1、基于webdriver的分层自动化框架及平台搭建，目前刚好在做这一块的工作，对于分层次和平台搭建，想问下大神有什么好的建议？

我们拿数据驱动框架来举个例子。下面是我做的一个简单的框架样式：

这样一个结构，分为base层（公共用例），element（元素层），properties（UI map层--properties文件），resource（资源层），task（存储suite的testng文件），testcase（case层），util（底层，方法层）。

用这样一个结构来更容易理解，更便于维护我们的框架。当然，这是一个基本demo哈，可以根据自己的实际情况扩展。总之，没有最好的，只有最适合的，哈哈。

至于平台，习惯上我们有两种思维，一种是平台是负责用来执行已经准备好的脚本或框架，二是平台集成了快速编写脚本、多负载执行等功能。这个也要看你的需求而定。

2、希望大神能自己的工作经历和经验，对初入测试行业的后辈有何建议？

我本人是由java开发、flex开发做起，后来逐渐接触了软件测试，才一路扎在软件测试这条大道上的。

其实说起来互联网中无论是开发、测试都好，所谓的成长经历、历练经历还是差不多的；对于我自己来说，我认为收获最多的是在两个方面：

一是我在刚进入测试时候，由于在一家小公司，这时候需要我不仅仅做测试，还有一些产品、需求甚至是部分开发方面的工作，当然不可避免的就是加班加班。。。但是我觉得这段时间是我对软件工程了解提升最迅速的；

二是自己的求知欲和上进欲。我带过一些新毕业的测试人，我自己也有当过老师，带过几百个学生；在我看来，所有现在职业生涯做的比较好的都是乐于学习、有拼劲的人；对于测试来说，现在已经不满足于你只了解功能测试了，随随便便一个jd就要求性能、自动化或者安全。对于我们这些测试人来说，也要让自己有多方面的能力。

我以前经常举一个例子，就是学测试就像是在一片荒地上挖井，我们要在不同的地方多尝试一些，当然，最重要的是，还要在一些地方挖的深入一些，这样我们才能在最全面的了解土壤的情况下，找到最适合挖掘的地点真正找到水源。放到测试行业里来说，就是要全面了解功能、性能、安全、自动化、手机等等测试技术，同时再重点发育自己感兴趣或者擅长的方面。

这时候就要求个人的积极性和坚持力了，不仅仅要有兴趣，还要坚持，每天抽出几小时来学习没有什么做不到的。

其实归总起来几句话：

• 测试的最终目标是“教”开发人员写代码。

教这个字说起来深奥，其实还好。比如做性能，你去教他们如何优化；做安全，你去教他们如何修改漏洞；做自动化，你去教他们如何写出优秀规范的代码。这就够了。但是这需要过程和积累。

• 学会一门语言。

• 找到一个方向，那就深入的挖掘属于你的水源吧。

• 在测试中发现乐趣，无论你是在性能、自动化、安全或者任何一个方向发展。

3、请问安全测试怎么做的？市面上现有的工具扫描一下？还是你们自己写的？我们现在基本就是用appscan netspark sqlmap扫描一下，修复了回归下就完事，但对安全专家来说，扫描通过的程序，他们分分钟搞出来个sql注入的漏洞。

这好像不是自动化测试主题的内容嘛~~~哈哈，开个玩笑哈。

解释一下安全测试，其实更详细的我在上一次51testing的专家上介绍过。目前来说，从我个人使用角度来看，单一使用现有工具是并不完善的，需要手工+扫描，因为对于部分漏洞，例如会话管理、验证机制方面的，大多数时候扫描工具无法get到更详细的漏洞。

具体如何去进行手工安全测试，可能说起来就比较复杂，也不是一时一刻能说清的，大致来说流程就是 解析分析web应用--确定安全策略--根据安全测试进行测试（验证机制、会话管理、xss、sql注入等等）--安全扫描查缺补漏--总结分析。

4、请分享下做自动化该如何去考虑分层框架，还有就是持续集成该如何去做？

分层框架可以参考下问题1我的回复~~~持续集成我目前是考虑使用一套jenkins+ant+testng+webdriver的结构来进行，当然，maven可以取代ant。或者在平台中更可以简洁的使用计划任务或者linux中使用crontab来解决~

5、我想问下对于web测试主要测试那些地方。不知道从哪些地方下手？

这个问题有点大。。web测试从不同角度有不同分类。通常来说，从技术角度上我们分功能、性能、安全、自动化。各个方面也有不同的侧重点，基本的功能测试建议你可以看看一些老书，比如《软件测试第二版》等等。

6、我们公司现有的项目是发电机展示墙，web版。就是4块显示器屏幕拼在一起，挂在墙上，展示发电机，可触屏，没有登录，没有输入的内容。基本就是客户打开后一直在墙上展示。我们现在是手动功能测试。如果我想深入，我还要测哪些方面：性能？安全？各用什么工具。

这样看你有什么需求了。比如说性能，是否有并发的操作？对于你的需求，是否是静态页面，是不是有请求发送，如果没有，也不太谈得到性能了。。性能测试最常用的工具就是lr、jmeter、apache ab等等

安全测试来说，其实还是前面谈过的，首先要分析我们是否有安全的需求，比如只对内部项目，只要服务器端口不对外开放，web安全上我们就不必考虑。。等等。。。比如是一个对外电商系统，我们就要全面的考虑其安全问题，分析应用程序，看每一个模块需要进行哪些方面漏洞的检测，比如跨站脚本，xss，甚至说包括csrf都属于跨站漏洞，我们想要分析我们的网站是否包含这些漏洞首先要了解其原理。XSS是怎么产生的？什么是反射型xss，什么是存储型xss，什么是基于dom的xss；在了解原理的基础上我们去学习如何进行测试？基本的测试手段，更详细的定位方式，包括针对不同类型xss漏洞所做的不同策略；最后就是如何防范。

其实推而广之，对所有类型的漏洞都是一样的。

7、Webdriver现在正在学，现在停留在识别元素，做简单登录。所以对整个的webdriver没有个整体宏观印象，大神是否能推荐本书，或是分享一下学习方法呢？

这么说，webdriver的基础你了解了，接下来就是框架方面的了。我们用webdriver是来更好的进行自动化，而自动化是我们现在敏捷、tdd所必不可少的。这是个大背景。接下来就是webdriver能做到什么地步。

一个好的自动化框架，优秀在于它清晰，可以一目了然的了解各个位置的意思；优秀在于它简洁，便于维护一些动态的数据；优秀在于它适用，适用在各个浏览器，适用于可以在不同负载机中一起执行；优秀在于它可以无监控下执行，只要后续我们看一看警告或者报告就ok了。

这也是我们尝试我们学习自动化的目的。。

8、看您介绍中写曾独立开发基于Webdriver的自动化测试平台 ，该平台可使无代码基础的测试人员进行自动化脚本的编写与执行。能深入谈下吗？

其实简单一点来说，后端仍然是一套关键字驱动的webdriver底层，主要还是以ant+testng+webdriver+grid为主，那么上边封装一层前端，将所有需要的关键字，比如动作（click、select、type等）、元素（xpath路径）等等所有需要的关键字封装到前端输入，存储到数据库里，后端调用时候通过数据库查出关键字来执行。同时，前端增加一些例如快速定位元素xpath的小控件就ok了等等等等，让没有自动化代码经验的人能够通过输入来达到自动化关键字输入的目的。

不知道有没有说明白哈！

9、女生，做测试7年。如果想换个工作，相关IT的你觉得可以选择哪些方面？

其实我觉得测试有很多方向，比如自动化、性能、安全，在任何一个角度上有所小成都还是可以有不错的发展的。如果真的决定离开测试岗位，我认为可能比较适合的是产品和需求：

由于我曾经做过BA以及PO，所以对这两个职位的感受也比较深；首先来说，这两个岗位需要良好的沟通能力，测试人员本身一直就是在于开发、项目经理沟通，一般沟通能力并不差，而女生的话又平添了一些亲和力；再有，它们需要你能够最透彻的挖掘用户心理、最深入的理解业务，这些也是我们测试所擅长的。哈哈，随便聊聊，仅供参考~~~

10、目前只了解一些自行化的理论和实践知识，昨天花时间2小时完成了一个小脚本，深深的意识到有一个清晰的框架编写脚本是多么的轻松。想问问脚本执行可以有什么方式监控吗？

脚本执行监控方式目前我是自己在代码中写的，当然我是整合了一个平台，在页面中展示每个步骤的情况；不过你说得执行慢的情况是普遍存在的，因为webdriver的测试是要等当前页面完全加载成功才进行下一步的，所以比手动要慢；换句话说，自动化测试本身就是静默执行的，比如下班后或者其他时间，你要是一直盯着看。。那就丧失自动化意义了吧，自动化目标总归是无人值守。

11、作为一个刚入门测试的菜鸟 如何才能打好基础，怎么过渡到自动化测试呢？

我觉得吧，自动化测试从某种角度上说是功能测试的一个升级，是把功能测试里最重复繁杂的劳动用代码的方式、用最节省时间的办法来代替。所以，首先你需要有很好的测试设计、用例设计能力；其次才是说学一门代码，写一些自动化脚本。不过可以从现在开始接触，二者是可以并行的。最最重要的是，要有自己的目标，看过太多做测试的小伙伴们，因为目标不明确而走进了死胡同。