一、整体学习目标
不用懂前端/后端开发,只学测试刚需极简内容,达成3个能力:
F12开发者工具:查前端校验代码、抓请求、篡改页面限制
抓包工具Charles/Fiddler:拦截、修改接口请求参数,绕过前端校验
看懂请求报文、报错,反推后端长度/正则规则,实现灰盒精简测试
二、第一阶段:浏览器F12开发者工具(优先学,零安装成本)
必学模块(只学测试要用,跳过前端渲染、CSS等无关内容)
基础面板认知
Elements面板:定位输入框DOM,找到
maxlength、正则绑定属性,手动删除前端长度限制Network面板(核心)
Preserve log保留请求、筛选Fetch/XHR接口请求
看懂Request Payload提交参数、Response后端返回内容
复制接口请求、复制入参、查看后端错误提示
Sources面板:全局搜索关键词 regex、maxLength、byte、表单字段名,定位JS校验正则与长度计算函数
实操核心操作
修改DOM:删掉输入框长度限制、正则校验属性
提交超长/非法内容,观察后端返回判断前后端规则差异
区分页面静态提示(前端)和接口报错(后端真实校验)
不用学(纯浪费时间)
HTML布局、CSS样式、页面渲染、断点调试JS逻辑、打包源码、跨域底层原理
三、第二阶段:抓包工具 Charles / Fiddler(二选一,推荐Charles更简单)
必备知识点
环境基础
代理原理:电脑配置代理、手机连接同一WiFi抓H5/小程序
HTTPS证书安装(必学,否则接口显示乱码无法查看参数)
核心功能(仅测试表单校验场景)
查看完整请求URL、请求方式POST/GET、入参、返回报文
Breakpoints断点拦截:拦截表单提交请求,手动修改参数长度、内容再发送
重复发送请求、保存接口请求模板
表单专项实操 篡改文本长度、中英文混合超长字符、特殊符号,绕过前端限制直接传给后端,验证后端有无兜底校验
不用学
接口性能压测、弱网复杂限流、反向代理、自定义脚本、接口并发
四、第三阶段:配套辅助基础(看懂校验逻辑,不用写代码)
1. 简单正则基础(看懂即可,不用编写)
只认识3类内容,足够分析表单校验:
\d数字、a-zA-Z大小写字母、\u4e00-\u9fa5中文{4,16}长度区间、^开头、$结尾代表完整匹配常见证件正则片段:11位手机号、15/18位身份证标识 目标:看懂正则允许/禁止哪些字符,不用自己写复杂表达式
2. 字节与字符基础(解决前后端长度不一致痛点)
UTF-8编码规则:英文/数字/符号占1字节,中文/全角字符占3字节,emoji多字节
区分两种统计逻辑:前端按字符计数、数据库varchar按字节存储
会简单换算:10字节最多存3个中文,5个纯英文
3. 数据库极简认知(和开发沟通用)
看懂varchar(10)代表数据库存储最大字节限制,看懂表字段长度即可,不用写SQL、建表、联表查询。
五、分阶段学习周期(零基础友好,不用脱产学习)
F12全套操作:1天就能练熟表单测试所有场景
Charles抓包+HTTPS证书:1天实操上手
正则识别+字节编码基础:半天 总学习时长:3天内完全掌握表单灰盒测试全部能力
六、极简练习任务(学完立刻能用在日常表单测试)
打开任意业务表单,F12找到输入框长度限制并删除,提交超长文本
在Sources搜索页面正则,判断当前字段支持的字符格式
Charles拦截表单提交,修改超长中文参数发送,查看后端报错
根据返回报错,计算前后端字节长度差值,产出最少临界测试样本
七、补充:完全不想学工具的兜底方案
如果短期无法掌握抓包调试工具,标准化落地两条兜底流程,不影响现有体系:
建立开发固定答疑流程:表单字段校验模糊时,统一向开发索要三点信息(前端正则、后端校验逻辑、数据库varchar长度)
标准化样本集加厚:扩充字节差异、全角、绕过校验等固定黑盒样本,靠固定用例弥补无法灰盒分析的效率损失,代价是手工测试耗时会增加。
八、总结
测试人员掌握灰盒工具不需要前端、后端、开发完整知识,只针对性学习: 浏览器F12调试操作 + 抓包工具拦截改参 + 正则识别+字节编码常识 + 数据库字段基础; 学习成本极低,学会后可大幅减少表单穷举式测试,完美支撑「分层用例+灰盒前置+标准化样本集+自动化兜底」整套高效测试方案。
附:线上课程汇总
一、免费渠道(零成本,优先推荐,适合快速上手)
1. B站(最全、纯免费,碎片化速成)
关键词直接搜:F12开发者工具测试、Charles零基础抓包、Fiddler软件测试优质成套合集:
《软件测试抓包三件套 F12+Charles+Fiddler实战》 内容:只讲测试工作刚需操作,跳过前端CSS、底层网络原理;重点演示篡改前端长度限制、拦截表单提交改参数、根据接口返回反推校验规则,完美匹配表单校验灰盒测试需求。
《零基础Charles抓包全套教程》 覆盖电脑+手机HTTPS证书配置、断点改参、过滤接口,专门演示绕过前端校验测后端边界,解决前后端字节不一致排查。
《Fiddler零基础实战(功能测试专用)》 Windows用户首选,Composer重发请求、修改入参超长文本实战。 优势:随时暂停、分段看,跟着操作练表单场景,1–2天掌握全部刚需操作。
2. 柠檬班免费课:抓包全家桶(F12+Fiddler+Charles)
平台:柠檬班官网,完全免费领取,无强制付费推销
课时:每工具10分钟精讲,零基础友好
核心内容:F12查找页面正则、抓表单提交接口、Charles拦截篡改参数;专门针对表单长度、正则、前后端校验不一致做实战案例。
3. 掘金/CSDN免费图文教程(配套视频,随时查阅)
掘金《Charles完整抓包调试指南》:含HTTPS证书、手机抓包、表单篡改实战步骤
CSDN博客《F12功能测试实用操作大全》:聚焦Elements删maxlength、Sources搜正则、Network分析报错报文
二、付费系统课(体系完整,适合团队统一培训、零基础系统学习)
1. CSDN学院《Charles和Fiddler抓包教程》
价格:几十元永久观看,28节实操课
适配人群:在职功能测试,专门讲解表单参数篡改、边界校验排查、前后端规则不一致定位
亮点:讲师多年互联网测试经验,全部使用业务表单做演示,贴合日常测字段、证件、长度限制场景。
2. 51CTO学堂《Fiddler从零抓包实战》
主打Windows平台,完整覆盖PC+手机抓包、断点拦截、重发请求;大量电商表单、证件输入框实战案例。
3. 霍格沃兹测试学院《接口测试入门(含全套抓包)》
适合想顺带学接口测试的人,抓包作为前置章节,系统讲解F12/Charles,结合表单校验、参数边界、正则分析完整落地灰盒测试流程。
三、分场景选课建议(按你的需求匹配)
场景1:个人自学、快速上手表单灰盒,不想花钱
首选:B站成套抓包视频 + 柠檬班免费抓包全家桶 学习周期:1–3天,只学表单相关操作,不用全看完。
场景2:公司统一组织培训,需要标准化完整课程
首选:CSDN Charles/Fiddler付费课,内容规整、案例贴合业务表单,可统一发给测试团队学习。
场景3:Mac电脑测试人员
优先学Charles系列课程(Mac原生适配,B站、柠檬班都有专项教程)。
场景4:Windows电脑测试人员
优先Fiddler教程,操作更轻量化。
四、学习避坑(选课只看这3点,不用学多余内容)
课程必须包含:篡改前端DOM删除长度限制、拦截表单请求修改超长文本、根据接口返回反推校验规则;
避开纯安全渗透、Wireshark底层网络课程(内容太深,和表单字段测试无关,浪费时间);
优先选择「软件测试方向」教程,不要前端开发类教程(前端课会大量讲CSS、JS调试,测试用不上)。
五、配套极简学习路线(对应课程观看顺序)
第一阶段:F12开发者工具(1天)→ 查找页面正则、删除maxlength、Network看提交报文
第二阶段:Charles/Fiddler抓包(1天)→ HTTPS证书、断点拦截、篡改入参绕过前端校验
第三阶段:配套理论(半天)→ 看懂简单正则、UTF-8字节字符换算、varchar数据库长度规则
六、补充:无课程替代方案(短期没时间学视频)
内部整理一份《测试抓包表单实操速查表》,只记录表单校验用到的5个核心操作;
安排团队会抓包的同事做1小时线下实操带练,针对性演示证件、中英文长度、前后端不一致排查场景。