培训背景
第一部分：功能测试实践
在培训方法上，通过课堂讲授（演示和案例培训相结合）、实际操作等形式，以功能测试体系建设为主线，讲述在测试过程中测试管理在测试需求、测试设计、测试执行、测试分析与报告整个端到端过程中如何应用与实施、测试工作量的估算、测试流程及实施、测试数据度量、测试工具及自动化手机应用测试，通过综合的梳理、讲解、分析，达到持续提升企业整体测试管理与功能测试能力的效果。
第二部分：功能测试之：性能及高可用测试实践
在培训方法上，通过课堂讲授（演示和案例培训相结合）、实际操作与同步练习，将性能测试的基本过程（性能测试工具与技术、业务性能模型设计、性能测试过程管理、性能瓶颈诊断分析）、jvm方法与调优、db2数据库监控及问题定位、hadoop性能监控等结合在一起，达到持续提升企业性能测试能力的效果。
第三部分：非功能测试之：性能及高可用测试实践
通过实际案例和实际工具的操作练习，使参训人员掌握渗透测试的技术、工具、原理及实施方法，并以安全测试为核心、掌握安全设计、安全编码、安全运营，形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全测试及疑难解答。
第四部分：非功能测试之：用户体验测试和兼容性测试。

培训特色
通过实际案例和实际工具的操作练习，使参训人员掌握渗透测试的技术、工具、原理及实施方法，并以安全测试为核心、掌握安全设计、安全编码、安全运营，形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全测试及疑难解答。

培训时长
3天（18课时）

培训大纲
第一部分：功能测试

知识单元	学习内容
测试过程中测试管理的应用	穿插实例讲解： 1.测试的总体约定（目标/人员/组织运作/环境/数据/工具）与测试流程（在项目/产品开发过程中如何落地）； 2.测试经理基本工作流程； 3.测试需求分析与管理 波次需求与测试方法（测试中通过测试波次整理需求——协同的波次设计开发——协同的波次测试的实践方法； 测试需求的整理方法：流程图、活动图 敏捷测试需求的处理（story card） Google的测试需求框架acc详解及实例 4.测试计划与测试方案的制定与跟踪方法： 5.用例管理：测试用例设计的主要方法与管理； 测试用例的编写规范、模板及实例； 测试用例的业务覆盖； 测试用例的三级评审过程； 测试用例库建设与复用； 敏捷中用例编写与技巧 6.测试执行管理：测试执行的关键步骤及技巧、回归测试的实施； 测试执行的经典五个步骤； 敏捷探索性测试技巧及方法； 测试执行的过程跟踪管理； 测试版本控制与灰度发布； 如何高效率做好回归测试； 易用性测试要点与执行； 兼容性测试要点及执行； 可靠性测试要点及执行； 5.  测试质量度量：测试质量标准与度量； 缺陷处理流程； 缺陷分级分类与修复周期； 缺陷的度量与分析（广度、深度、覆盖度），通过缺陷驱动开发测试； 主要bug的分析与挖掘； 重大故障分析与管理、重大故障处理流程； 敏捷缺陷管理； 6.  测试人员工作量估算与管理
测试工具	1、常见测试工具及使用技巧 2、实例演示主流测试过程管理平台

 
第二部分：性能测试：

课程模块	详细内容
性能测试 理论与测试需求分析	性能测试基本过程 1.  性能测试原理与方法 2.  性能测试执行与调优常见误区与分析； 3.  性能模型设计与管理（重点） 4.  性能测试需求与性能指标 5.  性能测试环境分析与管理 6.开发/测试各阶段的性能测试执行方法与工具综述 7.性能测试方案（单业务、混合业务、过载、压力等）及实例 互动及讨论：针对所在公司的软件系统，如何设计性能测试标准与方案？
性能测试工具与执行	性能测试工具loadrunner执行实战（可由公司选择是用loadrunner还是jmeter来讲） 课程内容： 1. 学员一起完成所学案例的性能脚步制作：loadruner为基础工具，以实际应用系统为例，同步操作学习协议选择、脚本的制作与调试、集合点、检查点、动态关联方法实例、IP数据池、脚本调试与优化、工具使用技巧等； 2. 学员一起完成所学案例的性能场景加载及设置：controller介绍与设置、SLA协议的使用场景、监控及设置、tps、响应时间、资源监控、数据库监控、IO监控、用户数设置项的设置原理技巧；单业务测试、峰值业务测试、过载业务测试、压力测试、稳定性测试的设计与控制； 3. 对所学案例进行不同测试场景及监控器执行：掌握通过测试工具同步操作实例完成性能测试整个过程；期间包括资源监控、linux资源监控（内存、CPU、IO的分析指标实例讲解）、Web容器监控等； 4.对所学案例性能测试执行后的结果进行分析，找到性能问题点：通过同步实例联系掌握如何生成测试报告，如何分析TPS图表、响应时间图表与页面细分图的请求定位（server time、sendtime、reveive time等的分析）；    掌握处理Loadrunner的结果分析图表：包括各种图表，合并或分拆图表，分析及确认图表要素等；掌握通过分析性能测试结果，确定问题定位； 5、JAVA应用疲劳测试和数据库性能测试为样例，结合性能分析知识，使用LOADRUNNER各类场景、参数的组合进行相关测试。 6.案例中性能问题测试出来进一步分析明确：会发现有前端页面问题、代码问题、数据库交互问题、设计问题、web平台与数据库配置问题。 互动及讨论：根据学员的练习执行进度与问题，沟通及指导，现场解决问题。
性能调优与问题分析	问题引入：如何针对性能问题进行系统调优？ 问题解答：性能调优 在昨日实例及学员练习发现问题的基础上，一起同步操作： 1.针对前端问题（加载项、加载元素、顺序、长连接等），学习web前端问题定位工具及定位系统的应用性能问题与前端代码优化方法及策略； 2.针对数据库的相关问题（语句编写问题、索引使用、表分析等），学习db2数据库的问题定位与分析，以及如何调优及策略； 3.针对代码中发现的问题（内存泄漏、代码执行效率低、代码写法等），学习JVM代码级分析及实践跟踪工具（jprofiler/jviualvm），明确代码瓶颈点及调优策略（包括O型标识法等）； 4、hadoop大数据系统的性能监控方法与工具； 互动及讨论： 学员的练习和测试分析情况，老师进行点评； 解决学员具体问题

 
第三部分：安全测试

知识单元	学习内容
网络安全与Web应用安全	1.什么是网络安全 2.网络安全的常见防御方法（IPS/IDS/防火墙） 3.软件应用安全现状及常见攻击方式 4.软件应用安全测试的方式及原理 5.安全测试的十大原则； 6.安全静态测试技术、安全动态测试技术 7.软件安全标准：安全规范、安全测试标准、安全编码标准、安全等级标准等 8.如何构建安全的防御体系
常见十大Web应用安全漏洞深度分析及渗透测试方法	1.搭建攻击防御实例站点（实操测试工具） 2.十大应用安全漏洞攻击原理深度分析及对应测试方法、工具 （该部分随讲师一起练习测试工具及部分攻击方法）： Sql注入、XML注入的原理、防御、测试与测试工具（SQL Inject Me/Pangolin）； 跨站脚本XSS的原理、防御、测试与测试工具(XSS Me /Xelenium)； 身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab)； 不安全的对象直接引用的原理、防御、测试与测试工具(Burp)； 跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester)； 安全配置错误的原理、防御、测试与测试工具(watobo)； 存储不安全的原理、防御、测试； URL访问控制不当的原理、防御、测试与测试工具(nikto)； 不安全的通信的原理、防御、测试与测试工具(Calomel)； 未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher)；
综合性安全渗透测试工具	1.深度了解APPSCAN：原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告 2.Buresuite/ZAP，两个开源综合性安全测试工具的使用方法、原理及测试结果分析； 3、静态代码安全审计方法及工具详解：Lapse/fortify 4、安全测试工具发现的问题的归类及修改顺序、修改优先级
渗透测试过程	1.测试计划 2.测试范围（漏洞范围、功能范围） 3.测试准备（人员、工具、环境、数据） 4.测试设计 5.测试执行 6.测试报告 7.测试后处理（bug/修复/评估/数据）
渗透测试用例	1、OWASP安全测试指南； 2、深度详细讲解符合企业实际应用的7大类91个安全测试用例的设计与执行方法；
安全设计 安全编码 安全运营	1.安全设计主要关注点，从源头解决安全问题 2.安全编码方法、安全函数 3.建立安全运营机制及体系

 
第四部分：用户体验测试与兼容性测试

用户体验测试	1.用户体验 2、用户体验关键指标 3、用户体验测试 4、用户体验测试的多种方式及实践
兼容性测试	兼容性测试的技巧 兼容性测试工具详解