL注入、XSS跨站脚本攻击等

14、给你一个网站，你如何测试？

（1）首先，查找需求说明、网站设计等相关文档，分析测试需求。
（2）制定测试计划，确定测试范围和测试策略，一般包括以下几个部分：功能性测试；界面测试；性能测试；数据库测试；安全性测试；兼容性测试
（3）设计测试用例：

（1）功能性测试可以包括，但不限于以下几个方面：
链接测试。
链接是否正确跳转，是否存在空页面和无效页面，是否有不正确的出错信息返回。
提交功能的测试。
多媒体元素是否可以正确加载和显示。
多语言支持是否能够正确显示选择的语言等。
（2） 界面测试可以包括但不限于一下几个方面：
页面是否风格统一，美观 ；
页面布局是否合理，重点内容和热点内容是否突出
控件是否正常使用， 对于必须但未安装的控件，是否提供自动下载并安装的功能
文字检查
（3） 性能测试一般从以下两个方面考虑：
压力测试；
负载测试；
强度测试
（4）数据库测试要具体决定是否需要开展。
数据库一般需要考虑连结性，对数据的存取操作，数据内容的验证等方面。
（5）安全性测试：
基本的登录功能的检查
是否存在溢出错误，导致系统崩溃或者权限泄露
相关开发语言的常见安全性问题检查，例如SQL注入等
（6）如果需要高级的安全性测试，确定获得专业安全公司的帮助，外包测试，或者获取支持
（7）兼容性测试，根据需求说明的内容，确定支持的平台组合：
浏览器的兼容性；
操作系统的兼容性；
软件平台的兼容性；
数据库的兼容性

（4）开展测试，并记录缺陷。合理的安排调整测试进度，提前获取测试所需的资源，建立管理体系（例如，需求变更、风险、配置、测试文档、缺陷报告、人力资源等内容）。
（5）定期评审，对测试进行评估和总结，调整测试的内容。

15、web系统容易受到攻击，一般会对用户名/口令（密码）机制进行认证。

请从口令的强度、传输存储及管理等方面，说明可采取哪些安全防护措施。针对用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
（1）可采取的安全防护措施包括：

• 口令强度：可设置最小口令长度，同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
• 口令传输存储：可采用加密或Hashing手段，系统服务端存储的用户口令可加密或Hashing后存储，网络传输的用户口令可加密或Hashing后进行传输。
• 口令管理：可设置最大口令时效强制用户定期更新口令，引入口令锁定机制以应对口令猜测攻击，引入口令历史强制用户设置新口令等。

（2） 对口令认证机制测试应包含的基本测试点：

• 对用户名称测试的主要测试点在于测试用户名称的唯一性，即测试同时存在的用户名称在不考虑大小写的情况下，不能够同名。
• 对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。

- C/S

（1）安装/卸载
安装包；
首次安装；
再次安装；
升级安装；
卸载。
（2）界面及用户体验
窗口的缩放，拖动，任务栏，托盘区、任务管理器操作。
多窗口的操作是否合理
（3） 提示信息
各种操作对应的正确、错误类提示信息是否正确
界面文字提示是否友好、易懂、简练
操作流程是否清晰，用户知道自己每步都是在做什么，即操作提示是否清晰明了
有错误类信息，不要使用代码类文字，考虑到用户群体的情况，还要区分中英文（用哪个更好）
（4）键盘鼠标操作
快捷键操作是否正常，是否与其他软件的快捷键冲突
鼠标拖放显示是否正常，是否影响操作
鼠标右键功能是否正常合理
（5）具体功能
是否所有可操作的功能都能按需求实现（如：登陆退出，信息传输功能，备份功能，系统设置功能，搜索功能，界面模板更新，信息增删改功能等）
对于功能块的无效操作和极端操作是否都有合理的处理（如：无效的输入字符，超长的字符长度，脚本注入等） 操作界面是否即时动态刷新
如果有托盘图标，需要考虑托盘图标的显示状态，是否能显示，操作是否正常等
（6）文件的传输
需要考虑不传输文件、文件传输为空、文件内容包括
传输文件的格式
涉及到网络传输，和端口有关系的，要考虑模拟一下端口错误，封端口的操作（需要补充具体如何封端口）
发送文件时，考虑本地文件，还要考虑ftp，http上的文件
需要考虑磁盘空间不足的情况 正在使用的文件是否是独占状态
设计到文件保存时，需要考虑文件保存的类型、名称的默认给出
文件拖动类的考虑
涉及到文件写入读取的，需要考虑移动设备，如U盘、硬盘、ftp等
是否超过最大容量、流量限制
（7）兼容测试
不同语言系统上的使用区别，在控制面板的区域和语言选项里面进行设置，管理选项卡里更改系统区域设置。例如中文系统，英文系统，韩语系统等。
不同操作系统上使用的区别（winXP，Vista，Win7，Win2000，Win2003，Win2008,32位和64位系统）
同一个系统的不同系统用户操作（管理员和非管理员）
需要考虑计算机休眠，待机后在启动软件的表现情况，各种杀毒软件对软件的影响。

- B/S

（1）链接测试
检查每一个链接是否都按照需求链接到了指定的页面
检查所链接的页面是否真实，内容是否正确
检查系统中是否有单独存在的页面，即没有链接指向
检查链接的层次，一般不超过3层
（2）表单测试
检查输入框的长度
检查输入框的类型
检查输入框的字符
检查按钮的功能
检查重复提交表单
检查下拉列表
检查快捷键的功能，如teb，enter键
检查必填项
（3） 图形测试（UI测试）
检查图形的标准规范
检查用户视觉角度
检查图形的风格
检查图形的灵活性
（4）交互性数据测试
前台的数据操作是否对后台产生相应正确的影响
后台修改设置，前台是否生效
用户的权限，是否随着授权而变化
数据未审核时，前台应不显示，审核通过后，前台应可显示该条数据
（5）兼容测试
浏览器兼容性
操作系统兼容性
分辨率兼容性
（6）性能测试
并发测试
压力测试
负载测试
稳定性测试
（7）安全测试
SQL注入
跨站脚本攻击
跨站请求伪造
缓存区溢出