├─ 负载测试（Load Testing）
│   ├─ 目标：验证系统在预期负载下的表现
│   ├─ 方法：逐步增加并发，观察性能指标
│   └─ 指标：响应时间、吞吐量、错误率
│
├─ 压力测试（Stress Testing）
│   ├─ 目标：验证系统在极限负载下的表现
│   ├─ 方法：持续增加并发直到系统崩溃
│   └─ 指标：系统极限、崩溃点、恢复能力
│
├─ 稳定性测试（Soak Testing）
│   ├─ 目标：验证系统长时间运行的稳定性
│   ├─ 方法：持续运行24-72小时
│   └─ 指标：内存泄漏、资源消耗、性能退化
│
└─ 尖峰测试（Spike Testing）
    ├─ 目标：验证系统应对突发流量的能力
    ├─ 方法：突然增加并发
    └─ 指标：系统响应、恢复时间、数据一致性

核心指标：
├─ 响应时间（Response Time）
│   ├─ P50：50%请求的响应时间
│   ├─ P95：95%请求的响应时间
│   ├─ P99：99%请求的响应时间
│   └─ 目标：P99 < 1秒
│
├─ 吞吐量（Throughput）
│   ├─ TPS：每秒事务数
│   ├─ QPS：每秒查询数
│   └─ 目标：根据业务定义
│
├─ 错误率（Error Rate）
│   ├─ 计算：错误请求数 / 总请求数
│   └─ 目标：< 0.1%
│
└─ 资源使用率
    ├─ CPU使用率：< 80%
    ├─ 内存使用率：< 80%
    ├─ 磁盘IO：< 80%
    └─ 网络IO：< 80%

├─ JMeter
│   ├─ 优点：功能全面、插件丰富
│   ├─ 缺点：界面复杂、资源消耗大
│   └─ 适用：复杂场景、协议测试
│
├─ Locust
│   ├─ 优点：代码化、分布式
│   ├─ 缺点：需要编程能力
│   └─ 适用：API测试、分布式测试
│
├─ k6
│   ├─ 优点：现代化、CI友好
│   ├─ 缺点：社区较小
│   └─ 适用：现代应用、DevOps
│
└─ wrk
    ├─ 优点：轻量、高效
    ├─ 缺点：功能简单
    └─ 适用：简单压测、快速验证

├─ OWASP Top 10
│   ├─ 注入攻击（Injection）
│   ├─ 失效的身份认证（Broken Authentication）
│   ├─ 敏感数据暴露（Sensitive Data Exposure）
│   ├─ XML外部实体（XXE）
│   ├─ 失效的访问控制（Broken Access Control）
│   ├─ 安全配置错误（Security Misconfiguration）
│   ├─ 跨站脚本（XSS）
│   ├─ 不安全的反序列化（Insecure Deserialization）
│   ├─ 使用含有已知漏洞的组件（Vulnerable Components）
│   └─ 不足的日志和监控（Insufficient Logging）
│
├─ 渗透测试
│   ├─ 信息收集：域名、IP、端口
│   ├─ 漏洞扫描：自动化扫描
│   ├─ 漏洞利用：手动验证
│   └─ 报告输出：漏洞报告
│
└─ 代码审计
    ├─ 静态分析：代码扫描
    ├─ 动态分析：运行时检测
    └─ 人工审计：代码Review

├─ Burp Suite
│   ├─ 用途：Web应用渗透测试
│   ├─ 功能：代理、扫描、爬虫、爆破
│   └─ 适用：Web安全测试
│
├─ OWASP ZAP
│   ├─ 用途：Web应用安全扫描
│   ├─ 功能：自动扫描、手动测试
│   └─ 适用：自动化安全测试
│
├─ SQLMap
│   ├─ 用途：SQL注入测试
│   ├─ 功能：自动检测、利用SQL注入
│   └─ 适用：SQL注入测试
│
└─ Nmap
    ├─ 用途：网络扫描
    ├─ 功能：端口扫描、服务识别
    └─ 适用：信息收集

├─ 浏览器兼容
│   ├─ Chrome
│   ├─ Firefox
│   ├─ Safari
│   ├─ Edge
│   └─ IE（如需要）
│
├─ 设备兼容
│   ├─ PC
│   ├─ 手机（iOS/Android）
│   ├─ 平板
│   └─ 不同分辨率
│
├─ 系统兼容
│   ├─ Windows
│   ├─ macOS
│   ├─ Linux
│   └─ 不同版本
│
└─ 网络兼容
    ├─ WiFi
    ├─ 4G/5G
    ├─ 弱网
    └─ 离线

├─ 浏览器测试
│   ├─ BrowserStack：云端真机测试
│   ├─ Sauce Labs：云端测试平台
│   ├─ LambdaTest：跨浏览器测试
│   └─ Can I Use：兼容性查询
│
├─ 移动端测试
│   ├─ Appium：移动端自动化
│   ├─ XCTest/Espresso：原生测试
│   └─ 真机测试：实际设备测试
│
└─ 响应式测试
    ├─ Chrome DevTools：设备模拟
    ├─ Responsinator：响应式检查
    └─ Am I Responsive：响应式检查