一个面试题(有兴趣可以查看下)

2017-08-15  本文已影响126人  夏树的宝马

首先:这篇文章不是我写的,而是波波大佬分享的,我只做记录

技术篇:
知识面覆盖:
1、开发更新了一个存储过程,安排你进行测试,你打算如何开展工作?
--既然是更新,说明原来就有这个存储过程,先去比较原来的存储过程和更新后的存储过程,具体更新了什么内容,评估对原功能的影响。了解清楚以后,再设计用例进行测试验证。
2、数据库增加了读写分离,安排你进行测试,你打算如何开展工作?
--首先读写分离的原理,是区分主库和从库,一般从库负责处理查询的语句,主库负责增删改,并且在修改完数据后会同步数据到从库。先去了解系统采用的读写分离策略是怎样的,哪些表用到了读写分离,然后监控主库和从库,设计案例检查增删查改功能是不是正确调用了主库和从库,另外需要注意主库同步数据到从库的响应时间会不会太长。从库还能作为备用库,作用是当主库挂掉后,能立即切换到从库工作,防止数据丢失,设计用例也应该覆盖把主机停止服务后,能自动切换到从库使用,增删查改功能是否都正常。
(这里需要特别注意一下,当主从数据不一致时应该怎么处理,系统有没有对应的处理手段)

3、网关分发策略更新了,安排你进行测试,你打算如何开展工作?
--先去了解分发策略改成了什么模式的,一般的分发策略有轮询和权重两种方式,还有保持会话的设置,当设置了保持会话后,那么在session不过期的状态下,请求都会分发到同一个网关上,再分发到服务器。根据更新后的分发策略,设计用例进行验证,分发的结果是否符合预期。HTTP协议的话测试工具可以使用一般的接口调试工具fiddler、postman、soapUI等,发生请求后统计数据是否符合预期,还可以使用apache bench、loadrunner、JMeter等性能测试工具进行辅助测试,提高测试效率;
4、接口加密算法升级了,安排你进行测试,你打算如何开展工作?
--首先,加密绝对是为了安全性考虑,先去了解加密算法具体是怎样的,使用的算法,是否能达到安全性方面的要求,如果加密算法比较简单容易伪造,则向开发提出自己的看法和建议。然后根据加密的算法设计案例验证,需要关注当加密的数据被修改后,服务端要能正常拦截。
5、有外部接入了咱们的系统,接口联调交给你负责,你打算如何开展工作?
--了解需求,明确联调的接口是哪些,找开发拿到相关接口文档,如果有加密的数据,需要把加密算法也了解清楚,然后根据接口文档和对方进行数据联调。评估配合测试的周期,联调的过程,特别注意当传参的内容,超出接口文档定义范围后,服务能正常拦截,返回的报文里应当包含传参不合法的具体内容。另外涉及到公司安全性方面的内容要严格保密,不能对外开放。
6、接口使用的是多协议的,你说一下怎么做接口测试?
--先了解清楚具体用到哪些协议,现在接口调试工具也有很多选择了,postman、fiddler、soapUI、包括loadrunner和JMeter都能用来做接口调试。如果使用到的协议里,有现成的工具可以使用的话会使用现成的工具,如果没有,我在了解清楚以后也可以查一下用什么工具可以支撑到这个测试,如果查了资料没有工具可支撑,则会向开发建议,让开发帮忙写个demo支撑这个测试,测试过程中也会优先覆盖测试开发demo的传参字段到后台的时候是不是和接口文档对应上的,避免demo本身存在缺陷的现象。工具问题解决后,多协议的接口测试就和单http协议没区别了。

问题排查:
1、调试接口的时候,发现接口返回404/405/415/500的状态码,说一些这些状态码可能是什么原因导致的?
--常见的http状态,404是URL这个地址不存在,极少数情况看下是这个URL地址需要带特殊的参数才能访问否则返回404的状态;405是请求的method不对,如post和get写反了;415则是接口不支持的媒体类型,一般是content-type不正确导致;500属于服务器内部处理错误返回的,可能是服务端本身有问题,但很多时候都是由于自己在调试接口的时候,传参的body没有符合接口文档导致的处理出错,是需要重点关注的错误。
2、服务器使用了集群,发现在测试过程中,访问一些页面偶尔会返回404,你会怎么定位404是什么原因造成的?
--404,几乎都是资源找不到导致的,因为使用了集群,偶尔只是偶尔返回,说明大部分是能请求到资源的,定位可以直接去检查每台应用服务器,检查所有服务器所有的包是不是一样的。如果发现某个应用服务器的包不一样,则停止其它应用,只保留一台应用服务器,确定这个包有问题。

3、有顾客投诉,说公司的H5页面上,看到了一些外部的贷款的广告。但是我们技术部的同事,都排查了页面说没有投放过外部广告,而且公司内部人员使用过程中也没有看到过外部广告,你认为顾客看到广告是什么原因造成的?
--从现象看,可能是DNS劫持,也可能是http劫持,还有可能是公司页面接入了一些统计服务,请求统计服务器应答的时候嵌入了广告。一方便,让运营人员和客服向顾客解释,这些广告都不是我们公司投放的,请不要点击,这些广告可能是由于ta使用的网络服务劫持被注入了广告导致,我们公司的技术部门已经在处理了。然后尽快定位问题,使用公司外部网络访问,看能否重现,抓包检查页面的广告具体内容是什么,根据经验,DNS劫持和http劫持,都可以通过将协议升级为https的方式杜绝。

加分题:
1、公司是做电商的,顾客访问量越来越大,顾客访问页面的响应时间越来越长,目前定位到原因是由于顾客访问量大的时候,页面上的很多图片、JS、CSS等静态内容占用带宽大,主要瓶颈在服务器带宽上面,你有什么优化的建议?
--因为这些都属于静态资源,可以考虑缓存和压缩机制,当客户端已缓存的内容,在向服务器发送请求的时候,服务器能判断客户端的资源没有更新,可以继续读取本地的内容(返回304),当本地的资源与服务器不一致时,才从服务器中拉取新资源覆盖本地,常见的处理方式是增加时间戳判断资源是否过期;另外访问量确实大的话,还可以考虑使用CDN服务,但是需要花费金钱增加运营开销,看实际情况是否需要使用。
2、你在测试过程中,发现公司的登录接口,传输的是密码明文,你会怎么建议公司提高安全性方面的内容;
--我会根据不同的系统不同的建议。如果是OA这种公司内部人员使用的东西,我觉得直接使用MD5对密码进行一次加密就足够了。如果是给顾客外部人员使用的,我会建议使用再增加一些混合加密算法,如MD5(timestamp+参数+密钥),如果是涉及金融系统,那么对数据安全性要求会更高,除了混合加密,还需要对传参的数据进行严格保护,我会建议将传参的整个body进行加密,如先进行urlencode编码,再进行base64,然后再使用AES、MD5混合加密方式完成,另外还建议使用更安全的https协议。在设置账号密码、支付位密码的接口,也需要增加密码复杂程度增加安全,如登录密码要求至少含有英文+数字,长度必须设置8位以上,涉及到资金的支付密码还必须包含英文大小写和数字,否则不允许设置。另外防止公司数据库泄密造成用户密码泄露,保存的数据库的密码也应该通过加密后存入到数据库,生产环境数据库只允许指定人访问密码表,测试环境的数据库密码全部脱敏处理,降低泄密的风险。
3、现在测试部有20人,目前全部都是功能测试,身为测试主管的你,发现测试部有80%的资源是用在回归测试上,只有20%的工时用在测试新功能上面,你打算怎么优化测试部的工作。
--其实这个是大多数项目的现状,80%的资源在回归功能测试上,只有20%资源测试新功能。首先是人员的合理安排,保证现有任务能满足的前提下,评估能否引入自动化测试,毕竟20人的测试团队已经不是小部门了,然后再根据项目特点,决定引入的自动化测试工具和确定框架。在引入方面,我会优先考虑从团队里抽有自动化测试经验的人来搭建环境,没有则招聘专业的自动化测试人员来担任负责人,环境能跑起来以后,再通过点带面的方式,将工具在测试组里培训开展,提升测试部的技能和办公效率。如果招聘不到的话,我认为身为测试主管,有必要优化测试人员的合理分配,并且自身也有必要去了解一下新技术,给测试部成员一个学习分享晋升的平台,能让测试部更好地为公司提供质量保障。

文章原创地址

image.png

![NLVV8QM3]3NZ)U8EB9S3@C1.jpg](https://img.haomeiwen.com/i2228269/62e31c4e7a7d6814.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

![WD6FM4R_8GPQ(HCAX7RS)W.jpg

![0B8E3R$81A{%(D%I@%D0~Q.jpg

上一篇下一篇

猜你喜欢

热点阅读