你有多久没听过测试策略这个词了？它就像个走失的小孩，慢慢迷失在快速迭代的敏捷潮流中。曾何几时，测试策略是测试活动的重要一环，它指导着整个测试活动的开展，是高阶测试人员必备的技能。今天，我们来聊聊这个被逐渐忽略的测试技能。　　1. 什么是测试策略　　维基百科上有一大段关于测试策略的定义，这里就不贴出来了，简单来说，测试策略主要关注两个问题：　　测什么：测什么是指质量需求是什么、需要关注质量的哪些方面，比如应用的功能范围、性能、安全、易用性等非功能需求。　　怎么测：怎么测就是采用什么办法来帮助系统实现质量需求，而不仅仅是手动和自动化的测试方法，也包括一切为质量保障服务的流程、环境、基础设施和人...

API安全概述       Application Programma Interface (API)由一组定义和协议组合而成，可用于构建和企业集成应用软件。随着数字化转型的深入，API产品的价值日益增高，特别是与微服务、DevOps等技术的融合，使得API成为企业战略发展加速的利器，但随之而来的安全问题也不容忽视。常见的API安全漏洞有以下五种：首先是API应该与应用系统一样在设计之初就考虑安全的因素，比如防篡改（签名）、防重放（时间戳）、防止敏感信息泄露（传输加密与数据最小化）等。API规范性带来的一个问题就是API很容易被发现，比如在URL中出现的...

大家都知道测试分类里面，有一类叫“安全测试”，而随着互联网、物联网、工业4.0的发展，Web安全的重要性越来越高。很多互联网企业在高薪招聘“安全测试工程师”、“渗透测试工程师”、“安全专家”，大家在网上查一下，就可以知道这个职位现在真是炙手可热。本文我们主要针对tomcat服务的Web应用系统，提供测试一般安全性的方法和用例，会以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外，也借鉴了一些业界最佳安全实践，涵盖Web安全开发规范的内容。Web应用系统介绍首先我们用下图，来说明一种典型的基于通用服务器的Web应用系统：安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性及严重程度。...

　　对于测试开发这个岗位，大家是怎么理解的？　　有的人说是测试中的开发，做测试工具的，懂点开发，但是又不是很行，只好做测试开发。　　个人观点：不管是测试还是开发，更高的维度其实是产品，是用户感知，是挖掘用户真正想要的；测试开发做的好的人，一定是一名合格的开发人员，开发做的好的人，却不一定能胜任测试开发的工作。　　这也决定了：　　目前业界，合格的测试开发人员，薪资应该是高于纯开发人员的。因为测试开发的核心能力是纯开发人员的超集。　　其次，有测试开发这个职位的公司多半是大厂，大厂重视技术，更重视业务本身，而测试本质上是离业务更近，更有产品思维，用户思维的人（当然，也有很多测试达不到这个level）...

一、性能测试想做什么首先，性能测试想做的事情，类似下图：这是一个简化过的关于web应用的服务端的性能测试示意图，性能测试想要模拟真实业务场景。当一个应用上线，有很多用户通过客户端访问服务端。他们把请求通过用户界面发送给了服务端，于是在服务端接收到了大量的请求，如果用户数很多，那么服务端有可能承受不了这种压力，进而崩溃，严重的可能导致大量经济损失。性能测试则是希望通过提前模拟这种压力，来发现系统中可能的瓶颈，提前修复这些bug，减少服务器宕机的风险。此外，性能测试还可以用来评估待测软件在不同负载下的运作状况，帮助管理层做一些决策。比如早期有的管理者会希望通过性能测试来评估需要买几台服务器。但，这...