4、功能测试

  链接：所有链接是否按指示的那样确实链接到了该链接的页面，所链接的页面是否存在。应保证Web应用系统上没有孤立的页面（即没有链接指向该页面，只有知道正确的URL地址才能访问）。链接测试必须在集成测试阶段完成，也就是说，在整个Web应用系统的所有页面开发完成之后进行链接测试

  表单：必须测试表单提交操作的完整性与正确性。例如：用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等。如果使用了默认值，要检验默认值的正确性。表单是否只能接受指定的某些值？例如只能接受某些字符，测试时可以跳过这些字符，看系统是否会报错。服务器能否正确保存通过表单提交的数据，后台系统能否正确解释和使用这些信息。

  Cookie：如果Web应用系统使用了Cookie,必须检查Cookie是否能正常工作，包括Cookie是否起作用，是否按预定的时间进行保存，刷新对Cookie有什么影响等。如果在Cookie中保存了注册信息，应确认该Cookie能够正常工作而且已对这些信息已经加密。如果使用Cookie来统计次数，需要验证次数累计是否正确。

  接口：应测试浏览器与服务器的接口，即提交事务，然后查看服务器记录，并验证在浏览器上看到的正好是服务器上发生的。还可以查询数据库，确认事务数据已正确保存。有些Web系统有外部接口。应要确认软件能够处理外部服务器返回的所有可能的消息。最容易被忽略的地方是接口错误处理。尝试在处理过程中中断事务，中断用户到服务器的网络连接，在这些情况下，系统能否正确处理这些错误。如果用户自己中断了事务处理，是否在用户没有返回网站确认的时候已保存了订单。

  应用系统的特定功能：应对应用系统特定的功能需求进行验证。尝试用户可能进行的所有操作，例如下订单、更改订单、取消订单、在线支付等等。

  5、性能测试

  负载：负载测试是为了测量Web应用系统在某一负载级别上的性能，以保证Web应用系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web应用系统的用户数量，也可以是在线数据处理的数量。例如：网站能允许多少个用户同时在线，如果超过了这个数量，会出现什么现象。Web应用系统能否处理大量用户对同一个页面的访问，如能否在瞬间访问高峰时响应上百万的请求在用户传送大量数据的时候能否响应，系统能否长时间运行。

  压力测试：进行压力测试是指在实际破坏一个Web应用系统的情况下，测试系统的反映，即系统的控制和故障恢复能力。Weh应用系统是否会崩溃，在什么情况下会崩溃。黑客常常提供错误的数据负载或发送大量数据包来攻击服务器，直到Web应用系统崩溃。

  可靠性：网站是否发生服务器内存泄漏、数据库交易日志容量不足等问题。

  6、安全性测试

  身份认证：用户名和密码是否采用特定规则，如大小写敏感，限制最大字符数，限制字母和数字字符组合方式。如果用ActiveX或Coohe保存个人信息，是否加密是否支持频繁地密码修改。是否限制登录失败次数。是否能够通过书签、历史登录信息或捕获的URL绕开登录程序。是否限制某些IP登录。用户登录后在一定时间内（如巧分钟）没有点击任何页面，是否需要重新登录才能正常使用。

  内容攻击：基于内容的攻击其载体是内容，攻击的对象是应用程序，目标是取得对应用主机的控制权，攻击主机。如填写表单数据时，采用恶意格式，导致Web组件执行错误，引发应用程序出错。是否防范了输人／输出攻击、数据攻击和计算攻击。对于目录和文件是否施加了访问控制：是否过滤恶意代码和命令，限制使用应用协议的命令集，检查基于关键词的信息内容。为组件的每个输人提供源自转义序列或元字符集合的输人字符，是否导致意外结果。是否能够绕开有效性验证，从站点外部提交表单。是否发生缓冲区溢出。

  SSL（安全套接字）：使用SSL时，要测试加密是否正确，检查信息的完整性。是否有连接时间限制，超过限制时间后出现什么情况。

  脚本语言：服务器端的脚本常常构成安全漏洞，有些脚本允许访问根目录，有些允许访问邮件服务器，这些漏洞常常被黑客利用。在没有经过授权的情况下，是否能在服务器端放置和编辑脚本。是否针对脚本语言的缺陷进行了处理。

  二、网站培训

  网站培训包括网站后台管理培训及网站运营培训。网站后台管理培训是将网站的每个功能及功能的具体运用进行讲解，包括资料的录入技巧、资料录入后的优化设置等。网站的运营培训主要是给客户讲解网站上线后如何被搜索引擎快速收录，如何获得好的排名，如何进行网站的维护等方面。