通過壓力測(cè)試改善Web應(yīng)用程序的性能

杭佳祺+王川+羅西

摘要：近年來互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展帶動(dòng)Web應(yīng)用的不斷普及，與此同時(shí)Web應(yīng)用也成為黑客攻擊的重要對(duì)象。為保證良好的網(wǎng)絡(luò)環(huán)境，需要對(duì)Web應(yīng)用程序的性能不斷改善。當(dāng)前通過壓力測(cè)試可以很好地完成相關(guān)的性能改良工作。基于此，本文將重點(diǎn)闡述通過壓力測(cè)試改善Web應(yīng)用程序性能的相關(guān)策略。

關(guān)鍵詞：軟件測(cè)試；Web應(yīng)用；互聯(lián)網(wǎng)技術(shù)；壓力測(cè)試

中圖分類號(hào)：TP274 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）09-0213-02

Web應(yīng)用如今已經(jīng)變得十分廣泛，對(duì)其進(jìn)行開發(fā)時(shí)，由于受到一定因素的影響，表現(xiàn)出一定的隨意性，導(dǎo)致對(duì)系統(tǒng)測(cè)試的過程中出現(xiàn)一定的問題。當(dāng)前Web環(huán)境變得日益嚴(yán)峻，黑客的存在隨時(shí)可能會(huì)對(duì)網(wǎng)絡(luò)環(huán)境造成嚴(yán)重威脅，同時(shí)還會(huì)損害用戶的隱私和經(jīng)濟(jì)利益，因此加強(qiáng)安全測(cè)試，提高Web程序性能已經(jīng)是一個(gè)迫在眉睫的工程。壓力測(cè)試是一種較為常用的測(cè)試手段，能夠獲得較好的測(cè)試效果，從而對(duì)程序性能不斷優(yōu)化。

1 Web安全性測(cè)試

1.1 概念

安全性測(cè)試指的是對(duì)應(yīng)用程序進(jìn)行安全驗(yàn)證并通過測(cè)試發(fā)現(xiàn)其中存在缺陷的過程。安全測(cè)試的過程不是證明應(yīng)用程序本身的安全性，因此這種測(cè)試不僅僅是本身程序的檢測(cè)，更是一種抗攻擊的檢測(cè)[1]。完善的安全性測(cè)試應(yīng)該通過表格數(shù)據(jù)證明，在系統(tǒng)面臨攻擊和惡意入侵時(shí)，依然可以滿足用戶需求。

1.2 Web安全測(cè)試

具體的Web安全測(cè)試指的是借助各種工具的作用，對(duì)Web應(yīng)用活動(dòng)進(jìn)行激發(fā)和模擬的過程。Web安全性測(cè)試包含很多方面，主要可以從部署結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、配置管理、敏感數(shù)據(jù)保護(hù)、會(huì)話管理、參數(shù)操作、異常管理、審核和日志記錄等幾個(gè)方面入手。

2 Web應(yīng)用中存在的主要安全隱患

當(dāng)前，由于技術(shù)的限制以及測(cè)試技術(shù)和測(cè)試工具的制約，Web應(yīng)用中存在的安全隱患較多。具體的安全隱患主要有：SQL注入攻擊、跨站式腳本攻擊（XSS）、無效認(rèn)證和會(huì)話管理、安全配置錯(cuò)誤以及傳輸層數(shù)據(jù)保護(hù)等。

2.1 SQL注入攻擊

具體指的是通過構(gòu)建特殊的輸入作為參數(shù)對(duì)Web應(yīng)用程序進(jìn)行干擾。并且輸入的SQL是一種語句組合的形式[2]。通過對(duì)SQL語句的執(zhí)行完成對(duì)攻擊操作的執(zhí)行。造成這種問題的主要原因是整個(gè)程序?qū)τ脩糨斎氲臄?shù)據(jù)沒有進(jìn)行細(xì)致的過濾，導(dǎo)致非法數(shù)據(jù)對(duì)系統(tǒng)造成入侵。

2.2 跨站式腳本攻擊

這是一種經(jīng)常在Web應(yīng)用中出現(xiàn)的計(jì)算機(jī)安全漏洞。這種攻擊可以允許惡意Web用戶將代碼植入到其他用戶的使用界面中。XSS攻擊可以分成兩類，一種是內(nèi)部攻擊，主要體現(xiàn)的是程序自身的漏洞；另一種是外部攻擊，主要指的是通過制造XSS跨站漏洞網(wǎng)頁影響正常的網(wǎng)頁[3]。

2.3 無效認(rèn)證和會(huì)話管理

在訪問者對(duì)Web應(yīng)用的使用過程中，應(yīng)用程序的認(rèn)證和會(huì)話管理在執(zhí)行過程中常常會(huì)出現(xiàn)一定的問題。導(dǎo)致攻擊者可以通過對(duì)數(shù)據(jù)包的抓取、重放攻擊等手段。獲取用戶密碼、會(huì)話授權(quán)，進(jìn)而竊取用戶的賬戶。

2.4 安全配置錯(cuò)誤

完善的保障體系應(yīng)該對(duì)應(yīng)用程序、系統(tǒng)框架、應(yīng)用程序服務(wù)、頁面服務(wù)、數(shù)據(jù)庫服務(wù)以及應(yīng)用平臺(tái)進(jìn)行精密的部署和相關(guān)設(shè)置。以上幾種內(nèi)容的設(shè)定都應(yīng)該具備精準(zhǔn)的定義、執(zhí)行和保存。但在實(shí)際應(yīng)用中，大量的用戶會(huì)選擇保障系統(tǒng)的默認(rèn)設(shè)置，導(dǎo)致許多項(xiàng)目的配置情況有誤，進(jìn)而出現(xiàn)一定安全配置問題。

2.5 傳輸層數(shù)據(jù)完整性保護(hù)

Web應(yīng)用程序由于本身的特點(diǎn)常常對(duì)網(wǎng)絡(luò)通信內(nèi)部?jī)?nèi)容完整性的驗(yàn)證、加密以及保護(hù)等性能難以實(shí)現(xiàn)。當(dāng)情況出現(xiàn)時(shí)，應(yīng)用程序會(huì)自動(dòng)選擇加密性較差的算法執(zhí)行，并使用過期的或者無效的驗(yàn)證信息。有時(shí)甚至不能使用程序本身的安全保障功能。

3 壓力測(cè)試的準(zhǔn)備階段

3.1 壓力測(cè)試

壓力測(cè)試中會(huì)涉及到一個(gè)關(guān)鍵詞，就是吞吐量。吞吐量指的是在某一固定的時(shí)間段內(nèi)，能夠處理的用戶請(qǐng)求數(shù)量。而壓力測(cè)試指的是在負(fù)載條件下，對(duì)應(yīng)用程序進(jìn)行測(cè)試從而確定程序的最大吞吐量。因此這種測(cè)試模式也被負(fù)載測(cè)試[4]。壓力測(cè)試的主要目的在于對(duì)Web應(yīng)用程序在負(fù)載情況下出現(xiàn)性能問題的識(shí)別和隔離，從而降低或者消除性能問題的影響，使Web應(yīng)用程序達(dá)到或者超過期望的流量參數(shù)。通過測(cè)試發(fā)現(xiàn)性能問題，以后就可以采取針對(duì)性措施進(jìn)行處理，從而對(duì)程序進(jìn)行優(yōu)化和改善，降低用戶請(qǐng)求的響應(yīng)時(shí)間，提高用戶體驗(yàn)程度。

3.2 通過系統(tǒng)配置創(chuàng)建可控制的測(cè)試環(huán)境

對(duì)Web應(yīng)用程序進(jìn)行壓力測(cè)試，需要完成用戶模擬，這種模擬是通過對(duì)軟硬件的模擬來完成的。模擬程度越接近真實(shí)使用環(huán)境，測(cè)試結(jié)果越有意義。為保證有足夠的瀏覽器和用戶請(qǐng)求，需要使用特定的計(jì)算機(jī)終端和服務(wù)器。同時(shí)對(duì)機(jī)器的硬件要求應(yīng)該按照實(shí)際用戶的使用情況進(jìn)行決定。在搭建可控制的測(cè)試環(huán)境時(shí)，具體的配置如下：

3.2.1 軟硬件的配置

為保證相似度，試驗(yàn)系統(tǒng)應(yīng)該盡可能鏡像生產(chǎn)系統(tǒng)。CPU、RAM以及網(wǎng)絡(luò)帶寬的硬件配置是壓力測(cè)試中的重要方面。應(yīng)該在配置過程中應(yīng)該通過跟實(shí)際情況的對(duì)比，將站點(diǎn)配置設(shè)計(jì)在程序外或者程序內(nèi)執(zhí)行。另外Web程序的執(zhí)行環(huán)境也是壓力測(cè)試的重要影響因素[5]。

3.2.2 IIS配置

配置IIS來鏡像生產(chǎn)服務(wù)器，因特網(wǎng)服務(wù)管理器的屬性頁面能夠?yàn)镮IS提供各種可用的調(diào)整選項(xiàng)。重點(diǎn)的調(diào)整選項(xiàng)包括啟動(dòng)記錄的確定與否，同時(shí)還能在性能的選項(xiàng)中，確定預(yù)期的日點(diǎn)擊數(shù)量。

3.2.3 安全配置

應(yīng)用程序的安全方案會(huì)對(duì)壓力測(cè)試造成嚴(yán)重的性能影響。遇到加密技術(shù)時(shí)，這種影響就會(huì)被擴(kuò)大化，因此需要引起對(duì)安全配置的重視。

3.2.4 用戶負(fù)載配置

配置時(shí)，應(yīng)該首先確定訪問程序的最大用戶數(shù)，之后對(duì)該數(shù)量進(jìn)行加倍處理。成功的配置應(yīng)該大于最大用戶數(shù)量。同時(shí)在測(cè)試時(shí)，應(yīng)該對(duì)測(cè)試時(shí)間段進(jìn)行明確，選擇負(fù)載高峰期時(shí)完成測(cè)試工作，保證用戶請(qǐng)求數(shù)量，提高測(cè)試的準(zhǔn)確性。endprint

3.2.5 壓力工具的選擇

在實(shí)際使用中，同一時(shí)間段，會(huì)有大量的用戶對(duì)Web應(yīng)用程序發(fā)出請(qǐng)求，因此需要選擇合適的壓力工具完成檢測(cè)，以提高精準(zhǔn)度。

4 壓力測(cè)試的目標(biāo)參數(shù)

在進(jìn)行壓力測(cè)試結(jié)果分析之前，應(yīng)該確定一定的目標(biāo)參數(shù)，從而正確對(duì)Web性能進(jìn)行評(píng)估。從而通過一定的改進(jìn)處理工作使應(yīng)用程序滿足高標(biāo)準(zhǔn)的性能要求，這些關(guān)鍵目標(biāo)參數(shù)主要體現(xiàn)在以下幾個(gè)方面：

4.1 服務(wù)器的錯(cuò)誤率

服務(wù)器的錯(cuò)誤是用戶在訪問中會(huì)碰到的一種問題，在壓力測(cè)試階段同樣也會(huì)出現(xiàn)同樣的問題，因此對(duì)其進(jìn)行記錄，并分析原因，對(duì)于改善應(yīng)用程序的性能具有重要意義。

4.2 CPU的承受率

這是壓力測(cè)試的重要方面，也會(huì)直接影響到后面Web網(wǎng)站的最大負(fù)荷。在不同的Web程序中也會(huì)有不同的尺度度量，因此在進(jìn)行測(cè)試時(shí)，可以通過對(duì)Web層進(jìn)行施壓，從而完成相關(guān)測(cè)試。

4.3 內(nèi)存泄露

內(nèi)存泄露會(huì)導(dǎo)致資源數(shù)量不足，影響用戶使用，因此在壓力測(cè)試時(shí)，應(yīng)該對(duì)系統(tǒng)進(jìn)行確認(rèn)，并與系統(tǒng)簡(jiǎn)單的超負(fù)荷情況進(jìn)行區(qū)分。

4.4 延遲處理

執(zhí)行復(fù)雜代碼構(gòu)成的應(yīng)用程序時(shí)，容易遇見延遲的問題。應(yīng)該對(duì)延遲時(shí)間進(jìn)行最小化處理，保證測(cè)試的準(zhǔn)確性。

5 壓力測(cè)試的執(zhí)行與結(jié)果分析

5.1 壓力測(cè)試的執(zhí)行

測(cè)試策略完成后，壓力測(cè)試的執(zhí)行是一個(gè)很簡(jiǎn)單的過程。借助測(cè)試工具的作用，在執(zhí)行之前對(duì)設(shè)備以及網(wǎng)絡(luò)情況進(jìn)行檢查，檢查無誤后，就可以進(jìn)行壓力測(cè)試。在測(cè)試數(shù)據(jù)的記錄過程，不僅要完成對(duì)數(shù)據(jù)的準(zhǔn)確記錄，還應(yīng)該進(jìn)行一定的定性分析，從而判斷測(cè)試情況的準(zhǔn)確性。

5.2 壓力測(cè)試的結(jié)果分析

硬件升級(jí)是提高吞吐量的有效手段，在這一過程中會(huì)增加成本，因此需要平衡。對(duì)數(shù)據(jù)庫的優(yōu)化應(yīng)該從設(shè)計(jì)入手，選擇優(yōu)質(zhì)的算法結(jié)構(gòu)對(duì)于改善程序性能，正確指引用戶的訪問請(qǐng)求具有重要意義。在負(fù)載的配置上，應(yīng)該做到不斷優(yōu)化，避免用戶直接采用系統(tǒng)的默認(rèn)屬性，可以通過一定的提示幫助用戶進(jìn)行合理設(shè)置，另外在代碼的執(zhí)行問題上，應(yīng)該進(jìn)行加密設(shè)置，提高安全訪問，降低響應(yīng)時(shí)間。

6 結(jié)語

在Web程序的開發(fā)過程中，會(huì)面臨很多的安全性問題，如果得不到及時(shí)處理，用戶在使用過程中就會(huì)暴露其中的安全隱患，不僅降低了用戶體驗(yàn)度，嚴(yán)重時(shí)會(huì)造成用戶的隱私泄露、財(cái)產(chǎn)損失等嚴(yán)重問題。通過指定合理科學(xué)的測(cè)試方案，采用壓力測(cè)試的方式對(duì)系統(tǒng)進(jìn)行安全性檢測(cè)，可以有效改善Web應(yīng)用程序的性能，進(jìn)而不斷滿市場(chǎng)對(duì)Web應(yīng)用的需求。

參考文獻(xiàn)

[1]李媛.Web應(yīng)用程序的壓力負(fù)載測(cè)試[J].科技信息（科學(xué)教研），2016，（21）：123-124.

[2]楊萍，李杰.利用LoadRunner實(shí)現(xiàn)Web負(fù)載測(cè)試的自動(dòng)化[J].計(jì)算機(jī)技術(shù)與發(fā)展，2017，（01）：42.

[3]桑圣洪，胡飛.性能測(cè)試工具LoadRunner的工作機(jī)理及關(guān)鍵技術(shù)研究[J].科學(xué)技術(shù)與工程，2017，（06）：81.

[4]李克文，蘇波.基于Web應(yīng)用的快速壓力測(cè)試研究[J].微計(jì)算機(jī)應(yīng)用，2016，（09）：45.

[5]李東昱，苗放.LoadRunner在Web應(yīng)用程序性能測(cè)試中的應(yīng)用[J].軟件導(dǎo)刊，2007，（19）：124-125.endprint