自動化測試技術工具趨勢

January 1, 2018January 4, 2018Selenium / Web Security / 教學 / 軟體品管 / 雲端資訊安全

自動化測試技術工具趨勢

熱門測試技術主題

從各大測試技術論壇討論的主題有：

DevOps + Security 安全測試流水線
Rest API Automation 接口測試
Docker for CI 容器化環境部署
BigData framework 大數據架構
BDD automation
Mobile automation 手機測試
Cloud Testing…雲測試

手機自動化測試

開源 Appium 讓 iOS/Android 測試不需要額外學習兩種不同的語言

測試開發只要使用自己熟悉的語言 Java or Python 就可以進行手機自動化測試

但是 Appium 的安裝複雜有沒有一鍵式安裝方式？

Appium Studio

Appium Studio 的出現讓整個手機自動化測試的部署變得更容易

https://experitest.com/mobile-test-automation/appium-studio/

Macaca 手機自動化測試

https://macacajs.com/

https://github.com/alibaba/macaca

這套跟appium一樣可以用python or Java 測試 ios & Android

同樣也有提供 UI 錄製與定位的工具

由於 appium 支援的android 版本多所以相對比較笨重

這套Macaca只支援 Android API１７以上所以相對比較輕便

https://macacajs.com/quick-start

驗證環境配置測試

測試環境的啟動不在只是使用單純的虛擬機環境, 而是廣泛大量的運用 Docker

因此, Infrastructure as Code 的相關技術也被大量的運用在自動化環境配置, 相關的框架如 Ansible, CFEngine, Chef, Otter, Puppet, SaltStack等

那麼要如何驗證環境配置是否正確呢? 有沒有什麼框架?

https://testinfra.readthedocs.io/en/latest/

https://github.com/philpep/testinfra

範例:

# 驗證 /etc/passwd 是否含有root使用者, 檔案權限是否為644
def test_passwd_file(host):
    passwd = host.file("/etc/passwd")
    assert passwd.contains("root")
    assert passwd.user == "root"
    assert passwd.group == "root"
    assert passwd.mode == 0o644

# 驗證是否有安裝 nginX  如果有安裝版本是否為1.2以上
def test_nginx_is_installed(host):
    nginx = host.package("nginx")
    assert nginx.is_installed
    assert nginx.version.startswith("1.2")

# 驗證 NginX服務是否有啟動
def test_nginx_running_and_enabled(host):
    nginx = host.service("nginx")
    assert nginx.is_running
    assert nginx.is_enabled

類似的工具可參考 : http://serverspec.org/

安全配置檢查 Inspec

另外對於環境的安全配置測試要如何進行呢？

https://www.inspec.io/

可以利用 InSpec 來進行驗證

範例程式

# 驗證設定檔案權限是否為0644

describe file(‘/etc/myapp.conf’) do
it { should exist }
its(‘mode’) { should cmp 0644 }
end

# 驗證端口是否為 8080

describe myapp.conf do
its(‘port’) { should cmp 8080 }
end

# 驗證端口是否監聽 8080

describe port(8080) do
it { should be_listening }
end

單元測試 AssertJ

http://joel-costigliola.github.io/assertj/

Java 的單元測試不是已經有 Junit or TestNG 為什麼還需要一個 AssertJ?

主要是 AssertJ提供許多的驗證函數模版可以使用

在開發環境中可以自動的列舉出來提供參考如下圖

除此之外還可以依據現有的Junit產生相對應的AssertJ驗證

Web端到端測試 – NightWatchJS

http://nightwatchjs.org/

除了 Selenium 之外的另外一種端到端的Web測試選擇

簡潔的語法透過 JavaScript語法啟動 Selenium Server就可以進行自動化測試

範例程式如下：

下列程式主要目的為瀏覽

瀏覽 www.google.com
輸入 nightwatch
點擊確認
驗證是否結果有 Night Watch

module.exports = {
  'Demo test Google' : function (browser) {
    browser
      .url('http://www.google.com')
      .waitForElementVisible('body', 1000)
      .setValue('input[type=text]', 'nightwatch')
      .waitForElementVisible('button[name=btnG]', 1000)
      .click('button[name=btnG]')
      .pause(1000)
      .assert.containsText('#main', 'Night Watch')
      .end();
  }
};

另外可參考 https://www.cypress.io

Web 效能分析測試 – LightHouse

https://github.com/GoogleChrome/lighthouse

https://developers.google.com/web/ilt/pwa/lighthouse-pwa-analysis-tool

效能測試

效能測試的開源工具主要有

Jmeter http://jmeter.apache.org/index.html
Locust https://locust.io/
gatling https://gatling.io/

大部分情況使用Jmeter都可以應用到各種效能測試

但是如果有更細緻的場景需求希望加工一些程式

筆者建議可以使用 Locust 支援Python

Screenshot of Locust web UI

安全測試相關

OWASP ZAP 2.7 Release ZAP 2.7.0

著名的web安全測試工具, 這次的改版提供許多新的 API測試，並且可以直接啟動瀏覽器自動設定proxy測試

http://arachni-scanner.com

https://github.com/Arachni/arachni/wiki/REST-API

OWASP JuiceShop Project

這個專案主要提供許多安全測試的練習環境與挑戰題目

https://www.owasp.org/index.php/OWASP_Juice_Shop_Project

電子書提示說明

https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content

解答

https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/appendix/solutions.html

OWASP OWTF (Offensive Web Testing Framework)

https://github.com/owtf/owt

OWASP Testing Guide + PTES + NIST

https://owtf.github.io/online-passive-scanner

OWASP Security Shepherd 3.0

web and mobile application security training platform. 這也是一個安全測試的練習平台環境

特別的是他是一個 Web + Mobile 的測試環境平台

DependencyCheck

這工具主要掃描相關依存的模組是否有已知的漏洞

3.0新版修正哪些問題？參考

https://github.com/jeremylong/DependencyCheck/blob/master/RELEASE_NOTES.md

標準規範

ISO發佈軟體品管評估規範

ISO/IEC TS 25011:2017 Systems and software Quality Requirements and Evaluation (SQuaRE)
GB/T 25000:12-2017
GB/T 25000:24-2017

另外針對常見的Ｃ, Java 發佈的這幾篇語言漏洞測試規範也很值得參考

GB/T 34943-2017 C/C++ 漏洞測試規範 http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=00AD3629A2AEC567B8242A234539226D
GB/T 34944-2017 Java 漏洞測試規範 http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=6B5F14F93B5FEBF63C631A17903EA29D
GB/T 34946-2017 C# 漏洞測試規範 http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=91A232035C73F7E700A2A3E94782FBCD

Java 語言漏洞測試規範目錄

Hash算法漏洞範例

業務安全判斷黑產風險的N個維度

February 29, 2020

Android安全測試幾個小技巧

March 20, 2019

DVWA SQL盲注漏洞攻擊與防護

March 18, 2019

DVWA SQL注入的防护与攻击

March 18, 2019

DVWA 命令注入的防护与攻击

March 18, 2019

DVWA CSRF的攻击与防护

March 18, 2019

Leave a Reply Cancel reply

View All

“Hands-On Security in DevOps” Book Released

August 13, 2018

"Hands-On Security in DevOps" Book Released This guide combines DevOps and security to help you to protect cloud services, and teaches...

網絡安全技術文章彙整

August 9, 2018

網絡安全技術文章彙整這篇文章主要彙整筆者對於資訊安全測試的文章分享。每一篇都是筆者實務的心得。包含資訊安全政策、安全的軟體建置與設計、測試的流程、測試工具、測試環境、開發與維運平台等安全議題。世界頂尖的資訊安全(滲透式)測試方法範本滲透式資訊安全測試結果報告範例網站資訊安全測試計畫與測試個案範本資訊安全網路與應用系統整體架構的 Design Pattern判斷Web Security 入侵的跡象網站資訊安全測試計畫與測試個案範本網站資訊安全測試與需求範本資訊安全規範SAMM 資訊安全軟體成熟度模型 – 驗證面Microsoft...

Firmware 必備測試工具

May 12, 2018

Firmware 必備測試工具這篇文章主要介紹一般進行Firmware測試運用的相關工具工具名稱介紹 BinWALK BinWalk...

View All

互聯網必備的自動化測試工具與框架

April 15, 2018

互聯網必備的自動化測試工具與框架這篇文章主要介紹當前2018年幾個主流的測試框架與部分小工具技巧主要類別分為手機自動化測試, web 自動化測試, UI 自動化測試, 性能測試, 接口測試以及相關的系統配套工具, 嘗試透過專案的執行累積相關的工作經驗. 以下介紹幾個免費或是開源的工具自動化測試工具說明與特色參考 Appium 手機自動化測試特色在於同時可以支援iOS &Android...

如何減少系統間的依賴 — Mock Server

February 1, 2018

如何減少系統間的依賴 -- Mock Server 這篇文章主要解決一個問題: 減少服務系統間依賴關係, 讓開發或是測試可以獨立的進行下去, 要解決這個問題, 我們利用到"模擬"的方式, 也就是...

不用寫程式一樣完成手機移動APP自動化測試 — RobotFramework實作範例

January 31, 2018

不用寫程式一樣完成手機移動APP自動化測試 -- RobotFramework實作範例這篇文章主要說明如何透過 RobotFramework 來對於 iOS or Android App...

Copy Protected by Chetan's WP-Copyprotect.