2023年软件评测师《应用技术》考试题库大全（附详解）

PAGEPAGE12023年软件评测师《应用技术》考试题库大全（附详解）简答题1.阅读下列说明。[说明]场景法是黑盒测试中重要的测试用例设计方法，通过场景描述业务流程(包括基本流(基本业务流程)和备选流(分支业务流程))，设计测试用例遍历软件系统功能，验证其正确性。下面是对电子不停车收费系统(ETC.的基本流和备选流的描述。4.1、使用场景法设计测试用例，指出所涉及到的基本流和备选流。基本流用A字母编号表示，备选流用表1-2中对应的字母编号表示。例如：T01：AT02：A、B4.2、针对问题1设计的测试用例，依次将初次读取车辆信息、最终读取车辆信息、账户号码、账户余额和账户状态等信息填入下述测试用例表中。表中行代表各个测试用例，列代表测试用例的输入值，用V表示有效数据元素，用I表示无效数据元素，n/a表示不适用，例如T01表示“成功通过”用例。答案：4.1（3分）T03：A、CT04：A、DT05：A、ET06：A、B、CT07：A、B、DT08：A、B、E4.2（12分）4.1本题考查黑盒测试中场景法的应用。根据题目中题干确定的基本流和备选流，可以设计场景，每个场景覆盖一种在该案例中事件的不同触发顺序与处理结果形成的事件流，最后得出所有的测试用例。下面是所有的测试用例以及用例中所涉及的基本流与备选流。T01：AT02：A、BT03：A、CT04:A、DT05：A、ET06：A、B、CT07：A、B、DT08：A、B、E4.2试题分析：根据问题1中设计的所有测试用例，测试人员需要设计具体的场景分析，其中应包括场景变化中系统所关心的状态信息的变化，以及测试结束后预期的结果。这样，在测试人员进行实际测试后，可以用实际输出结果与预期结果进行比较，来评价测试的结果。问题2中给出了系统所关心的状态，包括：次读取车辆信息、最终读取车辆信息、账户号码、账户余额和账户状态等，因此对应的测试用例表如下所示。2.某企业最近上线了ERP系统，该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试，以提供全面的安全测评报告。为对抗来自外网或内网的主动攻击，系统通常会采用多种安全防护策略，请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制，说明针对该机制的安全测试应包含哪些基本测试点。答案：3.某软件公司为某银行设计开发了一套网上银行系统，该系统提供基本的支付、查询、转账和信息修改等功能。银行对网上银行系统提出了初步的性能指标：4交易响应时间不超过2s5并发用户数＞=10006CPU利用率不超过80%7系统需要7*24小时不间断的稳定运行8每秒事务数为79交易成功率为100%现需要对该软件进行性能测试。在测试性能指标(5)时，该软件公司在客户端模拟大量并发用户来执行业务操作，统计平均的每秒事务数。该软件公司认为客户端接收响应信息与该性能指标的测试无关，因此在模拟客户端上发起正常业务申请，接收系统响应后直接丢弃响应信息，没有进行功能校验。请说明该软件公司的做法正确与否，并简要说明原因以及执行功能校验的副作用。答案：4.某大型教育培训机构近期上线了在线网络学校系统，该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试，系统注册用户分为网校学员、教师及管理员三类，其中网校学员采用用户名/口令机制进行认证，教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击，请从口令的强度、传输存储及管理等方面，说明可采取哪些安全防护措施。相应地，对于网校学员所采用的口令认证机制进行测试时，请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。答案：(1)可采取的安全防护措施包括：①口令强度：可设置最小口令长度，同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。②口令传输存储：可采用加密或Hashing手段，系统服务端存储的用户口令可加密或Hashing后存储，网络传输的用户口令可加密或Hashing后进行传输。③口令管理：可设置最大口令时效强制用户定期更新口令，引入口令锁定机制以应对口令猜测攻击，引入口令历史强制用户设置新口令等。(2)对口令认证机制测试应包含的基本测试点：①对用户名称测试的主要测试点在于测试用户名称的唯一性，即测试同时存在的用户名称在不考虑大小写的情况下，不能够同名。②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。【解析】软件系统的安全性是信息安全的一个重要组成部分，针对程序和数据的安全性测试与评估是软件安全性测试的重要内容，本题考查软件安全性测试的相关知识。第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。基于口令的认证是最简单的用户认证方式，口令具有共享秘密的属性，该方式也容易受到相应的口令攻击。为防范口令攻击，通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施，具体措施可包括设置最小口令长度，同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度；采用加密或Hashing手段，系统服务端存储的用户口令可加密或Hashing后存储，网络传输的用户口令可加密或Hashing后进行传输；设置最大口令时效强制用户定期更新口令，引入口令锁定机制以应对口令猜测攻击，引入口令历史强制用户设置新口令等。对用户名称测试的主要测试点在于测试用户名称的唯一性，即测试同时存在的用户名称在不考虑大小写的情况下，不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式，主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。5.某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况，欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用JavaEE平台开发，页面中采用表单实现数据的提交与交互，使用图形(Graphics)以提升展示效果。1、设计两个表单项输入测试用例，以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。答案：XSS(跨站点脚本攻击)是一种注入式攻击，主要通过恶意脚本进行攻击，任何脚本如＜SCRIPT＞都不该被接受。(1)＜script＞alert('Wufff!')＜/script＞(2)＜bonmouseover=alert('Wufff!')＞clickme!＜/b＞防止的主要手段是对功能符号进行编码(转义)。【解析】本题考查Web应用测试相关知识及应用。Web应用测试除了类似传统软件系统测试的性能测试、压力测试等之外，还需要测试页面、链接、浏览器、表单和可用性等，由于Web应用部署访问的大众化特点，对安全性尤其要重视。此类题目要求考生阅读题目对现实问题的描述，根据对问题的分析，回答测试有关的问题。本题目说明中除了功能背景之外，给出了几个技术点，即采用JavaEE平台，页面中采用表单实现数据的提交与交互，使用图形(Graphics)以提升展示效果。第一小题考查Web应用安全性测试的XSS攻击。XSS攻击测试是Web应用安全性测试的主要内容之一。许多Web应用系统在某些情况下，接收页面上传的内容，并入新页面，作为新页面的内容。例如，在新闻网用户可以对新闻进行评论，用户可以输入如下带有HTML标记的内容：＜Script＞alert("HelloWorld!");＜/Script＞在用户提交之后，标记将提交到服务器上，并在有新用户访问新的页面中显示，此时用户所看到的网页中包含以上标记的部分元素可能是：＜div＞6.阅读下列说明，回答问题l至问题3，将解答或相应的编号填入对应栏内。[说明]逻辑覆盖法是设计白盒测试用例的主要方法之一，它是通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。getit(intm){inti,k;k=sqrt(m);for(i=2;i＜=k;i++)if(m%i=0)break;if(i＞=k+1)printf("%disaselectednumber\n",m);elseprintf("%disnotaselectednumber\n",m);}10、请找出程序中所有的逻辑判断子语句。11、请将满足100%DC(判定覆盖)所需的逻辑条件填入下表。12、请画出上述程序的控制流图，并计算其控制流图的环路复杂度VG.。假设函数getit的参数m取值范围是150＜m＜160，请使用基本路径测试法设计测试用例，将参数m的取值填入下表，使之满足基本路径覆盖要求。答案：7.阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】商店的货品价格(p)都不大于20元（且为整数），假设顾客每次付款为20元且每次限购一件商品，现有一个软件能在每位顾客购物时给出找零钱的最佳组合（找给顾客货币张数量最少）假定此商店的找零货币值只包括10元（N10）、5元（N5）、1元（N1）3种。问题1：(8分)请采用等价类划分法为该软件设计测试用例（不考虑p为非整数的情况）并填入到下表中（《N1，2》表示2张1元，若无输出或输出错误填入N/A）问题2：(4分)请采用边界值分析法为该软件设计测试用例问题3：(3分)请给出采用决策表法进行测试用例设计的主要步骤。答案：问题1：答案：问题2：答案：0、1、4、5、6、9、10、11、14、15、16、19、20、21问题3：答案：（1）确定规则的个数：假如有n个条件，每个条件有两个取值（0,1），则有2的n次方种规则。（2）列出所有的条件桩和动作桩。（3）填入条件项。（4）填入动作项：制定初始判定表。（5）简化：合并相似规则（相同动作）。【解析】问题1：本小题考查黑盒测试用例设计中的等价类划分法。等价类划分法：把程序的输入域划分成若干部分（子集），然后从每个部分中选取少数代表性数据作为测试用例。每一类的代表性数据在测试中的作用等价于这一类中的其他值。本题中主要范围限制为1<=P<=20，即可以划分为两个无效类和一个有效等价类，但由于每一个小的等价类是单独处理的，因此需要再进一步的划分。找零的货币为10、5、1的面额，因此可以分为：0，1~4，5，6~9，10，11~14，15，16~19，20，21划分等价类的6条原则：（1）在输入条件规定了取值范围或值的个数的情况下，可以确立一个有效等价类和两个无效等价类；（2）在输入条件规定了输入值的集合或者规定了必须如何的条件的情况下，可以确立一个有效等价类和一个无效等价类；（3）在输入条件是一个布尔量的情况下，可确定一个有效等价类和一个无效等价类；（4）在规定了输入数据的一组值（假定n个），并且程序要对每一个输入值分别处理的情况下，可确立n个有效等价类和一个无效等价类；（5）在规定了输入数据必须遵守的规则的情况下，可确立一个有效等价类（符合规则）和若干个无效等价类（从不同角度违反规则）；（6）在确知已划分的等价类中，各元素在程序处理中的方式不同的情况下，则再将该等价类进一步地划分为更小的等价类；问题2：本小题考查黑盒测试用例设计中的边界值分析法。边界值分析法：对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分析法是作为对等价类划分法的补充，这种情况下，其测试用例来自等价类的边界。边界值设计测试用例，应遵循的原则：（1）如果输入条件规定了值得范围，则应取刚达到这个范围的边界值，以及刚刚超过这个范围边界的值作为测试输入数据；（2）如果输入条件规定了值得个数，则用最大个数、最小个数、比最小个数少、比最大个数多1的数作为测试数据；（3）根据规格说明的每个输出条件，使用前面的原则（1）；（4）根据规格说明的每个输出条件，应用前面的原则（2）；（5）如果程序的规格说明给出的输入域或输出域是有序集合，则应选取集合的第一个元素和最后一个元素作为测试用例；（6）如果程序中使用了一个内部数据结构，则应当选择这个内部数据结构边界上的值作为测试用例；（7）分析规格说明，找出其他可能的边界条件；依据边界值设计测试用例的原则，测试用例应选择：0、1、4、5、6、9、10、11、14、15、16、19、20、21问题3：本小题考查黑盒测试用例的设计方法中的决策表法。决策表法：决策表又称判定表，是分析和表达多逻辑条件下执行不同操作的情况的工具。决策表是一种呈表格状的图形工具，适用于描述处理判断条件较多，各条件又相互组合、有多种决策方案的情况。精确而简洁描述复杂逻辑的方式，将多个条件与这些条件满足后要执行动作相对应。能够将复杂的问题按照各种可能的情况全部列举出来，简明并避免遗漏。因此，利用判定表能够设计出完整的测试用例集合。8.【说明】以下代码由C语言书写，在输入3个整数后，能够输出最大数和最小数。intmain(void){inta,b,c,max,min;printf("inputthreenumbers:");scanf("%d%d%d",&a,&b,&c);if(a＞b)/*判断1*/{max=a;min=b;}else{max=b;min=a;}if(max＜c)/*判断2*/max=c;elseif(min＞c)/*判断3*/min=c;printf("max=%d\nmin=%d",max,min);return0;}13、【问题1】请画出该程序段的控制流图，并分析该控制流图中有多少条线性独立路径(VG.的值)。14、【问题2】为了用分支(判定)覆盖方法测试该程序，需要设计测试用例，使其能对该程序中的每个判断语句的各种分支情况全部进行过测试。对两组输入数据(1)a=3，b=5，c=7；(2)a=4，b=6，c=5，请分别写出程序中各个判断语句的执行结果(以T表示真，以F表示假)，填入答题纸的相应栏中。15、【问题3】上述两组测试数据是否能实现该程序的分支(判定)覆盖?如果能，请说明理由。如果不能，请再增设一组输入数据，使其能实现分支(判定)覆盖。答案：13、[解析]控制流图：有4条线性独立路径，或V(G)=4。14、[解析]15、[解析]不能，给出的a，b，c三个数值满足a＞b＞c9.逻辑覆盖法是设计白盒测试用例的主要方法之一，通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。intXOR(char*filename,unsignedlongkey){FILE*input=NULL,*output=NULL;//ichar*outfilename=NULL;intlen=strlen(filename);unsignedcharbuffer;if((filename[len-2]=='.')&&(filename[len-1]=='c')){//2,3outfilename=newchar[len+1];//4strcpy(outfilename,filename);outfilename[len-2]='\0';}else{//5outfilename=newchar[len+5];strcpy(outfilename,filename);strncat(outfilename,".c",2);}input=fopen(filename,"rb");if(input==NULL){//6cout＜＜"Erroropeningfile"＜＜filename＜＜endl;//7delete[]outfilename;outfilename=NULL;return1;}output=fopen(outfilename,"wb");if(output==NULL){//8cout＜＜"Errorcreatingoutputfile"＜＜outfilename＜＜endl;//9delete[]outfilename;outfilename=NULL;return1;}while(!feof(input)){//10if(fread(&buffer,sizeof(unsignedchar),1,input)!=1){//11if(!feof(input)){//12delete[]outfilename;//13outfilename=NULL;fclose(input);fclose(output);return1;}}else{//14buffer^=key;fwrite(&buffer,sizeof(unsignedchar),1,output);}}fclose(input);//15fclose(output);delete[]outfilename;return0;}请给出满足100%DC(判定覆盖)所需的逻辑条件。答案：本题考查白盒测试技术的应用。1．本问题考查白盒测试用例设计方法：判定覆盖法。判定覆盖指设计足够的测试用例，使得被测程序中每个判定表达式至少获得一次"真"值和"假"值，从而使程序的每一个分支至少都通过一次。本题中程序有6个判定，所以满足判定覆盖一共需要12个逻辑条件。10.阅读下列说明，回答问题。【说明】逻辑覆盖法是设计白盒测试用例的主要方法之一，通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。intXOR(char*filename,unsignedlongkey){FILE*input=NULL,*output=NULL;//1char*outfilename=NULL;intlen=strlen(filename);unsignedcharbuffer;if((filename[len-2]=='.')&&(filename[len-1]=='c')){//2,3outfilename=newchar[len+1];//4strcpy(outfilename,filename);outfilename[len-2]='\0';}else{//5outfilename=newchar[len+5];strcpy(outfilename,filename);strncat(outfilename,".c",2);}input=fopen(filename,"rb");if(input==NULL){//6cout＜＜"Erroropeningfile"＜＜filename＜＜endl;//7delete[]outfilename;outfilename=NULL;return1;}output=fopen(outfilename,"wb");if(output==NULL){//8cout＜＜"Errorcreatingoutputfile"＜＜outfilename＜＜endl;//9delete[]outfilename;outfilename=NULL;return1;}while(!feof(input)){//10if(fread(&buffer,sizeof(unsignedchar),1,input)!=1){//11if(!feof(input)){//12delete[]outfilename;//13outfilename=NULL;fclose(input);fclose(output);return1;}}else{//14buffer^=key;fwrite(&buffer,sizeof(unsignedchar),1,output);}}fclose(input);//15fclose(output);delete[]outfilename;return0;}4.1、请给出满足100%DC(判定覆盖)所需的逻辑条件。(3分)4.2、请画出上述程序的控制流图，并计算其控制流图的环路复杂度V(G)。(7分)4.3、请给出问题2中控制流图的线性无关路径。(5分)答案：4.1、4.2、环路复杂度V(G)=8。4.3、线性无关路径：1．1-2-5-6-72．1-2-3-5-6-73．1-2-3-4-6-74．1-2-5-6-8-95．1-2-5-6-8-10-156．1-2-5-6-8-10-11-14-10...7．1-2-5-6-8-10-11-12-10...8．1-2-5-6-8-10-11-12-13【解析】本题考查白盒测试技术的应用。1．本问题考查白盒测试用例设计方法：判定覆盖法。判定覆盖指设计足够的测试用例，使得被测程序中每个判定表达式至少获得一次“真”值和“假”值，从而使程序的每一个分支至少都通过一次。本题中程序有6个判定，所以满足判定覆盖一共需要12个逻辑条件。2．本问题考查白盒测试用例设计方法：基本路径法。涉及的知识点包括：根据代码绘制控制流图、计算环路复杂度。控制流图是描述程序控制流的一种图示方式，它由节点和定向边构成。控制流图的节点代表一个基本块，定向边代表控制流的方向。其中要特别注意的是，如果判断中的条件表达式是复合条件，即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式，则需要改变复合条件的判断为一系列之单个条件的嵌套的判断。本题程序中，if((filename[len-2]=='.')&&(filename[len-1]=='c'))这条判断语句中的判定由两个条件组成，因此在画控制流图的时候需要拆开成两条判断语句。程序的环路复杂度等于控制流图中判定节点的个数加1，本题控制流图中判定节点个数为7，所以V(G)=8。3．本问题考查白盒测试用例设计方法：基本路径法。涉及的知识点包括：根据控制流图和环路复杂度给出线性无关路径。线性无关路径是指包含一组以前没有处理的语句或条件的路径。从控制流图上来看，一条线性无关路径是至少包含一条在其他线性无关路径中从未有过的边的路径。程序的环路复杂度等于线性无关路径的条数，所以本题中应该有8条线性无关路径。11.某大型教育培训机构近期上线了在线网络学校系统，该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试，系统注册用户分为网校学员、教师及管理员三类，其中网校学员采用用户名/口令机制进行认证，教师及管理员采用基于公钥的认证机制。图1在线网络学校系统拓扑结构2、为提高系统认证环节安全性，系统在网校教师及管理员登录认证时引入了USBKey，请说明对公钥认证客户端进行安全测试时，USBKey的功能与性能测试应包含哪些基本的测试点。答案：客户端USBKey测试的基本测试点：(1)功能测试①是否支持AES、RSA等常用加解密算法。②是否提供外部接口以支持用户证书及私钥的导入。③是否提供外部接口支持将数据传入Key内，经过公钥，私钥计算后导出。④是否能实现USBKey插入状态实时监测，当USBKey意外拔出时是否能自动锁定用户状态。⑤是否使用口令进行保护。(2)性能测试①是否具备私钥不能导出的基本安全特性。②Key内加解密算法的执行效率是否满足系统最低要求。【解析】第二小题考查考生对USBKey安全测试内容的理解。USBKey内置单片机或智能卡芯片有一定的存储空间，可以存储用户的私钥以及数字证书，利用USBKey内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中，理论上无法读取，因此可保证用户认证的安全性。针对USBKey的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法；是否提供外部接口以支持用户证书及私钥的导入；是否提供外部接口支持将数据传入Key内，经过公钥/私钥计算后导出；是否能实现USBKey插入状态实时监测，当USBKey意外拔出时是否能自动锁定用户状态；是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性；Key内加解密算法的执行效率是否满足系统最低要求等。12.阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某公司欲开发一套基于Web的通用共享单车系统。该系统的主要功能如下：1.商家注册、在线支付；后台业务员进行车辆管理与监控、查询统计、报表管理、价格设置、管理用户信息。2.用户输入手机号并在获取验证码后进行注册、点击用车后扫描并获取开锁密码、锁车（机械锁由用户点击结束用车）后3秒内显示计算的费用，用户确认后支付、查看显示时间与路线及其里程、预约用车、投诉。【问题1】(6分)采用性能测试工具在对系统性能测试时，用Apdex(应用性能指数)对用户使用共享单车的满意度进行量化，系统需要满足Apdex指数为0.90以上。Apdex量化时，对应用户满意度分为三个区间，通过响应时间数值T来划分，T值代表着用户对应用性能满意的响应时间界限或者说是“门槛”(Threshold)。针对用户请求的响应时间，Apdex的用户满意度区间如下：满意:(0,T]让用户感到很愉快；容忍:(T,4T]慢了一点，但还可以接受，继续这一应用过程；失望:>4T，太慢了，受不了了，用户决定放弃这个应用；Apdex的计算如下：Apdex=(小于T的样本数+T~4T的样本数/2)/总样本数针对用户功能，本系统设定T=2秒，记录响应时间，统计样本数量，2秒以下记录数3000，2~8秒记录数1000，大于8秒500。请计算本系统的Apdex指数，并说明本系统是否达到要求。【问题2】(6分)系统前端采用HTML5实现，已使用户可以通过不同的移动设备的浏览器进行访问。设计兼容性测试矩阵，对系统浏览器兼容性进行测试。【问题3】(8分)针对用户手机号码获取验证码进行注册的功能，设计4个测试用例。（假设合法手机号码为11位数字，验证码为4位数字）答案：【问题1】答案：未达到要求。因为Apdex=(3000+1000/2)/(3000+1000+500)=3500/4500=0.78<0.90.，所以未达到要求。【问题2】参考答案：【问题3】参考答案：用例1：11位数字的手机号码，得到4位数字验证码；（正确测试）用例2：小于11位数字的手机号码，无验证码；用例3：大于11位数字的手机号码，无验证码；用例4:11位有非数字的手机号码，无验证码；【解析】【问题1】本小题考查根据题意进行简单的计算，不要被大量的文字描述吓到，根据提示，其实本题是送分题。【问题2】本小题考查兼容性测试用例矩阵的简单应用，要求对不同的移动设备的浏览器进行兼容性测试。只需要把设计的思路表示出来即可，可以不用写上具体的移动设备平台和浏览器，具体的情况可以在真实实践中根据实际要求设计。【问题3】本小题考查测试用例设计的简单应用，用例很多，只需要设计符合条件的4条即可，最好包含有效等价类和无效等价类。13.某软件公司为某银行设计开发了一套网上银行系统，该系统提供基本的支付、查询、转账和信息修改等功能。银行对网上银行系统提出了初步的性能指标：4交易响应时间不超过2s5并发用户数＞=10006CPU利用率不超过80%7系统需要7*24小时不间断的稳定运行8每秒事务数为79交易成功率为100%现需要对该软件进行性能测试。性能测试中，针对一个单独的性能指标，往往需要采用多种不同的测试方法。该软件公司需要测试性能指标(1)和(5)，设计了如下的测试方案：测试常规情况下的并发用户数，逐步增加并发用户数，分别测试：(1)在响应时间为2s时，系统所能承受的最大并发访问用户的数量：(2)系统在多大的并发访问用户数量下，响应时间不可接受(例如超过2s)。请指出这两项测试分别属于哪种类型的测试，并分别解释这两种测试类型的基本概念。答案：第一种测试属于负载测试，第二种属于压力测试。负载测试是通过逐步增加系统负载，测试系统性能的变化，并最终确定在满足性能指标的情况下，系统所能承受的最大负载量的测试。压力测试是通过逐步增加系统负载，测试系统性能变化，并最终确定在什么负载条件下系统性能处于失效状态，以此来获得系统能提供的最大服务级别的测试。【解析】本问题考查负载测试和压力测试的区别。从问题1的分析中可以看出，负载测试强调的是在满足性能指标的情况下，系统所能承受的最大负载量的测试，前提是系统正常工作；而压力测试则是要使得系统性能处于失效状态，即压力测试是为了发现在什么条件下系统的性能会变得不可接受。因此，通过对本问题描述的分析可以得出，"在响应时间为2s时，系统所能承受的最大并发访问用户的数量"属于负载测试，而"系统在多大的并发访问用户数量下，响应时间不可接受(例如超过2s)"属于压力测试。14.某嵌入式刹车控制软件，应用于汽车刹车控制器，该软件需求如下：1．模式选择：采集模式控制离散量信号In_D1并通过模式识别信号灯显示软件当前工作模式。在信号In_D1为低电平时进入正常工作模式(模式识别信号灯为绿色)，为高电平时进入维护模式(模式识别信号灯为红色)。软件在正常工作模式下仅进行刹车控制和记录刹车次数，在维护模式下仅进行中央控制器指令响应。2．刹车控制：采用定时中断机制，以5ms为周期采集来自驻车器发出的模拟量信号In_A1以及来自刹车踏板发出的模拟量信号In_A2，并向刹车执行组件发送模拟量信号Out_A1进行刹车控制。模拟量信号说明：1)In_A1、In_A2以及Out_A1信号范围均为[0.0V,10.0V]，信号精度均为0.1V；2)Out_A1信号的计算方法为：Out_A1=In_A1+0.3×In_A2，在计算完成后需要在满足信号精度的要求下进行四舍五入及限幅处理。3．记录刹车次数：在Out_A1大于4V时，读出非易失存储器NVRAM中保存的刹车次数记录进行加1操作，然后保存至非易失存储器NVRAM中。4．响应中央控制器指令；接收来自中央控制器的串行口指令字In_S1，回送串行口响应字Out_S1。当接收的指令字错误时，软件直接丢弃该命令字，不进行任何响应。指令字及响应字说明如表1所示。2、请简述本软件串行输入接口测试的测试策略及测试内容。针对表1中"读取刹车次数指令"进行鲁棒性测试时应考虑哪些情况?答案：15.阅读下列说明，回答问题1至问题2,将解答填入答题纸的对应栏内。【说明】某航空公司的会员卡分为普卡、银卡、金卡和白金卡4个级别，会员每次搭乘该航空公司航班均可能获得积分，积分规则如下表所示。此外银卡及以上级别会员有额外积分奖励，奖励规则如下表所示。公司开发了一个程序来计算会员每次搭乘航班累积的积分，程序的输入包括会员的级别B、舱位代码C和飞行公里数K，程序的输出为本次积分S。其中B和C字母其大小写不敏感，K为正整数，S为整数（小数部分四舍五入）。问题1：(7分)采用等价类划分法对该程序进程测试，等价类表如下所示，请补充空（1）-（7）问题2：(13分)根据以上等价类表设计的测试用例，如下表所示，请补充（1）-（13）。答案：问题1：答案：1.P；2.Z/C；3.A/D/I/Y；4.正整数；5.非F、S、G、P的字母；6.非规定舱位的字母；7.非正数；问题2：答案：1.1000；2.500；3.3、7、11；4.R/B/H/K/L/M/W；5.F；6.0；7.1；（非字母）8.ABC；（非单个字母）（9）1；（非字母）（10）XYZ；（非规定舱位的字母）（11）1.23；（非整数）（12）N/A；（13）-1；（非正数）【解析】问题1：本小题考查黑盒测试用例设计中的等价类划分法。等价类划分法：把程序的输入域划分成若干部分（子集），然后从每个部分中选取少数代表性数据作为测试用例。每一类的代表性数据在测试中的作用等价于这一类中的其他值。本题中（1）是选择剩下的白金卡代码P，（2）和（3）选择的是相同积分规则的等价类，（4）-（7）分别是符合相应规则的等价类。划分等价类的6条原则：（1）在输入条件规定了取值范围或值的个数的情况下，可以确立一个有效等价类和两个无效等价类；（2）在输入条件规定了输入值的集合或者规定了必须如何的条件的情况下，可以确立一个有效等价类和一个无效等价类；（3）在输入条件是一个布尔量的情况下，可确定一个有效等价类和一个无效等价类；（4）在规定了输入数据的一组值（假定n个），并且程序要对每一个输入值分别处理的情况下，可确立n个有效等价类和一个无效等价类；（5）在规定了输入数据必须遵守的规则的情况下，可确立一个有效等价类（符合规则）和若干个无效等价类（从不同角度违反规则）；（6）在确知已划分的等价类中，各元素在程序处理中的方式不同的情况下，则再将该等价类进一步地划分为更小的等价类；问题2：本小题考查等价类的具体用例取值，按照前面的表对应规则计算即可。16.逻辑覆盖法是设计白盒测试用例的主要方法之一，通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。阅读下列说明，回答问题。【说明】逻辑覆盖法是设计白盒测试用例的主要方法之一，通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。intXOR(char*filename,unsignedlongkey){FILE*input=NULL,*output=NULL;//ichar*outfilename=NULL;intlen=strlen(filename);unsignedcharbuffer;if((filename[len-2]=='.')&&(filename[len-1]=='c')){//2,3outfilename=newchar[len+1];//4strcpy(outfilename,filename);outfilename[len-2]='\0';}else{//5outfilename=newchar[len+5];strcpy(outfilename,filename);strncat(outfilename,".c",2);}input=fopen(filename,"rb");if(input==NULL){//6cout＜＜"Erroropeningfile"＜＜filename＜＜endl;//7delete[]outfilename;outfilename=NULL;return1;}output=fopen(outfilename,"wb");if(output==NULL){//8cout＜＜"Errorcreatingoutputfile"＜＜outfilename＜＜endl;//9delete[]outfilename;outfilename=NULL;return1;}while(!feof(input)){//10if(fread(&buffer,sizeof(unsignedchar),1,input)!=1){//11if(!feof(input)){//12delete[]outfilename;//13outfilename=NULL;fclose(input);fclose(output);return1;}}else{//14buffer^=key;fwrite(&buffer,sizeof(unsignedchar),1,output);}}fclose(input);//15fclose(output);delete[]outfilename;return0;}请给出问题2中控制流图的线性无关路径。答案：线性无关路径：1．1-2-5-6-72．1-2-3-5-6-73．1-2-3-4-6-74．1-2-5-6-8-95．1-2-5-6-8-10-156．1-2-5-6-8-10-11-14-10...7．1-2-5-6-8-10-11-12-10...8．1-2-5-6-8-10-11-12-13【解析】本问题考查白盒测试用例设计方法：基本路径法。涉及的知识点包括：根据控制流图和环路复杂度给出线性无关路径。线性无关路径是指包含一组以前没有处理的语句或条件的路径。从控制流图上来看，一条线性无关路径是至少包含一条在其他线性无关路径中从未有过的边的路径。程序的环路复杂度等于线性无关路径的条数，所以本题中应该有8条线性无关路径。17.阅读下列说明，回答下列问题。[说明]某嵌入式刹车控制软件，应用于汽车刹车控制器，该软件需求如下：1．模式选择：采集模式控制离散量信号In_D1并通过模式识别信号灯显示软件当前工作模式。在信号In_D1为低电平时进入正常工作模式(模式识别信号灯为绿色)，为高电平时进入维护模式(模式识别信号灯为红色)。软件在正常工作模式下仅进行刹车控制和记录刹车次数，在维护模式下仅进行中央控制器指令响应。2．刹车控制：采用定时中断机制，以5ms为周期采集来自驻车器发出的模拟量信号In_A1以及来自刹车踏板发出的模拟量信号In_A2，并向刹车执行组件发送模拟量信号Out_A1进行刹车控制。模拟量信号说明：1)In_A1、In_A2以及Out_A1信号范围均为[0.0V,10.0V]，信号精度均为0.1V；2)Out_A1信号的计算方法为：Out_A1=In_A1+0.3×In_A2，在计算完成后需要在满足信号精度的要求下进行四舍五入及限幅处理。3．记录刹车次数：在Out_A1大于4V时，读出非易失存储器NVRAM中保存的刹车次数记录进行加1操作，然后保存至非易失存储器NVRAM中。4．响应中央控制器指令；接收来自中央控制器的串行口指令字In_S1，回送串行口响应字Out_S1。当接收的指令字错误时，软件直接丢弃该命令字，不进行任何响应。指令字及响应字说明如表1所示。4、本项目在开发过程中通过测试发现了17个错误，后期独立测试发现了31个软件错误，在实际使用中用户反馈了2个错误。请计算缺陷探测率(DDP)。答案：DDP=(17+31)/(17+31+2)=96%【解析】第四小题是一个简单的测试概念，缺陷探测率(DDP)=测试发现的软件问题/软件总的发现问题。对本题而言，缺陷探测率(DDP)=(17+31)/(17+31+2)=96%。18.阅读下列说明，回答问题1至问题3，将解答填入的对应栏内。[说明]逻辑覆盖是通过对程序逻辑结构的遍历实现程序的覆盖，是设计白盒测试用例的主要方法之。以下代码由C浯言书写，请按要求回答问题。voidcal(intn){intg，s，b，q；if((n＞1000)&&(n＜2000)){g=n%10；s=n%100/10；b=n/100%10；q=n/1000；if((q+g)=={s+b)){printf("%-5d"，n)；}}printf("\n")；return；}13、[问题1]（3分）请找出程序中所有的逻辑判断语句。14、[问题2]（6分）请分析并给出分别满足100%DC(判定覆盖)和100%CC(条件覆盖)时所需的逻辑条件。15、[问题3]（6分）假设n的取值范围是0＜n＜3000，请用逻辑覆盖法为n的取值设计测试用例，使用例集满足基本路径覆盖标准。答案：13、逻辑判断语句：1．n＞10002．n＜20003．(q+g)＝(s+b)14、按照DC和CC的定义分析逻辑条件。15、可按以下步骤完成：1．画控制流图。2．计算V(G)=3。3．找出线性独立路径。4．按路径执行过程中的逻辑条件设计相应数据。19.某企业最近上线了ERP系统，该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试，以提供全面的安全测评报告。企业ERP系统上线后，企业主要业务的日常运作都高度依赖该系统的正常运行，因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施，参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字，对这三方面的测试内容进行简要说明。答案：20.【说明】信息系统测试中，系统的时间特性、资源利用性等是衡量其效率的重要指标。在软件测试中我们通常会借助于自动化负载压力测试考核系统在一定的大用户量访问、长时间运行、大数据量处理的使用场景下系统的性能是否满足需求，在不满足的情况下通过故障诊断和性能调优的手段，获得系统性能的提升。下图是某网上报名系统的负载压力测试拓扑图，主要包括数据库服务器、应用服务器、网络设备、负载均衡设备以及测试用机。测试环境网络带宽100MB，应用服务器选择ApacheTomcat5.0，数据库服务器选择Oracle10GB，两类服务器操作系统都采用Windows2000Server(SP4)。负载压力测试中模拟大量考生通过此系统执行网上报名，主要测试用例包括"考生注册"和"预定座位"，报名操作的顺序是先执行"考生注册"，再执行"预定座位"。系统性能要求能够承受10000用户并发访问，业务执行成功率保持在80%以上。下表是测试结果数据，其中数据库服务器资源利用属合理范围，网络带宽足够，未在结果中描述。5、【问题1】衡量系统执行效率的时间特性指标中通常会包括：业务执行响应时间和吞吐量，请描述上述两个指标的概念。6、【问题2】简述此系统测试环境中负载均衡设备的作用。7、【问题3】简述测试用机中负载压力测试工具主控台、负载压力测试工具负载生成器的作用，并论述此项目中采用分布式部署负载生成器的原因。8、【问题4】请分析测试结果中的交易执行情况数据，陈述随并发用户数递增，交易执行成功率降低的可能原因。分析测试结果中的应用服务器资源利用数据，判断服务器资源利用是否有瓶颈存在。9、【问题5】若系统的性能不能满足需求，有哪些调优措施?答案：5、[解析]业务执行响应时间：是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔，是衡量特定类型应用事务性能的重要指标，标志了用户执行一项操作大致需要多长时间。吞吐量：每分钟执行的业务数，或系统服务器每分钟能够处理的交易数。6、[解析]作用1：将客户端的负载均匀分摊到不同的应用服务器上，达到最佳的服务器群性能。作用2：当某台应用服务器出现错误时，错误信息将会返回到负载均衡器上，然后会将客户的访问指向另一台应用服务器。7、[解析]负载压力测试工具主控台作用：管理负载生成器，并收集测试数据。负载压力测试工具负载生成器的作用：模拟客户端执行负载压力测试。此项目中采用分布式部署负载生成器的原因包括：·负载生成器测试用机硬件资源(CPU、内存)有限，不能模拟10000用户并发的负载。·测试执行会产生大量的业务流。若采用一台测试机作为负载生成器，测试机的网卡带宽会成为测试瓶颈。8、[解析]随并发用户数递增，交易执行成功率降低的可能原因包括：·服务器端架构设计不合理。·服务器端参数设置不合理。·软件系统实现存在问题。应用服务器资源利用不存在瓶颈。9、[解析]系统性能不满足需求时，调优措施包括：·检查软件设计、软件开发是否正确。·检查软件参数设置是否合理。·评估服务器端架构设计的合理性。评估应用服务器和数据库服务器的匹配是否满足系统性能需求。21.某企业想开发一套B2C系统，其主要目的是在线销售商品和服务，使顾客可以在线浏览和购买商品和服务，系统的用户的IT技能，访问系统的方式差异较大，因此系统的易用性、安全性、兼容性等方面的测试至关重要。系统要求：（1）所有链接都要正确；（2）支持不同移动设备，操作系统和浏览器；（3）系统需通过SSL进行访问，没有登录的用户不能访问应用内部的内容。3.1、简要叙述链接测试的目的以及测试的主要内容。（5分）3.2、简要叙述为了达到系统要求(2)，要测试哪些方面的兼容性。（4分）3.3、本系统强调安全性，简要叙述Web应用安全测试应考虑哪些方面。（4分）3.4、针对系统要求(3)，设计测试用例以测试Web应用的安全性。（4分）答案：3.1、链接测试的目的：用来检验Web网站提供信息的正确性、准确性和相关性。测试的主要内容：系统的链接测试主要测试如下3个方面：1)每个链接是否能够链接到目标页面2)被链接的页面是否存在3)是否存在孤立页面3.2、为了达到系统要求能支持不同移动设备，操作系统和浏览器；要测试的兼容性见下表：3.3、Web应用安全测试应考虑下面内容：部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会员管理、加密、参数操作、异常管理、审核和日志记录等3.4、系统需通过SSL进行访问，没有登录的用户不能访问应用内部的内容。设计测试用例以测试Web应用的安全性。SSL协议提供的服务主要有：1)认证用户和服务器，确保数据发送到正确的客户机和服务器；2)加密数据以防止数据中途被窃取；3)维护数据的完整性，确保数据在传输过程中不被改变。第4问需要为Web应用的安全性设计测试用例，这里强调通过SSL(安全套接字)来进行访问，因此设计测试用例要考虑加密是否正确、信息是否完整等因素。22.阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某软件公司为某银行设计开发了一套网上银行系统，该系统提供基本的支付、查询、转账和信息修改等功能。银行对网上银行系统提出了初步的性能指标：1.交易响应时间不超过2s2.并发用户数>=10003.CPU利用率不超过80%4.系统需要7*24小时不间断的稳定运行5.每秒事务数为7(6)交易成功率为100%现需要对该软件进行性能测试。【问题1】(4分)常见的性能测试包括负载测试、压力测试、并发性能测试、疲劳强度测试和大数据量测试等。针对题目中所述的6个性能指标，并发性能测试和疲劳强度测试所涉及的指标各有哪些？【问题2】(10分)性能测试中，针对一个单独的性能指标，往往需要采用多种不同的测试方法。该软件公司需要测试性能指标(1)和(5)，设计了如下的测试方案：测试常规情况下的并发用户数，逐步增加并发用户数，分别测试：(1)在响应时间为2s时，系统所能承受的最大并发访问用户的数量；(2)系统在多大的并发访问用户数量下，响应时间不可接受（例如超过2s)。请指出这两项测试分别属于哪种类型的测试，并分别解释这两种测试类型的基本概念。【问题3】(5分)在测试性能指标（5）时，该软件公司在客户端模拟大量并发用户来执行业务操作，统计平均的每秒事务数。该软件公司认为客户端接收响应信息与该性能指标的测试无关，因此在模拟客户端上发起正常业务申请，接收系统响应后直接丢弃响应信息，没有进行功能校验。请说明该软件公司的做法正确与否，并简要说明原因以及执行功能校验的副作用。答案：【问题1】答案：1、并发性能测试涉及的指标有（1）、（2）、（5）2、疲劳强度测试涉及的指标有（4）【问题2】答案：第一种测试属于负载测试，第二种属于压力测试。1、负载测试是通过逐步增加系统负载，测试系统性能的变化，并最终确定在满足性能指标的情况下，系统所能承受的最大负载量的测试。2、压力测试是通过逐步增加系统负载，测试系统性能变化，并最终确定在什么负载条件下系统性能处于失效状态，以此来获得系统能提供的最大服务级别的测试。【问题3】答案：该软件公司的做法是错误的。原因：该软件公司在负载压力测试中没有进行功能校验，忽略了负载压力情况下的功能不稳定问题。没有正确的功能保证，负载压力性能测试就失去了意义。执行功能校验的副作用：测试过程中进行功能校验，需要记录业务操作结果，会导致资源消耗、操作行为增加以及产生大量日志等问题。【解析】【问题1】本小题考查负载压力测试的基本概念。需要注意的是并发性能测试包含了负载测试和压力测试。即逐渐增加并发用户数负载，直到系统的瓶颈或者不能接收的性能点，通过综合分析交易执行指标、资源监控指标等来确定系统并发性能的过程。并发性能测试是负载压力测试中重要内容。疲劳强度测试通常是采用系统稳定运行情况下能够支持的最大并发用户数，或者日常运行用户数，持续执行一段时间业务，保证达到系统疲劳强度需求的业务量，通过综合分析交易执行指标和资源监控指标，来确定系统处理最大工作量强度性能的过程。从题干的列举的6种性能指标来看，（1）（2）（5）都是并发性能指标，（3）属于系统资源监控指标，（4）属于疲劳强度测试，（6）定义不明确，因为交易成功率取决于多因素，包括业务数据，用户请求数据，基础软件和网络环境等。【问题2】本小题考查负载测试和压力测试的区别。【问题3】本小题考查负载压力测试中的功能内容校验。23.某高校开发了一套基于Web的教务管理系统，实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于JavaEE平台实现，采用表单(Form)实现用户数据的提交并与用户交互。系统要支持：7在特定时期内100个用户并发时，主要功能的处理能力至少要达到10个请求/秒，平均数据量8KB/请求；8用户可以通过不同的移动设备、操作系统和浏览器进行访问。简要叙述教务管理系统表单测试的主要测试内容。答案：表单测试是Web应用功能测试的重要内容，教务管理系统主要测试如下内容：①每个字段的验证；②字段的缺省值；③表单中的输入；④提交操作的完整性。【解析】本题考查Web应用测试相关内容。Web应用测试除了类似传统软件系统测试性能测试、压力测试等之外，还需要测试链接、浏览器、表单和可用性等多个方面。1．本问题考查表单测试的主要内容。表单是Web应用的重要组成部分，用于获取用户的信息并和用户进行交互。因此，表单测试是Web应用功能测试的重要内容，需要测试：①首先检查每个字段的所有验证；②检查字段的缺省值；③表单中的错误输入；④如果有创建、删除、查看和修改表单，要进行测试。24.软件在机载设备中的运用越来越广泛，驻留于机载设备中的嵌入式软件失效会产生灾难性后果，一般要求其具有较高的可靠性，因此，软件可靠性测试对机载软件至关重要。对某嵌入式软件，设计要求其可靠度为1000小时无失效概率99.99%。经实测得出其失效概率函数F(1000)=0.0012，问该软件是否符合设计可靠性要求，并说明原因。答案：不符合可靠度要求。软件可靠度R(t)和软件失效概率之间的关系为R(t)=1-F(t)。R(1000)=1-F(1000)=1-0.0012=0.9988=99.88%，99.88%＜99.99%，因此不符合设计软件可靠度要求。【解析】本题考查软件可靠性知识与应用。软件可靠性(softwarereliability)是软件产品在规定的条件下和规定的时间区间完成规定功能的能力。规定的条件是指直接与软件运行相关的使用该软件的计算机系统的状态和软件的输入条件，或统称为软件运行时的外部输入条件；规定的时间区间是指软件的实际运行时间区间；规定功能是指为提供给定的服务，软件产品所必须具备的功能。软件可靠性不但与软件存在的缺陷和(或)差错有关，而且与系统输入和系统使用有关。软件可靠性的概率度量称软件可靠度。现代软件工程认为，质量形成于过程，过程的因素是影响软件可靠性的主要因素。从软件开发的角度，影响软件可靠性的因素有软件规模、运行剖面、软件内部结构、软件可靠性管理、软件可靠性测试与投入、软件可靠性设计技术、软件开发方法与软件开发环境等。一般地，软件规模越大，其可靠性问题就越多。失效概率是软件从运行开始到某一时刻t为止，出现失效的概率；可靠度是软件系统在规定的条件下，规定的时间内不发生失效的概率；平均无失效时间指软件运行后，到下一次出现失效的平均时间。软件可靠度R(t)与软件失效概率之间的关系为R(t)=1-F(t)，题目中t=1000，F(t)=0.0012，因此R(t)=1-0.0012=0.9988，显然不符合该嵌入式软件设计要求的0.9999无失效概率。25.【说明】某网上信息系统的服务范围为全国。按照功能类别将其划分为前端路由区、Web区(DMZ区)、后台信息系统区。各区域说明如下。前端路由区：部署路由设备。负责与上端网络供应商(ISP)路由器和下端内网交换机的连接。Web服务区(DMZ区)：部署网站服务器及其相关的设备。负责处理HTTPRequest的任务，并将数据传送给数据库，后台信息系统等模块。后台信息系统区：包括数据库服务器、应用系统服务器和备份服务器等，负责完成信息系统的各项功能。在不同的网络区域之间，通过部署防火墙实现区域之间的隔离与访问控制。16、【问题1】画出其网络拓扑结构示意图。17、【问题2】漏洞扫描的功能是什么?请叙述漏洞扫描器的分类以及各类扫描器的功能。18、【问题3】确定安全测评中漏洞扫描工具的接入点。并说明选择漏洞扫描工具各接入点的原因和目的。答案：16、[解析]17、[解析]漏洞扫描的功能是自动检测远程或本地主机安全性漏洞，以便于及时修补漏洞。漏洞扫描器分为两种类型：(1)主机漏洞扫描器(HostScanner)，在本地运行检测系统漏洞。(2)网络漏洞扫描器(NetworkScanner)，基于网络远程检测目标网络和主机系统漏洞。18、[解析]针对系统的网络边界和各区域设备的情况，在系统及其边界中设置A到C，3个工具接入点。A接入点(互联网接入)：设在Internet中，探测目标系统的防火墙1、防火墙2、Web服务器、Web数据库，测试其对该点暴露出的安全漏洞情况。B接入点(Web服务器区)：接在交换机1上，探测目标系统的Web服务器、Web数据库、防火墙2、数据库服务器、应用系统服务器和备份服务器，测试其对该点暴露出的安全漏洞情况。C接入点(后台信息系统区)：接在交换机2上，探测目标系统的数据库服务器、应用系统服务器和备份服务器，测试其对该点暴露出的安全漏洞情况。26.阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某飞行器供油阀控制软件通过控制左右两边的油箱BL、BR，向左右发动机EL、ER供油，既要保证飞行器的安全飞行，又要保证飞行器的平衡，该软件主要完成的功能如下：(1)无故障情况下，控制左油箱BL向左发动机EL供油，右油箱BR向右发动机ER供油，不上报故障；(2)当左油箱BL故障时，控制右油箱BR分别向左、右发动机EL和ER供油，并上报二级故障一一左油箱故障；(3)当右油箱BR故障时，控制左油箱BL分别向左、右发动机EL和ER供油，并上报二级故障一一右油箱故障；(4)当左发动机EL故障时，根据左右油箱的剩油量决定(如果左右油箱剩油量之差大于等于50升，则使用剩油量多的油箱供油，否则同侧优先供油)左油箱BL还是右油箱BR向右发动机ER供油，并上报一级故障——左发动机故障；(5)当右发动机ER故障时，根据左右油箱的剩油量决定(如果左右油箱剩油量之差大于等于50升，则使用剩油量多的油箱供油，否则同侧优先供油)左油箱且还是右油箱BR向左发动机BL供油，井上报一级故障——右发动机故障；(6)当一个油箱和一个发动机同时故障时，则无故障的油箱为无故障发动机供油，并上报一级故障——故障油箱和发动机所处位置；(7)当两个油箱或两个发动机同时故障或存在更多故障时，则应进行双发断油控制，并上报特级故障——两侧油箱或两侧发动机故障；(8)故障级别从低级到高级依次为二级故障、一级故障和特级故障，如果低级故障和高级故障同时发生，则只上报最高级别故障。【问题1】(6分)覆盖率是度量测试完整性的一个手段，也是度量测试有效性的一个手段。在嵌入式软件白盒测试过程中，通常以语句覆盖率、条件覆盖率和MC/DC覆盖率作为度量指标。在实现第6条功能时，设计人员采用了下列算法:if((BL==故障)&&(EL==故障)){BR供油ER；BL断油；EL断油；}if((BL==故障)&&(ER==故障))、{BR供油EL；BL断油；ER断油；}if((BR==故障)&&(EL==故障)){BL供油ER；BR断油；EL断油；}if((BR=故障)&&(ER==故障)){BL供油EL；BR断油；ER断油；}请指出对上述算法达到100%语句覆盖、100%条件覆盖和100%MC/DC覆盖所需的最少测试用例数目，填写下表中的空(1)~(3)。【问题2】(12分)为了测试此软件功能，测试人员设计了下表所示的测试用例，请填写该表中的空（1）~（12）。【问题3】(2分)常见的黑盒测试的测试用例设计方法包括等价类划分、决策表、因果图、边界值分析等。测试人员在针对本题设计测试时，使用哪种测试用例设计方法最恰当？答案：【问题1】答案：（1）1（2）2（3）5【问题2】答案：（1）BR（2）BL（3）BR（4）BL（5）100（6）90（7）断油（8）BL（9）BL（10）BR（11）故障（12）特级故障【问题3】答案：决策表法。【解析】【问题1】本题考查语句覆盖、条件覆盖和MC/DC覆盖。1、语句覆盖：最弱，只需要让程序中的语句都执行一遍即可。2、条件覆盖：要使得每个判断中的每个条件的可能取值至少满足一次。3、MC/DC覆盖：设计足够多的测试用例，使得判定中每个条件的所有可能结果至少出现一次，每个判定本身所有可能结果也至少出现一次。一共由BL==故障、EL==故障、BR==故障、ER==故障四个条件组合而成的判断。要满足100%语句覆盖，即四个if语句中的内容都要执行到，这一样的测试用例即为四个条件的分别为真即可。全部为真，则可以满足100%语句覆盖。要满足100%条件覆盖，即四个条件的真假分支都要执行到，两个测试用例都为真和都为假足够。选择1个都为真的情况，然后针对其它4个条件分别选择其中一个为假，其它条件为真的情况，合计共5个。【问题2】本题考查根据题目信息规则，完成基本计算。【问题3】本题考查根据根据具体的测试背景寻找最合适的测试用例的设计方法。决策表：又译为称判定表，决策表是一个用表格形式来整理逻辑关系的工具，由横向的条件（因）和动作（果）和纵向的规则（测试用例）组合而成。优点：能够将复杂的问题按照各种可能的情况全部列举出来，简明并避免遗漏。因此，利用决策表能够设计出完整的测试用例集合。在一些数据处理问题当中，某些操作的实施依赖于多个逻辑条件的组合，即：针对不同逻辑条件的组合值，分别执行不同的操作。决策表很适合于处理这类问题。因为分支多条件多，所以使用决策表来设计测试用例。27.【说明】因果图方法的思路是：从用自然语言书写的程序规格说明描述中找出因(输入条件)和果(输出或程序状态的改变)，通过因果图转换为判定表。分析中国象棋中走马的实际情况(下面未注明的均指的是对马的说明)，马走日字型(邻近交叉点无棋子)，遇到对方棋子可以吃掉，遇到本方棋子不能落到该位置。10、【问题1】应用中可能有多种输入条件，在什么情况下可采用因果图法设计测试用例?11、【问题2】根据上述说明，利用因果图法，下面列出走棋出现的情况和结果，找出哪些是正确的输入条件，哪些是正确的输出结果，请把相应的字母编号填入表中。A．落点在棋盘上；B．落点与起点构成日字；C．移动棋子；D．落点处为对方棋子：E．落点处为自己方棋子；F．移动棋子，并除去对方棋子；G．落点方向的邻近交叉点无棋子；H．不移动棋子；I．落点处无棋子。12、【问题3】下图画出中国象棋中走马的因果图，请把问题2中列出的输入条件和输出结果的字母编号填入到空白框中相应的位置。答案：10、[解析]应用的输出结果依赖于各种输入条件的组合或各种输入条件之间有某种相互制约关系。11、[解析]考查因果图划分输入条件与输出条件的方法。12、【问题3】下图画出中国象棋中走马的因果图，请把问题2中列出的输入条件和输出结果的字母编号填入到空白框中相应的位置。28.某嵌入式刹车控制软件，应用于汽车刹车控制器，该软件需求如下：1．模式选择：采集模式控制离散量信号In_D1并通过模式识别信号灯显示软件当前工作模式。在信号In_D1为低电平时进入正常工作模式(模式识别信号灯为绿色)，为高电平时进入维护模式(模式识别信号灯为红色)。软件在正常工作模式下仅进行刹车控制和记录刹车次数，在维护模式下仅进行中央控制器指令响应。2．刹车控制：采用定时中断机制，以5ms为周期采集来自驻车器发出的模拟量信号In_A1以及来自刹车踏板发出的模拟量信号In_A2，并向刹车执行组件发送模拟量信号Out_A1进行刹车控制。模拟量信号说明：1)In_A1、In_A2以及Out_A1信号范围均为[0.0V,10.0V]，信号精度均为0.1V；2)Out_A1信号的计算方法为：Out_A1=In_A1+0.3×In_A2，在计算完成后需要在满足信号精度的要求下进行四舍五入及限幅处理。3．记录刹车次数：在Out_A1大于4V时，读出非易失存储器NVRAM中保存的刹车次数记录进行加1操作，然后保存至非易失存储器NVRAM中。4．响应中央控制器指令；接收来自中央控制器的串行口指令字In_S1，回送串行口响应字Out_S1。当接收的指令字错误时，软件直接丢弃该命令字，不进行任何响应。指令字及响应字说明如表1所示。3、某测试人员设计了如表3所示的操作步骤，对模式选择功能进行测试(表中END表示用例到此结束)。表3为进一步提高刹车控制软件的安全性，在需求中增加了设计约束：软件在单次运行过程中，若进入正常工作模式，则不得再进入维护模式。请参照表3的测试用例完成表4，用于测试该设计约束。表4答案：第三小题中如果不考虑约束，软件工作状态从组合的角度来说，表2的测试顺序完全符合要求。但是许多软件在实际使用中，由于真实情况的限制，不能从理论的情况进行组合，对一些条件必须要进行约束。比如本题中，在单次进入正常工作模式后，就不能进入维护模式，因为维护模式是一种检修模式，不能再正常工作中，进行检修，所以必须保证在正常工作模式下，对维护模式命令不响应。所以此题的前提条件应该为"上电前置In_D1为高电平，给测试环境上电，模式识别信号灯为红色"，即在上电后首先让工作模式为维护模式：然后再发送进入正常工作模式命令，灯变绿，进入工作模式；最后在正常工作模式下，发送进入维护模式命令，此时软件应该不响应，灯继续为绿色，表示在工作模式，完成带约束条件的状态转换测试。如果此题继续表3的测试前提条件，不管发送什么命令，灯一直不会变化，就无法判断是软件问题还是测试设备问题，无法完成测试。29.某企业最近上线了ERP系统，该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试，以提供全面的安全测评报告。数据库服务器中目前主要存储ERP系统业务数据，后续还需要存储企业网站相关数据，当前ERP系统的用户认证方式包含口令认证方式，相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况，参与测试的李工认为在对数据库权限进行测试时，除数据库账号保护及权限设置相关的常规测试外，还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字，对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。答案：敏感数据加密保护和数据库访问方式的测试内容为：①敏感数据的加密保护：由于ERP系统的用户权限和口令存储在数据库中，因此需要测试相应敏感数据是否采用加密算法进行加密保护。②数据库访问方式测试：是否为不同应用系统或业务设置不同的专门用户用于数据库访问，应杜绝在代码中使用超级用户及默认密码对数据库进行访问。【解析】本问题考查考生对数据库权限测试内容的理解。根据本题说明，ERP系统的用户权限和口令信息存储在数据库中，因此需要测试相应敏感数据是否采用加密算法进行加密保护：而数据库中还需要存储ERP系统之外的其他系统业务数据，因此应为不同应用系统或业务设置不同的专门用户用于数据库访问，且应杜绝在代码中使用超级用户及默认密码对数据库进行访问。30.阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问，建立了如下图所示的访问控制系统。该系统提供的主要安全机制包括：(1)认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；(2)授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；(3)安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？【问题2】(3分)测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些？答案：【问题1】答案：1、对用户权限控制体系合理性的评价，内容如下：①是否采用系统管理员、业务领导和操作人员三级分离的管理模式。②用户名称是否具有唯一性，口令强度及口令存储的位置的加密强度等。2、对用户权限分配合理性的评价，内容如下：①用户权限系统本身权限分配的细致程度。②特定权限用户访问系统功能的能力测试。【问题2】答案：冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。重演攻击：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业信息的访问。服务拒绝攻击：攻击者通过向认证服务器或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒