ST-第8章系統(tǒng)測(cè)試

1、第第8章章 系統(tǒng)測(cè)試系統(tǒng)測(cè)試Kerry ZhuZhu.KerryGhttp:/ Broderick）是一個(gè)瘋狂的電腦游戲迷，一次他不經(jīng)意地闖入了五角大樓的一個(gè)絕對(duì)機(jī)密的電腦系統(tǒng)中 更多例子更多例子各種系統(tǒng)測(cè)試各種系統(tǒng)測(cè)試本章內(nèi)容本章內(nèi)容v8.1 什么是系統(tǒng)測(cè)試v8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試v8.3 負(fù)載測(cè)試技術(shù)v8.4 性能測(cè)試v8.5 壓力測(cè)試v8.6 性能測(cè)試工具v8.7 兼容性測(cè)試v8.8 安全性測(cè)試v8.9 容錯(cuò)性測(cè)試v8.10 可靠性測(cè)試本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.

2、5 壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試8.8 安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試什么是系統(tǒng)測(cè)試？什么是系統(tǒng)測(cè)試？v 用戶(hù)的需求可以分為功能性需求功能性需求和非功能性需求非功能性需求，而非功能性的需求被歸納為軟件產(chǎn)品的各種質(zhì)量特性，如安全性、兼容性和可靠性等v 系統(tǒng)測(cè)試系統(tǒng)測(cè)試就是針對(duì)這些非功能特性展開(kāi)的，就是驗(yàn)證軟件產(chǎn)品符合這些質(zhì)量特性的要求，從而滿(mǎn)足用戶(hù)和軟件企業(yè)自身的非功能性需求。所以，系統(tǒng)測(cè)試分為負(fù)載測(cè)試、性能系統(tǒng)、容量測(cè)試、安全性測(cè)試、兼容性測(cè)試和可靠性測(cè)試等 系統(tǒng)測(cè)試的內(nèi)容系統(tǒng)測(cè)試的內(nèi)容詳見(jiàn)表8-本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、

3、壓力測(cè)試和性能測(cè)試概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.5 壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試8.8 安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試背景及其分析背景及其分析v系統(tǒng)性能的改善是測(cè)試、調(diào)整、再測(cè)試、再調(diào)整、一個(gè)持續(xù)改進(jìn)的過(guò)程性能調(diào)優(yōu)v性能調(diào)優(yōu)需要借助負(fù)載測(cè)試方法的幫助 v負(fù)載測(cè)試和性能測(cè)試有較多相似之處，例如，測(cè)試方法比較接近、都關(guān)注系統(tǒng)的性能，而且多數(shù)情況下使用相同的測(cè)試工具 v負(fù)載測(cè)試可以看作是性能測(cè)試所采用的一種技術(shù) v壓力測(cè)試可以被看作是負(fù)載測(cè)試的一種，即高負(fù)載下的負(fù)載測(cè)試 v容量測(cè)試也采用負(fù)載測(cè)試技術(shù)來(lái)實(shí)現(xiàn)定義定義v負(fù)載測(cè)

4、試負(fù)載測(cè)試是通過(guò)模擬實(shí)際軟件系統(tǒng)所承受的負(fù)載條件、改變系統(tǒng)負(fù)載大小和負(fù)載方式來(lái)發(fā)現(xiàn)系統(tǒng)中所存在的問(wèn)題 v壓力測(cè)試壓力測(cè)試是在強(qiáng)負(fù)載情況下（如大數(shù)據(jù)量、大量并發(fā)用戶(hù)連接等）穩(wěn)定性進(jìn)行測(cè)試，查看應(yīng)用系統(tǒng)在峰值（瞬間使用高峰）使用情況下的行為表現(xiàn)，更有效地發(fā)現(xiàn)系統(tǒng)穩(wěn)定性的隱患和系統(tǒng)在負(fù)載峰值的條件下功能隱患等，確認(rèn)系統(tǒng)是否具有良好的容錯(cuò)能力和可恢復(fù)能力。 v性能測(cè)試性能測(cè)試是為獲取或驗(yàn)證系統(tǒng)性能指標(biāo)而進(jìn)行的測(cè) 本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.5 壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試8.8 安

5、全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試8.3 負(fù)載測(cè)試技術(shù)負(fù)載測(cè)試技術(shù)v8.3.1 負(fù)載測(cè)試過(guò)程負(fù)載測(cè)試過(guò)程v8.3.2 輸入?yún)?shù)輸入?yún)?shù)v8.3.3 輸出參數(shù)輸出參數(shù)v8.3.4 場(chǎng)景設(shè)置場(chǎng)景設(shè)置v8.3.5 負(fù)載測(cè)試的執(zhí)行負(fù)載測(cè)試的執(zhí)行v8.3.6 負(fù)載測(cè)試的結(jié)果分析負(fù)載測(cè)試的結(jié)果分析負(fù)載測(cè)試過(guò)程負(fù)載測(cè)試過(guò)程v確定所要模擬的角色及其對(duì)應(yīng)的關(guān)鍵業(yè)務(wù)操作路徑。v確定輸入/輸出參數(shù)，制定負(fù)載測(cè)試方案。v準(zhǔn)備測(cè)試環(huán)境，并完成相應(yīng)的測(cè)試腳本的開(kāi)發(fā)。v設(shè)計(jì)具體的測(cè)試場(chǎng)景，如負(fù)載水平、加載方式等。v執(zhí)行測(cè)試，監(jiān)控輸出參數(shù)，如數(shù)據(jù)吞吐量、響應(yīng)時(shí)間、資源占有率等。v對(duì)測(cè)試結(jié)果進(jìn)行分析。v結(jié)果不滿(mǎn)意，

6、需要調(diào)整測(cè)試場(chǎng)景，進(jìn)入下一個(gè)循環(huán)。負(fù)載測(cè)試的構(gòu)成負(fù)載測(cè)試的構(gòu)成輸入?yún)?shù)輸入?yún)?shù)v并發(fā)用戶(hù)數(shù)、并發(fā)連接數(shù)等。v思考時(shí)間（think time），用戶(hù)發(fā)出請(qǐng)求之間的間隔時(shí)間v加載的循環(huán)次數(shù)或持續(xù)時(shí)間v每次請(qǐng)求發(fā)送的數(shù)據(jù)量。v加載的方式或模式，如均勻加載、峰值交替加載等負(fù)載測(cè)試是通過(guò)模擬用戶(hù)的操作方式來(lái)考察系統(tǒng)的行為，所以人們肯定會(huì)問(wèn)：如何模擬用戶(hù)的行為？ 參數(shù)實(shí)例參數(shù)實(shí)例負(fù)載負(fù)載v RPS (Request Per Second)v 并發(fā)連接數(shù) (Simultaneous Browser Connections) 最大數(shù)據(jù)容量v 思考時(shí)間 (Thinking Time)v RPS + SBC +

7、Thinking Time = Concurrent users?http:/ 加載模式加載模式加載模式舉例加載模式舉例v 動(dòng)態(tài)模式動(dòng)態(tài)模式 v 全天模式全天模式 v 隊(duì)列模式隊(duì)列模式 v 驗(yàn)證模式驗(yàn)證模式 負(fù)載模式負(fù)載模式p 遞增p 恒值p 動(dòng)態(tài)p 整天p 隊(duì)列http:/ DemovJMeterhttp:/ 輸出參數(shù)輸出參數(shù)v 數(shù)據(jù)傳輸?shù)耐掏铝浚═ransactions）v 數(shù)據(jù)處理效率（Transactions per second）v 數(shù)據(jù)請(qǐng)求的響應(yīng)時(shí)間（Response time）v 內(nèi)存和CPU使用率v 連接時(shí)間（Connect Time）、發(fā)送時(shí)間（Sent Time）v 處理時(shí)

8、間（Process Time）、頁(yè)面下載時(shí)間v 第一次緩沖時(shí)間v 每秒（SSL）連接數(shù)v 每秒事務(wù)總數(shù)、每秒下載頁(yè)面數(shù)v 每秒點(diǎn)擊次數(shù)、每秒HTTP 響應(yīng)數(shù)v 每秒重試次數(shù)舉例舉例圖8-7 JMeter性能測(cè)試結(jié)果示意圖場(chǎng)景設(shè)置場(chǎng)景設(shè)置 v 啟動(dòng)啟動(dòng)（Ramp up） v 持續(xù)期間持續(xù)期間（Duration） v 結(jié)束結(jié)束（Ramp down） 在性能測(cè)試執(zhí)行前，以什么樣方式啟動(dòng)負(fù)載方式、如何持續(xù)進(jìn)行負(fù)載測(cè)試直至負(fù)載測(cè)試結(jié)束，這個(gè)過(guò)程的負(fù)載大小和方式、負(fù)載啟動(dòng)和結(jié)束以及各種檢查點(diǎn)、驗(yàn)證點(diǎn)等設(shè)計(jì)，被稱(chēng)為場(chǎng)景設(shè)置。 場(chǎng)景類(lèi)型場(chǎng)景類(lèi)型http:/ v可以分為靜態(tài)和動(dòng)態(tài)兩部分。靜態(tài)部分是指設(shè)置模擬用戶(hù)

9、生成器、用戶(hù)數(shù)量、用戶(hù)組等，動(dòng)態(tài)部分主要指添加性能計(jì)數(shù)器、檢查點(diǎn)、閥值等，從而獲得負(fù)載測(cè)試過(guò)程中反回來(lái)饋的數(shù)據(jù)系統(tǒng)運(yùn)行的動(dòng)態(tài)狀態(tài)。 v可以依據(jù)業(yè)務(wù)模式變化、隨時(shí)間段變化來(lái)進(jìn)行設(shè)置 v也可分為手工場(chǎng)景也可分為手工場(chǎng)景 和面向目標(biāo)的場(chǎng)景面向目標(biāo)的場(chǎng)景 舉例舉例依據(jù)業(yè)務(wù)模式變化來(lái)設(shè)計(jì)負(fù)載模式（來(lái)源MSDN）同步點(diǎn)同步點(diǎn) v同步點(diǎn)（或稱(chēng)集合點(diǎn)）用于同步虛擬用戶(hù)恰好在某一時(shí)刻執(zhí)行任務(wù)，確保眾多的虛擬并發(fā)用戶(hù)更準(zhǔn)確、集中地進(jìn)行某個(gè)設(shè)定的操作，達(dá)到更理想的負(fù)載模擬效果 負(fù)載測(cè)試執(zhí)行負(fù)載測(cè)試執(zhí)行 v大量的虛擬用戶(hù)要運(yùn)行在多個(gè)客戶(hù)端，并由控制器管理、代理（agent）驅(qū)動(dòng) v負(fù)載測(cè)試的執(zhí)行，需要針對(duì)不同維度的變

10、化進(jìn)行，包括時(shí)間維、負(fù)載維和系統(tǒng)維v監(jiān)控、詳細(xì)的記錄和適當(dāng)?shù)姆治鍪鞘种匾?時(shí)間維時(shí)間維：嘗試觀察系統(tǒng)在一段較長(zhǎng)時(shí)間上的行為變化 負(fù)載維負(fù)載維：嘗試在系統(tǒng)上改變負(fù)載來(lái)進(jìn)行對(duì)比分析 系統(tǒng)維系統(tǒng)維：負(fù)載測(cè)試也可以針系統(tǒng)的不同組件、不同配置等進(jìn)行 結(jié)果分析結(jié)果分析要善于捕捉被監(jiān)控的數(shù)據(jù)曲線(xiàn)發(fā)生突變的地方拐點(diǎn) 本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試性能測(cè)試8.5 壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試8.8 安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試8.4 性能測(cè)試性能測(cè)試v8.4.1 如何確定性能需求如何確

11、定性能需求v8.4.2 性能測(cè)試類(lèi)型性能測(cè)試類(lèi)型v8.4.3 性能測(cè)試的步驟性能測(cè)試的步驟v8.4.4 一些常見(jiàn)的性能問(wèn)題一些常見(jiàn)的性能問(wèn)題v8.4.5 容量測(cè)試容量測(cè)試示例示例確定性能需求確定性能需求v最終用戶(hù)的體驗(yàn)最終用戶(hù)的體驗(yàn)，如2-5-10原則 v商業(yè)需求商業(yè)需求，如“比競(jìng)爭(zhēng)對(duì)手的產(chǎn)品好” v技術(shù)需求技術(shù)需求，如CPU使用率不超過(guò)70 v標(biāo)準(zhǔn)要求標(biāo)準(zhǔn)要求 只有具備了清楚而量化的性能指標(biāo)，性能測(cè)試才能開(kāi)始實(shí)施。 響應(yīng)時(shí)間是用戶(hù)的關(guān)注點(diǎn)，容量和數(shù)據(jù)吞吐量是（產(chǎn)品市場(chǎng)團(tuán)隊(duì)）業(yè)務(wù)處理方面的關(guān)注點(diǎn)，而系統(tǒng)資源占用率是開(kāi)發(fā)團(tuán)隊(duì)的技術(shù)關(guān)注點(diǎn) 性能測(cè)試類(lèi)型性能測(cè)試類(lèi)型v 性能驗(yàn)證測(cè)試性能驗(yàn)證測(cè)試，驗(yàn)證

12、事先已定義的系統(tǒng)性能指標(biāo)、系統(tǒng)能否滿(mǎn)足系統(tǒng)的性能需求v 性能基準(zhǔn)測(cè)試性能基準(zhǔn)測(cè)試，在系統(tǒng)標(biāo)準(zhǔn)配置下獲得有關(guān)的性能指標(biāo)數(shù)據(jù)，作為將來(lái)性能改進(jìn)的基準(zhǔn)線(xiàn)v 性能規(guī)劃測(cè)試性能規(guī)劃測(cè)試，在多種特定的環(huán)境下，獲得不同配置的系統(tǒng)的性能指標(biāo)，從而決定在系統(tǒng)部署時(shí)采用什么樣的軟、硬件配置v 容量測(cè)試容量測(cè)試可以看作性能的測(cè)試一種，因?yàn)橄到y(tǒng)的容量可以看作是系統(tǒng)性能指標(biāo)之一性能測(cè)試的步驟性能測(cè)試的步驟v確定性能測(cè)試需求；v計(jì)劃和設(shè)計(jì)測(cè)試；包括確定關(guān)鍵業(yè)務(wù)流程、測(cè)試類(lèi)型和測(cè)試方法、選擇合適的測(cè)試工具、設(shè)計(jì)測(cè)試場(chǎng)景等 v測(cè)試工具的選擇；v配置測(cè)試環(huán)境，盡量接近實(shí)際運(yùn)行環(huán)境，即建立仿真環(huán)境作為性能測(cè)試環(huán)境，測(cè)試結(jié)果才能可

13、信；v實(shí)現(xiàn)測(cè)試設(shè)計(jì)（開(kāi)發(fā)測(cè)試腳本）；v執(zhí)行測(cè)試；v分析測(cè)試結(jié)果；v重復(fù)上述(4) (6)步驟，直至測(cè)試計(jì)劃完成，結(jié)果滿(mǎn)意；v提交性能測(cè)試報(bào)告。示例示例v加載v結(jié)果分析一些常見(jiàn)的性能問(wèn)題一些常見(jiàn)的性能問(wèn)題v資源泄漏資源泄漏，包括內(nèi)存泄漏 v資源瓶頸資源瓶頸，內(nèi)部資源（線(xiàn)程、放入池的對(duì)象）變得稀缺 vCPU使用率達(dá)到使用率達(dá)到100%、系統(tǒng)被鎖定等、系統(tǒng)被鎖定等 v線(xiàn)程死鎖、線(xiàn)程阻塞等線(xiàn)程死鎖、線(xiàn)程阻塞等 v數(shù)據(jù)庫(kù)連接成為性能瓶頸數(shù)據(jù)庫(kù)連接成為性能瓶頸 v查詢(xún)速度慢或列表效率低查詢(xún)速度慢或列表效率低 v受外部系統(tǒng)影響越來(lái)越大受外部系統(tǒng)影響越來(lái)越大 容量測(cè)試容量測(cè)試v容量測(cè)試（Capacity te

14、st），通過(guò)負(fù)載測(cè)試或其它測(cè)試方法，預(yù)先分析出反映軟件系統(tǒng)應(yīng)用特征的某項(xiàng)指標(biāo)的極限值（如最大并發(fā)用戶(hù)數(shù)、數(shù)據(jù)庫(kù)記錄數(shù)等），在其極限值狀態(tài)下系統(tǒng)主要功能還能保持正常運(yùn)行 v容量測(cè)試屬于性能測(cè)試中的一種，一般采用逐步加載的負(fù)載測(cè)試方法，也可以先采用逐步加載方式，獲得一個(gè)基本的容量值或容量范圍，然后再考慮用一次性加載方式，來(lái)決定實(shí)際可支持的容量值。 本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.5 壓力測(cè)試壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試8.8 安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試壓力測(cè)試壓力測(cè)試壓力

15、測(cè)試是在系統(tǒng)（如CPU、內(nèi)存和網(wǎng)絡(luò)帶寬等）處于飽和狀態(tài)下，測(cè)試系統(tǒng)是否還具有正常的會(huì)話(huà)能力、數(shù)據(jù)處理能力或是否會(huì)出現(xiàn)錯(cuò)誤，以檢查軟件系統(tǒng)對(duì)異常情況的抵抗能力，找出性能瓶頸、功能不穩(wěn)定性等問(wèn)題。 壓力測(cè)試的類(lèi)型壓力測(cè)試的類(lèi)型v 穩(wěn)定性壓力測(cè)試穩(wěn)定性壓力測(cè)試，高負(fù)載下持續(xù)運(yùn)行24小時(shí)以上的壓力測(cè)試 v 破壞性壓力測(cè)試破壞性壓力測(cè)試，通過(guò)不斷加載的手段，快速造成系統(tǒng)的崩潰，讓問(wèn)題盡快地暴露出來(lái) v 滲入測(cè)試滲入測(cè)試（soak test），通過(guò)長(zhǎng)時(shí)間運(yùn)行，使問(wèn)題逐漸滲透出來(lái)，從而發(fā)現(xiàn)內(nèi)存泄漏、垃圾收集（GC）或系統(tǒng)的其他問(wèn)題，以檢驗(yàn)系統(tǒng)的健壯性 v 峰谷測(cè)試峰谷測(cè)試（peak-rest test），采

16、用高低突變加載方式進(jìn)行，先加載到高水平的負(fù)載，然后急劇降低負(fù)載，稍微平息一段時(shí)間，再加載到高水平的負(fù)載，重復(fù)這樣過(guò)程，容易發(fā)現(xiàn)問(wèn)題的蛛絲馬跡，最終找到問(wèn)題的根源。本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.5 壓力測(cè)試8.6 性能測(cè)試工具性能測(cè)試工具8.7 兼容性測(cè)試8.8 安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試8.6 性能測(cè)試工具性能測(cè)試工具v8.6.1 特性及其使用特性及其使用v8.6.2 開(kāi)源工具開(kāi)源工具v8.6.3 商業(yè)工具商業(yè)工具特性及其使用特性及其使用 v能模擬實(shí)際用戶(hù)的操作行為，記錄和回放多用戶(hù)

17、測(cè)試中的事務(wù)處理過(guò)程，自動(dòng)生成相應(yīng)的測(cè)試腳本v能針對(duì)腳本進(jìn)行修改，增加邏輯控制、完成參數(shù)化和數(shù)據(jù)關(guān)聯(lián) v可以設(shè)置不同的應(yīng)用環(huán)境和場(chǎng)景，通過(guò)虛擬用戶(hù)執(zhí)行相應(yīng)的測(cè)試腳本 v通過(guò)系統(tǒng)監(jiān)控工具獲得系統(tǒng)性能的相關(guān)指標(biāo)的值 JMeter-JMeter-JMeter-開(kāi)源工具開(kāi)源工具v Siege（/JoeDog/Siege）是一個(gè)開(kāi)源的Web壓力測(cè)試和評(píng)測(cè)工具。v OpenSTA，可以模擬大量的虛擬用戶(hù)來(lái)完成性能測(cè)試，并通過(guò)scrpt來(lái)完成豐富的自定義設(shè)置。詳見(jiàn)/index.php。v DBMonster是一個(gè)生成隨機(jī)

18、數(shù)據(jù)、用來(lái)測(cè)試SQL數(shù)據(jù)庫(kù)的壓力測(cè)試工具，詳見(jiàn)http:/dbmonster.kernelpanic.pl/。v LoadSim網(wǎng)絡(luò)應(yīng)用程序的負(fù)載模擬器。v 更多的性能測(cè)試工具，可訪問(wèn)/performance.php HP LoadRLoadRunner系統(tǒng)架構(gòu)系統(tǒng)架構(gòu)商業(yè)工具商業(yè)工具 vHP LoadRunnervIBM Rational Performance TestervRadview WebLoad vCompuware QA Load vQuest Benchmark Factory v微軟微軟WAS（Web Acces

19、s Stress test） vPaessler Webserver Stress Tool vMINQ PureLoad 本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.5 壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試兼容性測(cè)試8.8 安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試8.7 兼容性測(cè)試兼容性測(cè)試v8.7.1 兼容性測(cè)試的內(nèi)容兼容性測(cè)試的內(nèi)容v8.7.2 系統(tǒng)兼容性測(cè)試系統(tǒng)兼容性測(cè)試v8.7.3 數(shù)據(jù)兼容性測(cè)試數(shù)據(jù)兼容性測(cè)試什么是兼容性測(cè)試什么是兼容性測(cè)試v兼容性測(cè)試是在特定的或不同的硬件、網(wǎng)絡(luò)環(huán)境和操作

20、系統(tǒng)平臺(tái)上、不同的應(yīng)用軟件之間，驗(yàn)證軟件系統(tǒng)能否正常地運(yùn)行，以及能否正確存取原先版本的用戶(hù)數(shù)據(jù)所進(jìn)行的測(cè)試 p 與硬件兼容p 與操作系統(tǒng)、平臺(tái)的兼容p 與數(shù)據(jù)庫(kù)系統(tǒng)的兼容p 與瀏覽器的兼容p 與第三方系統(tǒng)的兼容p 與內(nèi)部業(yè)務(wù)系統(tǒng)的兼容p 與自身系統(tǒng)的不同版本的用戶(hù)數(shù)據(jù)兼容等 兼容性測(cè)試的內(nèi)容兼容性測(cè)試的內(nèi)容硬件兼容性測(cè)試數(shù)據(jù)兼容性測(cè)試系統(tǒng)版本之間的兼容性向后兼容是指新發(fā)布的軟件版本可以使用該軟件的以前版本所產(chǎn)生的數(shù)據(jù)。向前兼容是指在設(shè)計(jì)和開(kāi)發(fā)軟件一個(gè)新版本時(shí)，考慮如何和未來(lái)版本的數(shù)據(jù)兼容。系統(tǒng)兼容性測(cè)試系統(tǒng)兼容性測(cè)試vB/S系統(tǒng)兼容性測(cè)試系統(tǒng)兼容性測(cè)試 vC/S系統(tǒng)兼容性測(cè)試系統(tǒng)兼容性測(cè)試 數(shù)

21、據(jù)兼容性測(cè)試數(shù)據(jù)兼容性測(cè)試v是否遵守統(tǒng)一的國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)或業(yè)界認(rèn)可的事實(shí)標(biāo)準(zhǔn)等 v提供相應(yīng)的導(dǎo)入和導(dǎo)出功能 v剪貼板或ODBC等類(lèi)似方法 本章內(nèi)容本章內(nèi)容8.1 什么是系統(tǒng)測(cè)試8.2 概念：負(fù)載測(cè)試、壓力測(cè)試和性能測(cè)試8.3 負(fù)載測(cè)試技術(shù)8.4 性能測(cè)試8.5 壓力測(cè)試8.6 性能測(cè)試工具8.7 兼容性測(cè)試8.8 安全性測(cè)試安全性測(cè)試8.9 容錯(cuò)性測(cè)試8.10 可靠性測(cè)試8.7 兼容性測(cè)試兼容性測(cè)試v8.8.1 安全性測(cè)試的范圍安全性測(cè)試的范圍v8.8.2 Web安全性的測(cè)試安全性的測(cè)試v8.8.3 安全性測(cè)試工具安全性測(cè)試工具什么是安全性測(cè)試什么是安全性測(cè)試v 跨站點(diǎn)腳本（cross-s

22、ite scripting，XSS）攻擊；v SQL注入式漏洞；v 緩沖區(qū)溢出；v 不安全的數(shù)據(jù)存儲(chǔ)或傳遞；v 不安全的配置管理；v 有問(wèn)題的訪問(wèn)控制，權(quán)限分配有問(wèn)題；v 口令設(shè)置不嚴(yán)，包括長(zhǎng)度、構(gòu)成和更新頻率；v 暴露的端口或入口；軟件安全性測(cè)試就是檢驗(yàn)系統(tǒng)權(quán)限設(shè)置有效性、防范非法入侵的能力、數(shù)據(jù)備份和恢復(fù)能力等，設(shè)法找出上述各種安全性漏洞 安全性測(cè)試的范圍安全性測(cè)試的范圍v系統(tǒng)級(jí)別的安全性v應(yīng)用程序級(jí)別的安全性 （重點(diǎn)）用戶(hù)權(quán)限數(shù)據(jù)輸入驗(yàn)證敏感數(shù)據(jù)加密數(shù)據(jù)存儲(chǔ)安全性用戶(hù)口令驗(yàn)證系統(tǒng)的日志文件是否得到保護(hù) Web安全性測(cè)試安全性測(cè)試v跨站腳本攻擊跨站腳本攻擊 vSQL注入式攻擊注入式攻擊 v

23、URL和和API的身份驗(yàn)證的身份驗(yàn)證 v其它其它 3-D3-D ( defacing, destruction, denial of service DoS )丑化、破壞、拒絕服務(wù)跨站腳本攻擊跨站腳本攻擊在頁(yè)面某些輸入域中使用跨站腳本（寫(xiě)入一段 javascript ）來(lái)發(fā)送惡意代碼給沒(méi)有發(fā)覺(jué)的用戶(hù)，讓瀏覽器執(zhí)行document.write等危險(xiǎn)指令 ，竊取用戶(hù)的資料或信息。輸入域驗(yàn)證輸入域驗(yàn)證v HTML標(biāo)簽： v 轉(zhuǎn)義字符：&(&)；<()； (空格) ；v 腳本語(yǔ)言，如JavaScript v 特殊字符： /防止：防止：最好進(jìn)行更嚴(yán)格的保護(hù)和驗(yàn)證最好進(jìn)行更嚴(yán)格的保護(hù)和驗(yàn)

24、證 SQL注入式攻擊注入式攻擊 v根據(jù)SQL語(yǔ)句的編寫(xiě)規(guī)則，附加一個(gè)永遠(yuǎn)為“真”的條件，使系統(tǒng)中某個(gè)認(rèn)證條件總是成立，從而欺騙系統(tǒng)、躲過(guò)認(rèn)證，進(jìn)而侵入系統(tǒng) Username=Request.from(“username”)Password=Request.from(“password”)xSql=”select * from admin where username=”&usename&” and password=”&password &” ”Rs.open xS.0.3If not rs.eof thenSession(“l(fā)ogin”)=trueResponse.redirect(“nex

25、t.asp”)End ifor 1 = 1 安全性測(cè)試工具的評(píng)估標(biāo)準(zhǔn)安全性測(cè)試工具的評(píng)估標(biāo)準(zhǔn) 支持常見(jiàn)的Web服務(wù)器平臺(tái) 能同時(shí)提供對(duì)源代碼和二進(jìn)制文件進(jìn)行掃描的功能 漏洞檢測(cè)和糾正分析 檢測(cè)實(shí)時(shí)系統(tǒng)的問(wèn)題 不改變被測(cè)試的軟件，不影響代碼 良好的報(bào)告 非安全專(zhuān)業(yè)人士也易于上手 可管理部署的多種掃描器、盡可能小的錯(cuò)誤誤差等常見(jiàn)的安全性測(cè)試工具常見(jiàn)的安全性測(cè)試工具vAcunetix Web Vulnerability Scanner是一款商業(yè)級(jí)的Web漏洞掃描程序。vBurp suite是一個(gè)可以用于攻擊Web應(yīng)用程序的集成平臺(tái)，vNikto是開(kāi)源的Web服務(wù)器掃描程序。vN-Stealth是一款

26、商業(yè)級(jí)的Web服務(wù)器安全掃描程序。vParos proxy是基于Java的web代理程序，可以評(píng)估Web應(yīng)用程序的漏洞。vSPI Dynamics WebInspect是功能強(qiáng)大的Web應(yīng)用程序掃描程序vTamperIE 是一個(gè)小巧的XSS漏洞檢測(cè)輔助工具vTripwire是一款最為常用的開(kāi)放源碼的完整性檢查工具vWapiti是由Python語(yǔ)言編寫(xiě)的、開(kāi)源的安全測(cè)試工具，直接對(duì)網(wǎng)頁(yè)進(jìn)行掃描vWatchfire AppScan是一款商業(yè)的Web漏洞掃描程序，可以?huà)呙柙S多常見(jiàn)的漏洞。vWebScarab可以分析使用HTTP 和HTTPS協(xié)議進(jìn)行通信的應(yīng)用程序vWhisker是使用LibWhisker的掃描程序，適合于HTTP測(cè)試vWikto可以檢查Web服務(wù)器中的漏洞，和Nikto比較接近。v常用的網(wǎng)絡(luò)監(jiān)控工具主要有Nessus、Ethereal/Wireshark、Snort、Swit