針對(duì)金融類APP,相應(yīng)的QA策略應(yīng)圍繞業(yè)務(wù)阔涉、功能點(diǎn)缆娃、安全性測試、性能測試瑰排、易用性測試贯要、兼容性測試等。
1. 業(yè)務(wù)測試
1.1行業(yè)的動(dòng)態(tài)理解凶伙,金融相關(guān)的新聞郭毕、政策要持續(xù)關(guān)注
1.2競品的分析它碎,研究競品的邏輯交互函荣、業(yè)務(wù)流程,和我們的產(chǎn)品是否有差異扳肛,差異在哪傻挂,為什么會(huì)有這種差異,哪種更合理更好
1.3對(duì)測試人員而言挖息,需求的最終輸入是PM金拒,我們?cè)谧鲂枨罄斫鈺r(shí),除了理解prd,交互稿等等需求設(shè)計(jì)文檔以外绪抛,更重要的一點(diǎn)是理解需求對(duì)應(yīng)的業(yè)務(wù)背景资铡。
在缺陷類型中有一類錯(cuò)誤叫做需求錯(cuò)誤,就是指產(chǎn)品存在邏輯上的漏洞幢码、業(yè)務(wù)上的漏洞笤休,測試人員要發(fā)現(xiàn)這種錯(cuò)誤,前提就是需要對(duì)需求的業(yè)務(wù)背景進(jìn)行了解症副,為什么這個(gè)需求會(huì)存在店雅?解決了什么問題?
比如一個(gè)新需求要求對(duì)A頁面的某金額進(jìn)行修改贞铣,如果你不理解產(chǎn)品的業(yè)務(wù)闹啦,會(huì)認(rèn)為頁面A修改完即可。但是如果你帶著業(yè)務(wù)去思考辕坝,會(huì)發(fā)現(xiàn)頁面B也存在同類業(yè)務(wù)或者依賴業(yè)務(wù)窍奋,從而可以提出業(yè)務(wù)相關(guān)的問題,避免問題產(chǎn)生
2. 功能測試
交互邏輯檢查
a. 業(yè)務(wù)流轉(zhuǎn)是否正確酱畅,接口調(diào)用邏輯是否正確费变。
b. 數(shù)據(jù)管理權(quán)限,如系統(tǒng)管理員是否可以修改用戶提交內(nèi)容
c. 用戶權(quán)限有嚴(yán)格限制
d. 用戶提交資料后圣贸,涉及審批制挚歧。審批流程機(jī)制是否健全,如節(jié)點(diǎn)回滾等吁峻。
頁面之間的數(shù)據(jù)讀取
a. 頁面取數(shù)據(jù)庫的值
b. 值的展示處理邏輯滑负,如小數(shù)轉(zhuǎn)換、單位換算用含、null值矮慕、金額溢出規(guī)避等
b. 值的計(jì)算,應(yīng)考慮多位小數(shù)啄骇、邊界值(1痴鳄、0、-1等)的情況缸夹。
c. 密碼痪寻、手機(jī)、身份證號(hào)虽惭、電話橡类、郵箱格式限制。
d.百分占比計(jì)算芽唇,如1/3情況顾画,占比之和是否為100%
e. 數(shù)據(jù)緩存機(jī)制
g.?dāng)?shù)據(jù)job執(zhí)行邏輯
一般性檢查
a. 新增、修改、刪除是否有提示研侣,提示風(fēng)格是否與產(chǎn)品提示風(fēng)格一致
b.菜單層級(jí)
c. 導(dǎo)航指示清楚
d. 加載動(dòng)畫是否合理谱邪,當(dāng)響應(yīng)時(shí)間較快時(shí)是否取消動(dòng)畫加載
3. 安全性測試
敏感數(shù)據(jù)本地可破解
檢查是否在本地保存用戶密碼,無論加密與否
檢查敏感的隱私信息庶诡,如聊天記錄虾标、關(guān)系鏈、銀行賬號(hào)等是否進(jìn)行加密
檢查是否將系統(tǒng)文件灌砖、配置文件明文保存在外部設(shè)備上
部分需要存儲(chǔ)到外部設(shè)備的信息璧函,需要每次使用前都判斷信息是否被篡改
文件權(quán)限
檢查App所在的目錄,其權(quán)限必須為不允許其他組成員讀寫
網(wǎng)絡(luò)傳輸
檢查敏感信息在網(wǎng)絡(luò)傳輸中是否做了加密處理基显,重要數(shù)據(jù)要采用TLS或者SSL蘸吓。http請(qǐng)求默認(rèn)是明文的,如果安全驗(yàn)證和加密機(jī)制存在漏洞撩幽,通過網(wǎng)絡(luò)嗅探掃描库继,很容易被猜到和模擬請(qǐng)求,也可能被注入窜醉。
Android組件權(quán)限保護(hù)
禁止App內(nèi)部組件被任意第三方程序調(diào)用宪萄。若需要供外部調(diào)用的組件,應(yīng)檢查對(duì)調(diào)用者是否做了簽名限制
升級(jí)
1.檢查是否對(duì)升級(jí)包的完整性榨惰、合法性進(jìn)行了校驗(yàn)拜英,避免升級(jí)包被劫持。
2.升級(jí)后的數(shù)據(jù)檢查琅催,避免出現(xiàn)升級(jí)后密碼失效等居凶。
應(yīng)用自身安全性
對(duì)某個(gè)應(yīng)用進(jìn)行逆向,看反編譯后的代碼有沒有敏感信息暴露藤抡。反編譯后對(duì)代碼修改侠碧,插入劫持代碼后重新打包,如果存在這種漏洞缠黍,對(duì)用戶和開發(fā)者都構(gòu)成極大的威脅弄兜。
請(qǐng)求傳輸
如H5頁面數(shù)據(jù)分享,是否將用戶session也分享出去了瓷式。
4. 其它通用類測試點(diǎn):
如性能測試替饿、易用性測試、兼容性測試蒿往、安全性測試盛垦、穩(wěn)定性測試湿弦。針對(duì)APP瓤漏,還需獨(dú)有特點(diǎn)進(jìn)行專項(xiàng)APP測試,如:流量測試、電量測試蔬充、弱網(wǎng)絡(luò)測試蝶俱、環(huán)境干擾測試等。
6發(fā)版及項(xiàng)目回顧
建立嚴(yán)謹(jǐn)合理的上線發(fā)版流程饥漫,確保產(chǎn)品順利上線榨呆;及時(shí)收集用戶使用反饋,供產(chǎn)品改進(jìn)庸队;同時(shí)积蜻,QA需將各個(gè)階段的執(zhí)行數(shù)據(jù)進(jìn)行有效分析,發(fā)現(xiàn)問題彻消,提出改進(jìn)措施竿拆,并跟進(jìn)改進(jìn)結(jié)果。
