当然，不要以为需求文档就全部正确，它也可能会有错误，我们也应该去发现需求文档的bug，然后再去协调PM，敦促FE或者RD进行修改。方法是从出现bug征兆处开始，人工地沿控制流程往回追踪，直至发现出错的根源，不幸的是程序变大后，可能的回溯路线显著增加，以致人工进行完全回溯到望而不可及。，比如tomcat日志。后台涉及到servlet，jms，ejb，还有很多框架struts，hibernate，sp

　　1. 打开Chrome浏览器。　　2. 输入需要测试的网址，进入应用界面。

①：代表的是测试环境，如果不手动去配置的话，显示的No Environment，配置测试环境的好处就在于，假如有多个测试服务器，并且某些接口集是通用的，此时我就可以不用在通用的接口集里面逐个去修改url，只需要将测试环境切换就可以了。第二步：编辑collection接口集，使其token应用于整个接口集中，完成了这几步操作之后，只要登录了一次服务器，拿到token之后，在规定时间内，该接口集里面的

假设系统需测试的业务有三个：A、B、C，综合业务基准测试是将ABC一起运行，那么加上A、B、C三个基准测试，共计4个基准测试场景，分别是ABC、A、B、C，但A与C存在资源争用，则需单独将A与C组合，构成一个单独的测试场景，则一共为ABC、A、B、C、AC等5个基准测试场景。测试某个具体业务在最大负载下，持续服务的时长，以此验证被测业务的稳定性。测试某个具体业务能够承受的最大负载，验证被测业务能够

我们将常用的测试工具分为10类。

python “C:\安全测试\sqlmap\sqlmap.py” -m “C:\1.txt” --batch --output-dir=“C:\test”6.sqlmap 命令操作见：https://www.cnblogs.com/wuhongbin/p/15582981.html

选择form-data，key选择file类型后value会出现按钮，点击按钮选择文件，最后点击Send发送即可。

如果前端页面的元素信息发生了变更, 那么自动化代码就需要去更新元素, 而且是只要能用到这个元素就要去更新, 维护不方便针对登录的代码, 存在大量的冗余

接口测试对功能的验证，可以参照接口说明文档来进行概括起来讲，就是我们需要验证接口说明文档中提到的各种情况，保证这些情况下接口的返回和最初设计的是一样的，这样我们就可以认为该接口实现了功能需求接口测试用例设计思路1、暴露在外面的接口，因为通常该接口会给第三方调用。2、供系统内部调用的核心功能接口。3、供系统内部调用非核心功能接口。4、正向用例优先测试,逆向用例次之(通常情况，非绝对)。

当打开 Intercept 时，每一个 http 请求都会被拦截下来，多次点击 Forward，发送被拦截的请求，以及任何后续的请求，直到该页面在 Burp 的浏览器中加载。在 Repeater 里，可以任意修改请求内容，并且查看对应的响应。能够配置攻击参数，反复发送相同的 HTTP 请求，根据不同的攻击方式，每次在预定义的位置插入不同的 payload 发送请求。可以看到在拦截下的请求中，有个