第一篇 寻找软件缺陷实训 3
实验1 软件安全测试训练 3
1.1 实验#1:testfire网站有SQL注入风险 3
1.2 实验#2:testasp网站有SQL注入风险 5
1.3 实验#3:testaspnet网站有SQL注入风险 9
1.4 实验#4:zero网站能获得管理员身份 10
1.5 实验#5:testaspnet网站有框架钓鱼风险 12
1.6 实验#6:testasp网站有框架钓鱼风险 14
1.7 实验#7:webscantest网站有框架钓鱼风险 15
1.8 实验#8:crackme网站有框架钓鱼风险 17
1.9 实验#9:testfire网站有XSS攻击风险 20
1.10 实验#10:testasp网站有XSS攻击风险 21
1.11 实验#11:webscantest网站有XSS攻击风险 23
1.12 实验#12:testaspnet网站有未经认证的跳转 24
1.13 实验#13:testfire网站能获得admin密码 26
1.14 实验#14:testphp网站密码未加密传输 28
1.15 实验#15:crackme网站存在源代码泄露问题 30
1.16 实验#16:testphp网站数据库结构泄露 32
1.17 实验#17:testphp网站服务器信息泄露 33
1.18 实验#18:testfire网站出错导致应用程序细节泄露 35
1.19 实验#19:testfire网站Cookie没设置成HttpOnly 37
1.20 实验#20:testasp网站密码能自动保存在浏览器中 38
拓展训练 39
读书笔记 41
实验2 软件界面测试训练 42
2.1 实验#1:oricity网站图片上传Tooltip显示错 42
2.2 实验#2:books专著网站显示无意义的复选框 43
2.3 实验#3:roqisoft论坛搜索文字显示溢出 45
2.4 实验#4:qa网站页面文字显示重叠 46
2.5 实验#5:testfire网站显示垃圾字符 47
2.6 实验#6:crackme网站首页图片没对齐 48
2.7 实验#7:crackme网站页脚有重复链接 48
2.8 实验#8:jsebook文字显示被剪裁 49
2.9 实验#9:oricity网站登录界面布局不合理 50
2.10 实验#10:crackme网站版权信息过期 52
2.11 实验#11:crackme网站出现乱码字符 53
2.12 实验#12:oricity网站注册页面文字未对齐 54
2.13 实验#13:leaf520网站某合作院校图片不显示 54
2.14 实验#14:leaf520大学生软件竞赛文字重叠 55
2.15 实验#15:books网站同一本书书名两处显示不一致 56
2.16 实验#16:智慧绍兴-刻字-图片显示问题 57
2.17 实验#17:微信公众号菜单栏名称与实际不符 60
2.18 实验#18:手机上二维码与网站文字重叠 61
2.19 实验#19:“专家简介”页面未自适应手机大小 61
2.20 实验#20:oricity网站按钮超出界面 62
拓展训练 63
读书笔记 64
实验3 软件功能测试训练 65
3.1 实验#1:oricity网站图片共享出现404错误 65
3.2 实验#2:诺颀软件论坛高级搜索+约束失效 67
3.3 实验#3:qa网站部分字体放大、缩小不工作 69
3.4 实验#4:leaf520网站搜索关键字长度验证失效 70
3.5 实验#5:testphp输入框中的默认值无法自动删除 72
3.6 实验#6:crackme网站文件无法下载 73
3.7 实验#7:testfire网站About Us页出现404错误 74
3.8 实验#8:景点互动的360全景展示中返回出错 75
3.9 实验#9:leaf520生成PDF出现TCPDF error 75
3.10 实验#10:oricity相册目录名无法修改 77
3.11 实验#11:crackme网站忘记密码功能未实现 78
3.12 实验#12:testphp网站产品删除功能失效 79
3.13 实验#13:leaf520网站无法进行邮箱分享 80
3.14 实验#14:oricity网站翻页功能缺上一页下一页 81
3.15 实验#15:智慧绍兴能给自己无限次点赞 82
3.16 实验#16:testaspnet网站已注册账户无法登录 84
3.17 实验#17:“言若金叶”公众号使用攻略功能问题 87
3.18 实验#18:“言若金叶”公众号读者专区和最新动态呈现内容有误 88
3.19 实验#19:oricity网站“版权所有”功能错误 89
3.20 实验#20:NBA网站缩小浏览器导航条功能消失 90
拓展训练 91
读书笔记 92
实验4 软件技术测试训练 93
4.1 实验#1:oricity网站轨迹名采用不同验证规则 93
4.2 实验#2:智慧绍兴-电子刻字不限制文件类型 95
4.3 实验#3:oricity网站修改密码可违反约束 96
4.4 实验#4:oricity网站URL篡改暴露代码细节 97
4.5 实验#5:testphp网站非法电话号码注册成功 98
4.6 实验#6:testfire网站非法邮箱提交成功 100
4.7 实验#7:oricity网站新增好友页面有XSS攻击风险 102
4.8 实验#8:oricity网站新增好友页面有框架钓鱼风险 103
4.9 实验#9:testfire网页结构能被破坏 104
4.10 实验#10:crackme网站出生日期不合约束 105
4.11 实验#11:zero网站表单域验证有问题 107
4.12 实验#12:crackme网站E-mail验证问题 108
4.13 实验#13:“言若金叶”公众号“与你共舞”模块中的问题 109
4.14 实验#14:testaspnet网站同一账户可以重复注册 110
4.15 实验#15:oricity网站上传中文图像名问题 112
4.16 实验#16:qa网站特殊字符搜索出现404错误 113
4.17 实验#17:oricity网站用户注销后还能邀请好友 114
4.18 实验#18:testaspnet网站RSS链接Error 403 115
4.19 实验#19:testfire网站Internet server error 116
4.20 实验#20:oricity网站Query Error 117
拓展训练 118
读书笔记 120
实验5 软件探索测试训练 121
5.1 实验#1:oricity网站JavaScript前端控制被绕行 121
5.2 实验#2:oricity网站上传文件大小限制问题 122
5.3 实验#3:oricity网站权限控制错403 Forbidden 124
5.4 实验#4:oricity网站有内部测试网页 125
5.5 实验#5:NBA网站files目录能被遍历 126
5.6 实验#6:NBA网站有内部测试网页 128
5.7 实验#7:NBA网站Servlet信息泄露 129
5.8 实验#8:南大小百合BBS存在CSRF攻击漏洞 130
5.9 实验#9:新浪微博存在CSRF攻击漏洞 132
5.10 实验#10:testphp网站目录列表暴露 133
5.11 实验#11:智慧绍兴-电子刻字选择颜色下拉列表出现英文 134
5.12 实验#12:oricity网站错误提示使用英文 135
5.13 实验#13:openclass软件开发在线公开课问题 135
5.14 实验#14:books《生命的足迹经典版》样张下载问题 136
5.15 实验#15:InfoSec网络空间安全公告问题 137
5.16 实验#16:InfoSec网络空间安全图片问题 138
5.17 实验#17:testphp网站出现错误暴露服务器信息 139
5.18 实验#18:智慧绍兴-积分管理页随机数问题 140
5.19 实验#19:智慧绍兴-我的好友列表翻页问题 142
5.20 实验#20:智慧绍兴-手写刻字图片与画布问题 143
拓展训练 144
读书笔记 145
第二篇 设计测试用例实训 149
实验6 设计智慧城市类测试用例 149
6.1 智慧绍兴项目总述 149
6.2 智慧绍兴系统测试用例设计思路 150
6.3 个性化旅游空间模块测试用例设计 151
6.4 景区智能导航模块测试用例设计 155
6.5 景点互动展示模块测试用例设计 157
6.6 到此一游电子刻字模块测试用例设计 158
6.7 景区特产优惠购模块测试用例设计 161
拓展训练 163
读书笔记 164
实验7 设计在线会议类测试用例 165
7.1 在线会议Zoom项目总述 165
7.2 在线会议系统测试用例设计思路 166
7.3 登录Zoom云会议模块测试用例设计 166
7.4 召开/预约/加入会议模块测试用例设计 168
7.5 会议功能模块测试用例设计 169
7.6 共享屏幕模块测试用例设计 173
7.7 结束会议模块测试用例设计 177
拓展训练 178
读书笔记 179
实验8 设计在线协作类测试用例 180
8.1 在线协作workcard项目总述 180
8.2 在线协作系统测试用例设计思路 181
8.3 账户注册登录模块测试用例设计 181
8.4 账户管理模块测试用例设计1: 184
8.5 项目管理模块测试用例设计 185
8.6 工作时间管理模块测试用例设计 188
8.7 报表管理模块测试用例设计 189
8.8 客户端模块测试用例设计 191
拓展训练 193
读书笔记 194
实验9 设计电子商务类测试用例 195
9.1 电子商务Kiehl’s项目总述 195
9.2 电子商务网站测试用例设计思路 196
9.3 主页面模块测试用例设计 197
9.4 账户管理模块测试用例设计2: 198
9.5 产品信息模块测试用例设计 199
9.6 搜索模块测试用例设计 200
9.7 账单管理模块测试用例设计 200
9.8 My Kiehl’s模块测试用例设计 201
拓展训练 202
读书笔记 203
实验10 设计电子书籍类测试用例 204
10.1 电子书籍books项目总述 204
10.2 电子书籍测试用例设计思路 204
10.3 电子书籍网站测试用例设计 204
拓展训练 209
读书笔记 210
实验11 设计手机应用类测试用例 211
11.1 手机应用Mobile项目总述 211
11.2 手机应用测试用例设计思路 212
11.3 手机输入法测试用例设计 212
11.4 手机闹钟设置测试用例设计 214
拓展训练 218
读书笔记 219
实验12 设计注册/登录白盒测试用例 220
12.1 白盒测试 220
12.2 注册/登录模块功能介绍 221
12.3 注册代码分析 222
12.4 设计注册测试用例 223
12.5 登录代码分析 224
12.6 设计登录测试用例 226
拓展训练 227
读书笔记 228
实验13 设计好友/粉丝白盒测试用例 229
13.1 覆盖方法 229
13.2 好友/粉丝功能介绍 231
13.3 好友/粉丝代码分析 232
13.4 设计好友/粉丝测试用例 233
拓展训练 238
读书笔记 239
实验14 设计积分/游记白盒测试用例 240
14.1 用户积分功能介绍 240
14.2 用户积分代码分析 241
14.3 设计用户积分测试用例 243
14.4 个人游记功能介绍 245
14.5 个人游记代码分析 245
14.6 设计个人游记测试用例 245
拓展训练 248
读书笔记 249
实验15 设计回归测试类测试用例 250
15.1 AutoDesk回归测试项目总述 250
15.2 回归测试设计思路 250
15.3 设计回归测试用例 251
拓展训练 253
读书笔记 254
第三篇 使用测试工具实训 257
实验16 自动化测试工具JMeter训练 257
16.1 JMeter简介 257
16.2 JMeter安装和运行 258
16.2.1 安装JMeter 258
16.2.2 运行JMeter 258
16.3 JMeter功能使用 259
16.3.1 线程组 260
16.3.2 配置元件 260
16.3.3 逻辑控制器 263
16.3.4 取样器 267
16.3.5 定时器 269
16.3.6 前置处理器 269
16.3.7 后置处理器 271
16.3.8 响应断言 272
16.3.9 监听器 272
16.4 JMeter学习总结 274
16.4.1 怎么开始 274
16.4.2 登录一直报错怎么解决 274
拓展训练 276
读书笔记 277
实验17 自动化测试工具GT训练 278
17.1 移动APP自动化测试 278
17.2 移动APP自动化测试工具GT的使用 280
17.2.1 GT的安装与启动 280
17.2.2 选择一个被测应用并选择监控指标 281
17.2.3 启动被测APP 282
17.2.4 选择本次测试的性能指标 284
17.2.5 设置需要时刻关注的参数 284
17.2.6 打开被测APP进行测试 285
17.2.7 测试完毕返回GT应用 285
17.2.8 查看性能指标详细信息 286
17.2.9 保存性能测试数值 286
17.3 自动化测试结果分析 287
17.3.1 进一步分析测试结果文件 287
17.3.2 GT工具学习总结 287
17.3.3 实验补充说明 288
拓展训练 289
读书笔记 290
实验18 安全渗透测试工具ZAP训练 291
18.1 ZAP工具的特点 291
18.2 安装ZAP 291
18.2.1 环境需求 292
18.2.2 安装步骤 292
18.3 基本原则 295
18.3.1 配置代理 295
18.3.2 整体框架 299
18.3.3 用户界面 299
18.3.4 基本设置 301
18.3.5 工作流程 302
18.4 自动扫描实例 304
18.4.1 扫描配置 304
18.4.2 扫描步骤 304
18.4.3 进一步扫描 307
18.4.4 扫描结果 310
18.5 手动扫描实例 310
18.5.1 扫描配置 310
18.5.2 扫描步骤 310
18.5.3 扫描结果 312
18.6 扫描报告 313
18.6.1 IDE中的Alerts 313
18.6.2 生成报告 313
18.6.3 安全扫描报告分析 314
拓展训练 315
读书笔记 316
实验19 安全集成攻击平台Burp Suite训练 317
19.1 Burp Suite主要功能 317
19.2 安装Burp Suite 318
19.2.1 环境需求 318
19.2.2 安装步骤 319
19.3 工作流程及配置 319
19.3.1 Burp Suite框架与工作流程 319
19.3.2 Burp Suite配置代理 319
19.3.3 浏览器代理配置 319
19.4 Proxy工具 321
19.5 Spider工具 323
19.6 Scanner工具 325
19.6.1 Scanner使用介绍 325
19.6.2 Scanner操作 325
19.6.3 Scanner报告 326
19.7 Intruder工具 328
19.7.1 字典攻击步骤 328
19.7.2 字典攻击结果 334
19.8 Repeater工具 335
19.9 Sequencer工具 336
19.10 Decoder工具 338
19.11 Comparer工具 339
拓展训练 340
读书笔记 341
实验20 性能测试工具wrk训练 342
20.1 性能测试工具 342
20.1.1 性能测试和性能测试工具的关系 343
20.1.2 性能测试工具的选择 343
20.2 wrk安装 344
20.2.1 在Archlinux上安装wrk 344
20.2.2 在Windows 10上安装wrk 347
20.3 用wrk测试testfire网站性能 354
拓展训练 355
读书笔记 356
实验21 性能测试工具WebLOAD训练 357
21.1 WebLOAD工作原理 357
21.2 WebLOAD安装 358
21.3 WebLOAD界面介绍 361
21.4 WebLOAD实战 365
21.4.1 创建一个议程 365
21.4.2 使用WebLOAD向导配置压力模板 367
21.4.3 运行测试 372
21.4.4 分析测试结果 372
拓展训练 374
读书笔记 375