手机软件测试 手机应用软件测试要点整理

一、对于产品的手机项目(应用软件)，主要进行系统测试。对于手机应用软件的系统测试，我们通常会进行以下几个方面的测试:功能模块测试、跨事件测试、压力测试、容量测试、兼容性测试、可用性/用户体验测试等等。

1.功能模块测试:首先，分析功能模块的功能项，测试每个功能项是否能够实现相应的功能。基本的功能测试一般可以根据测试用例或者软件本身的流程来完成(比较简单，故障容易发现和解决)。

2.跨事件测试:也称为事件或冲突测试，它是指在执行一个函数时，另一个事件或操作干扰了进程的测试。比如通话过程中收到短信或报警触发，应用软件运行过程中充电器插拔。执行干扰冲突事件不会造成应用软件异常、手机死机、花屏等严重问题。此外，还要注意每个跨事件的优先级，检查系统是否可以根据优先级处理每个事件。高优先级事件的执行不能导致低优先级事件的挂起。

3.跨事件测试非常重要，一般可以发现应用软件中的一些潜在问题。另外，有中英模式切换的手机要注意中英模式切换后功能实现中存在的问题(这主要是针对支持手机应用软件的语言自适应功能)，测试人员往往会忽略。

4.压力测试:也称为边界值容错测试或极限负载测试。也就是说，在测试过程中，已经达到某个软件功能的最大容量、边界值或最大承载极限，相关操作仍在进行。比如收发短信持续超过收件箱和SIM卡可以存储的最大消息数，从而检测软件在异常情况下的性能，进而评估用户是否可以接受。

可应用于手机的压力测试类型主要包括:

存储压力:因为手机使用堆栈存储，如果一个内存块满了，程序员不处理或者处理不好，很容易造成其他内存区域被擦除，导致UI出现问题(比如其他功能不能正常使用，出现异常)。

边界压力:边界处理永远是程序员最容易忽略的地方。

响应压力:有时一个操作可能需要很长时间才能处理，如果测试人员在处理过程中一直执行其他操作，很容易出现问题。

网络流量压力:在执行数据流量大的功能的同时，操作其他功能，使网络流量始终处于高状态(如视频通话时操作短信等功能)。验证各功能是否仍能正常工作，是否存在网络流量瓶颈导致的功能异常。

压力测试的手工测试可能比较复杂，可以考虑自动测试。可惜目前没有广泛使用的工具，一般都是开发人员开发的，或者是高级测试人员编写的脚本。

5.容量测试:即存储空房间满时的测试，包括SIM卡的所有空房间都用满的测试。此时，执行与可编辑模块的存储空相关的任何操作测试。如果软件在极限容量状态下处理不好，可能会导致崩溃或严重的花屏问题。

6.兼容性测试:即不同品牌和型号的手机(针对我们目前的产品，主要针对不同品牌和型号的手机)、不同网络、不同品牌、不同容量的SIM卡之间的相互兼容性测试。不同型号的手机支持不同的图片格式、声音格式和动画格式，所以需要选择尽可能通用的格式，或者根据不同的型号进行配置和选择。以短信为例:中国电信小灵通接收中国移动或中国联通GSM的短信，需要验证显示和回复功能是否正常。再比如，应用软件分别运行在OPPO R7和OPPO A3手机上，是否所有功能都能正常使用，界面显示是否正常等。

7.可用性/用户体验测试:可用性/用户体验是指软件产品在特定条件下使用时，被用户理解、学习、使用和吸引的能力，是交互的适应性、功能性和有效性的集中表现。手机操作主要靠拇指，交互过程不要太复杂，交互步骤也不要太多。尽量多设计捷径。易用性是对终端软件(引申为交互软件)最基本、最重要的要求。用不好的软件很难吸引用户，更谈不上提高用户对软件的忠诚度。易用性体现在:所见即所得，用了就能知道，学了就能学会，能方便快捷地完成预期功能。易于使用的软件可以让新用户快速学习和使用我们的软件，并在使用软件的过程中展示我们的关怀服务。超越用户的期望是我们的目标。

8.暴力测试:当出现断电、重启、断网等意外情况时，处理是否正确

第二，安全测试

(1)安全测试方法

安全测试有很多测试方法。目前，主要的安全检测方法有:

①静态代码安全测试:主要通过扫描源代码，根据程序中的数据流、控制流、语义等信息，与其特有的软件安全规则库进行匹配，找出代码中潜在的安全漏洞。静态源代码安全测试是一种非常有用的方法，可以在编码阶段找出所有存在潜在安全风险的代码，让开发人员可以在早期解决潜在的安全问题。正因为如此，静态代码测试比测试更适合早期的代码开发。

②动态贯入试验:贯入试验也是一种常见的安全试验方法。就是利用自动化工具或人工方法模拟黑客的输入，测试应用系统的攻击性，找出运行时存在的安全漏洞。这个测试的特点是真实有效。一般发现的问题都是正确的，严重的。但是渗透测试的一个致命缺点是模拟测试数据只能到达有限的测试点，覆盖率很低。

③程序数据扫描。在一个安全性要求高的软件中，数据在运行过程中不能被破坏，否则会导致缓冲区溢出攻击。数据扫描的手段通常是内存测试，可以发现缓冲区溢出等很多其他测试方法很难发现的漏洞。比如在软件运行时扫描内存信息，看有没有导致隐患的信息，当然这需要专门的工具进行验证，很难手动完成。

(2)逆向安全测试过程

大多数软件安全测试都是按照缺陷空之间的逆向设计原则进行的，即提前检查可能存在安全隐患的地方，然后针对这些隐患进行测试。因此，逆向测试过程从缺陷空开始，建立缺陷威胁模型，通过威胁模型找到入侵点，扫描入侵点寻找已知漏洞。好处是我们可以分析已知的缺陷，避免软件中已知的缺陷，但是对于未知的攻击手段和方法却无能为力。

①建立缺陷威胁模型。缺陷威胁模型的建立主要从已知的安全漏洞入手，检查软件中是否存在已知的漏洞。构建威胁模型时，需要确定软件涉及哪些专业领域，然后根据每个专业领域遇到的攻击手段来构建模型。

②搜索扫描入侵点。检查威胁模型中的哪些缺陷可能出现在该软件中，然后将可能的威胁纳入入侵点矩阵进行管理。如果有成熟的漏洞扫描工具，直接使用漏洞扫描工具进行扫描，然后将发现的可疑问题带入入侵点矩阵进行管理。

③入侵矩阵验证测试。入侵矩阵创建后，可以针对入侵矩阵的具体项目设计相应的测试用例，然后进行测试和验证。

(3)前瞻性安全测试流程

为了避免逆向设计原理带来的测试不彻底性，需要一种正向测试方法对软件进行完全测试，使被测软件能够防范未知的攻击手段和方法。

①先在试验箱空上做标记。识别测试空之间的所有变量数据。由于安全测试的高成本，识别外部输入层很重要。例如，在需求分析、概要设计、详细设计和编码阶段，应识别测试空，并建立测试空之间的跟踪矩阵。

②准确定义设计空。重点考察需求中的设计空之间是否有明确的定义，以及需求中涉及的数据是否都标识了其合法的价值范围。这一步最需要注意的是精度这个词，设计空要根据安全原则精确定义。

③识别安全隐患。根据试验空和设计空之间以及它们之间的转换规则，识别出哪些试验空和哪些转换规则可能存在安全隐患。例如，测试空越复杂，即测试之间的划分空越复杂，或者数据组合越多变，就越不安全。还有，转换规则越复杂，出现问题的可能性越大，是安全隐患。

④建立并验证入侵矩阵。安全风险识别后，可以根据识别出的安全风险建立入侵矩阵。列出安全隐患，识别具有安全隐患的可变数据，识别安全隐患的等级。对于那些具有高安全风险的可变数据，必须进行详细的测试用例设计。

(4)正向测试和反向测试的区别

正向测试过程是基于测试空来发现缺陷和漏洞，而反向测试过程是基于已知缺陷空来发现软件中是否会出现相同的缺陷和漏洞，两者各有利弊。反向测试流程的一个主要优点是成本低，只要验证已知可能存在的缺陷即可，缺点是测试不完善，无法完全覆盖测试空，无法发现未知的攻击手段。正向测试流程的优点是测试充分，但是工作量比较大。因此，安全性要求低的软件可以按照逆向测试流程进行测试，安全性要求高的软件应以正向测试流程为主，逆向测试流程为辅。

三、常见的软件安全缺陷和漏洞

软件安全有很多方面，主要的安全问题是由软件本身的漏洞造成的。以下是一些常见的软件安全缺陷和漏洞。

(1)缓冲区溢出

缓冲区溢出已经成为软件安全的头号公敌，许多实际的安全问题都与它有关。缓冲区溢出通常有两个原因。①检查设计空之间的转换规则。也就是说，由于缺乏可测量数据的验证，非法数据不会在外部输入层检出并被丢弃。非法数据进入接口层和实现层后，超出了接口层和实现层对应的test 空或design 空之间的范围，造成溢出。②局部试验空与设计空之间存在不足。合法数据进入时，由于程序实现层对应的test 空或design 空之间的不足，导致程序在处理过程中溢出。

(2)加密弱点

这些加密弱点是不安全的:①使用不安全的加密算法。加密算法不够强大，有些加密算法甚至可以用穷举法破解。②加密数据时，密码是用伪随机算法生成的，但生成伪随机数的方法存在缺陷，使得密码容易被破解。③认证算法存在缺陷。④客户端和服务器的时钟不同步，给攻击者足够的时间破解密码或修改数据。⑤加密数据没有签名，攻击者可以篡改数据。因此，在测试加密时，我们必须测试这些可能的加密弱点。

(3)错误处理

通常，错误处理会向用户返回一些信息，返回的错误信息可能被恶意用户用来攻击。通过分析返回的错误信息，恶意用户可以知道下一步该做什么来使攻击成功。如果在错误处理中使用了一些不正确的函数，将会使用错误处理过程。错误处理属于异常空之间的处理问题，异常空之间的处理要尽量简单。这个问题可以用这个原理来设计避免。然而，错误处理经常涉及可用性问题。如果错误处理的提示信息太简单，用户可能会很困惑，不知道下一步该怎么做。因此，在考虑错误处理的安全性时，需要权衡其易用性。

(4)权力过大

如果授予过多的权限，可能会导致只有普通用户权限的恶意用户利用过多的权限进行危害安全的操作。例如，如果对可操作的内容没有限制，用户可以访问规定范围之外的其他资源。在进行安全测试时，需要测试应用程序是否使用了过多的权限，重点分析各种情况下应该有的权限，然后检查实际中是否超出了给定的权限。从本质上来说，权限过大的问题属于设计空之间权限过大的问题，需要在设计过程中对设计空进行控制，避免设计空之间权限过大而导致权限过大的问题。

四.关于安全检测的建议

很多软件安全测试的经验告诉我们，做好软件安全测试的必要条件是:第一，充分了解软件安全漏洞；第二，评估安全风险；第三，拥有高效的软件安全测试技术和工具。

(1)充分了解软件安全漏洞

评价一个软件系统的安全程度，需要从设计、实现和部署三个环节入手。让我们首先看看通用标准是如何评估软件系统安全性的。第一步是确定软件产品对应的保护配置文件(PP)。工艺程序为一类软件产品定义了一个安全特征模板。比如数据库的PP，防火墙的PP等。然后根据PP提出了具体的安全功能要求，如实现用户身份认证。最后，确定安全对象以及如何满足相应的安全功能要求。因此，一个安全软件的三个环节都不会出错。

(2)安全性试验的评价

安全测试后，软件能否达到预期的安全级别？这是安全测试人员最关心的问题，因此有必要在测试后建立一个安全评估机制。一般从以下两个方面来评价。①安全缺陷数据评估。

如果你在软件中发现更多的安全缺陷和漏洞，你可能会留下更多的缺陷。在进行这种评估时，需要建立基线数据作为参考，否则，如果没有评估的基础，就无法得出正确的结论。②脆弱性植入评价。漏洞植入法与可靠性测试中的故障插入测试相同，只是在软件中插入了一些具有安全隐患的问题。采用漏洞植入方法时，首先由不参与安全测试的特定人员在软件中植入一定数量的漏洞，最后在测试后，发现有多少植入的漏洞，从而评估软件的安全测试是否充分。

(3)采用安全检测技术和工具

可以使用具有特定功能的专业安全扫描软件来发现潜在的漏洞，已经发生的缺陷可以包含在缺陷库中，然后通过自动化测试方法使用自动化缺陷库进行轰炸测试。比如用一些可以模拟各种攻击的软件进行测试。

安全测试用于验证软件中集成的保护机制在实践中是否能够保护系统免受非法入侵。正如一句流行的谚语所说，软件系统的安全性当然必须能够抵御正面攻击，但也必须能够抵御侧面和背面攻击。

转载:http://www.spasvo.com/news/html/201732155527.html