¿Resolver el problema del código de verificación en las pruebas de rendimiento WEB?

Cada vez más sitios web utilizan tecnología de verificación de códigos de verificación por motivos de seguridad o para prevenir el spam. En pocas palabras, el código de verificación significa que al iniciar sesión o enviar contenido, aparecerá aleatoriamente en la página una cadena de verificación que es identificable manualmente pero no identificable por máquina (generalmente una imagen generada con fondo, distorsión, etc.). código al iniciar sesión o enviar contenido.

El código de verificación puede prevenir eficazmente el espionaje de contraseñas y una gran cantidad de contenido spam causado por el llamado software de promoción en línea. Ha sido aceptado como método de implementación estándar por muchas aplicaciones de Internet o Intranet. Pero para las pruebas de rendimiento, este código de verificación trae grandes problemas.

El problema más destacado es que la herramienta de prueba de rendimiento en sí es una herramienta automatizada. Dado que este código de verificación utiliza el método de "prevenir intentos de herramientas automatizadas", después de registrar el script, encontrará que es difícil. Adaptar el script para adaptarlo a las necesidades del código de verificación. Este problema se ha mencionado más de una vez y se ha preguntado si existe una solución mejor.

Mi opinión personal sobre este problema es que existen básicamente tres formas de resolverlo:

1. El primer método también es el más fácil de imaginar. Bloquear temporalmente la función de verificación. en el sistema bajo prueba, es decir, modificar temporalmente la aplicación, y no importa qué código de verificación ingrese el usuario, se considerará correcto. Este método es el más fácil de implementar y no tendrá mucho impacto en los resultados de la prueba (por supuesto, este método elimina el enlace "verificación del código de verificación", pero es difícil que este enlace se convierta en un cuello de botella en el rendimiento del sistema). Pero este método tiene un problema fatal: si el sistema bajo prueba es un sistema que realmente está en línea, bloquear la función de verificación causará un riesgo de seguridad muy grande para el negocio que ya está en línea. , no es apropiado utilizar este método;

2. El segundo método se mejora ligeramente sobre la base del primer método. El primer método trae grandes problemas de seguridad, por lo que podemos considerar no cancelar la verificación, sino dejar una puerta trasera en ella. Configuramos el llamado "código de verificación universal", siempre que el usuario ingrese este "código de verificación universal". Verificaremos que pase; de ​​lo contrario, aún lo verificaremos de acuerdo con el método de verificación original. Este método todavía tiene problemas de seguridad, pero dado que podemos controlar el "código de verificación universal" en un rango pequeño a través de medios de administración y solo conservar esta pequeña puerta trasera durante la prueba de rendimiento, es mejor que el primer método. grandes mejoras en la seguridad;

3. Si la seguridad es realmente crucial para la aplicación y no se permiten errores, entonces aún podemos utilizar otra forma de solucionar este problema. Las herramientas de prueba de rendimiento generales (LR de MI, Silkperformer de Seague, etc.) pueden llamar a DLL externas o interfaces de componentes. Por lo tanto, Changping Computer Training recomienda considerar la implementación de la parte "Verificación del código de verificación" y escribir un código de verificación para obtenerla. , simplemente llámalo en el script de prueba.