軟考下午歷年真題版本測試

1、2015 年下半年軟件評測師下午試卷 案例閱讀下列說明，回答問題 1 至問題 4，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】某 MOOC（慕課）教育平臺欲開發(fā)一基于 Web 的作業(yè)批改系統(tǒng)，以實(shí)現(xiàn)高效的作業(yè)提交與批改并進(jìn)行統(tǒng)計(jì)。系統(tǒng)頁面中涉及內(nèi)部的內(nèi)容、外部參考以及郵件等。頁面中采用表單實(shí)現(xiàn)作業(yè)題目的打分和評價(jià)，其中打分為 15 分制整數(shù)，評價(jià)為文本。系統(tǒng)要支持：（1）在特定時(shí)期內(nèi) 300 個(gè)用戶并發(fā)時(shí)，主要功能的處理能力至少要達(dá)到 16 個(gè)請求/秒，平均數(shù)據(jù)量 16KB/請求。（2）系統(tǒng)前端采用 HTML 5 實(shí)現(xiàn)，以使用戶可以通過不同的移動(dòng)設(shè)備的瀏覽器進(jìn)行。問題：3.1（4 分）此系統(tǒng)進(jìn)行測試時(shí)

2、，需要測試哪些方面？（2）測試所有的頁面是否存在（3）保證 Web 應(yīng)用系統(tǒng)上沒有孤立的頁面（4）測試郵件是否正確問題：3.2（5 分）為了達(dá)到系統(tǒng)要支持的（2），設(shè)計(jì)一個(gè)兼容性測試矩陣。問題：3.3（5 分）給出計(jì)算系統(tǒng)的通信吞吐量的方法，并計(jì)算在滿足系統(tǒng)要支持的（1）時(shí)系統(tǒng)的通信吞吐量。系統(tǒng)的通信吞吐量= 系統(tǒng)的并發(fā)用戶數(shù)*時(shí)間的事務(wù)數(shù)（ 請求數(shù)） * 每個(gè)請求的平均數(shù)據(jù)流=300*16*16KB=75MB 問題：3.4（6 分）設(shè)計(jì) 4 個(gè)打分和評價(jià)的測試輸入，考慮多個(gè)方面的測試，如：正確輸入、錯(cuò)誤輸入、XSS、SQL注入等測試。測試用例 1：<script>alert(&q

3、uot;xss")</script> 。測試用例 2：在表單的第一個(gè)輸入格（比如用戶、的用戶名輸入框）"張三" ，其它隨意輸入。測試用例 3：按照要求輸入正確的數(shù)據(jù)，比如：用戶表單頁，輸入 正確的用戶名，。測試用例 4：按照要求輸入非正確的數(shù)據(jù)，比如：用戶表單頁，輸入隨意的用戶名，正確的，或者正確的用戶名，不正確的。（1）測試連接是否按指示的那樣確實(shí)到了該的頁面2014 年下半年軟件評測師下午試卷 案例閱讀下列說明，回答問題 1 至問題 4,將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】某大型披薩銷售、生產(chǎn)和銷售商為了有效管理披薩的生產(chǎn)和銷售情況，欲開發(fā)一套基于

4、 Web 的信息系統(tǒng)。其主要功能為、采購、運(yùn)送、和財(cái)務(wù)管理等。系統(tǒng)采用 Java EE 平臺開發(fā)，頁面中采用表單實(shí)現(xiàn)數(shù)據(jù)的提交與交互，使用圖形（Graphics）以提升展示效果。問題：3.1設(shè)計(jì)兩個(gè)表單項(xiàng)輸入測試用例，以測試 XSS（跨站點(diǎn)）。系統(tǒng)設(shè)計(jì)時(shí)可以采用哪些技術(shù)防止此類?！緟⒖肌浚?）<script> alert('Wufff! ')</script>（2）<b onmouseover=alert('Wufff!')>click me!</b>防止的主要是對功能符號進(jìn)行編碼（轉(zhuǎn)義)?！驹囶}分析】本題考查 W

5、eb 應(yīng)用測試相關(guān)知識及應(yīng)用。Web 應(yīng)用測試除了類似傳統(tǒng)軟件系統(tǒng)測試的性能測試、測試等之外，還需要測試頁面、瀏覽器、表單和可用性等，由于 Web 應(yīng)用部署的大眾化特點(diǎn)，對安全性尤其要重視。此類題目要求考生閱讀題目對現(xiàn)實(shí)問題的描述，根據(jù)對問題的分析，回答測試有關(guān)的問題。本題目說明中除了功能背景之外，給出了幾個(gè)技術(shù)點(diǎn)，即采用 Java EE 平臺，頁面中采用表單實(shí)現(xiàn)數(shù)據(jù)的提交與交互，使用圖形（Graphics)以提升展示效果。本問題考查 Web 應(yīng)用安全性測試的 XSS。XSS測試是 Web 應(yīng)用安全性測試的主要內(nèi)容之一。許多 Web 應(yīng)用系統(tǒng)在某些情況下，接收頁面上傳的內(nèi)容，并入新頁面，作為新

6、頁面的內(nèi)容。例如，在網(wǎng)用戶可以對進(jìn)行評論，用戶可以輸入如下帶有 HTML 標(biāo)記的內(nèi)容：在用戶提交之后，標(biāo)記將提交到服務(wù)器上，并在有新用戶新的頁面中顯示，此時(shí)用戶所看到的網(wǎng)頁中包含以上標(biāo)記的部分元素可能是：從用戶的角度看，該網(wǎng)頁中就出現(xiàn)了彈出窗口提示，顯示"Hello World!”。如下圖所示：XSS (跨站點(diǎn)）是一種注入式，主要通過進(jìn)行，任何如<SCRIPT>都不該被接受。即:用戶輸入的內(nèi)容已經(jīng)被瀏覽器執(zhí)行。再如輸入如下內(nèi)容：在用戶提交之后，后續(xù)再時(shí)，用戶所看到的網(wǎng)頁中包含以上標(biāo)記的部分元素可能是：即新用戶所看到網(wǎng)頁中顯示“Click me!”。當(dāng)用戶鼠標(biāo)移過此文字時(shí)，

7、就會彈出窗口（左側(cè)為 Chrome 彈出，右側(cè)為 IE9 直接給出的提示窗口，多次鼠標(biāo)滑過操作 Chrome 提示窗口多了一行瀏覽器對這類代碼的創(chuàng)建新窗口的選項(xiàng)，firefox 類似)：而如果這類代碼都可以執(zhí)行，就存在被真正者的可能，而且可能造成各類安全問題。所以提交代碼中的任何、頁面功能符號都不應(yīng)該被直接接受作為功能符號在后續(xù)使用。本題目說明中采用表單實(shí)現(xiàn)數(shù)據(jù)提交與交互，在提交數(shù)據(jù)時(shí)，對數(shù)據(jù)的內(nèi)容中包含的特殊內(nèi)容要進(jìn)試。在測試用例時(shí)，要考慮 HTML 標(biāo)記符、。所以測試用例的設(shè)計(jì)主要考慮<script>、<b>等功能符號。在頁面上真正需要 HTML 標(biāo)記的，在接收到服

8、務(wù)器端時(shí)，先進(jìn)行轉(zhuǎn)義。問題：3.2簡述圖形測試的主要檢查點(diǎn)?！緟⒖肌繄D形測試的主要檢查點(diǎn)如下：（1）顏色飽和度和對比度是否合適；（2）需要突出的的顏色是否容易識別；（3）是否正確加載所有的圖形。【試題分析】本問題考查頁面的展示效果方面的測試。Web 頁面展示效果在用戶界面友方面非常重要，是用戶界面測試的主要內(nèi)容之一。圖形測試主要檢查圖片大小、顏色飽和度和對比度是否合適、需要突出的的顏色是否容易識別、是否正確加載等等。問題：3.3簡述頁面測試的主要方面?！緟⒖肌宽撁鏈y試可以從以下幾個(gè)方面進(jìn)行：（1）頁面的一致性；（2）在每個(gè)頁面上是否設(shè)計(jì)友好的用戶界面和直觀的導(dǎo)航系統(tǒng)；（3）是否考慮多種瀏覽器的

9、需要；（4）是否建立了頁面文件名體系：（5）是否充分考慮了合適的頁面布局技術(shù)，如層疊樣式表、表格和幀結(jié)構(gòu)等?！驹囶}分析】本問題考查 Web 應(yīng)用頁面測試。Web 頁面測試內(nèi)容包括：頁面一致性、用戶友、瀏覽器兼容性、布局合理性、直觀的導(dǎo)航等。要關(guān)注頁面是否一致，每個(gè)頁面上是否設(shè)計(jì)友好的用戶界面，導(dǎo)航系統(tǒng)是否直觀，是否考慮瀏覽器的兼容性，元素布局是否合理，功能塊布局是否合理，頁面顏色搭配是否合理，字體大小是否合理等方面。另外，還要考慮頁面文件名體系是問題：3.4系統(tǒng)實(shí)現(xiàn)時(shí)，對銷售訂單的更新所用的 SQL 語句如下：然后通過 setString(.)；的方式設(shè)置參數(shù)值后加以執(zhí)行。設(shè)計(jì)測試用例以測試

10、SQL 注入，并說明該實(shí)現(xiàn)是否能防止 SQL 注入?！緟⒖肌吭O(shè)計(jì)如下測試：【注：設(shè)計(jì)類似如下用例即可，其中包含 SQL 功能符號使 SQL 變?yōu)椴环显O(shè)計(jì)意圖即可】采用傳遞參數(shù)的形式，Java 的 JDBC 驅(qū)動(dòng)自動(dòng)會將其按照相應(yīng)的類型處理，功能符號會進(jìn)行轉(zhuǎn)義。因此，該 SQL 語句是安全。【試題分析】本問題考查 Web 應(yīng)用安全性方面的 SQL 注入，SQL 注入是 Web 應(yīng)用安全性測試的重要方面之一。許多 Web 應(yīng)用系統(tǒng)采用某種數(shù)據(jù)庫，接收用戶從 Web 頁面中輸入，完成展示相關(guān)的數(shù)據(jù)（如檢查用戶登錄信息)、將輸入數(shù)據(jù)到數(shù)據(jù)庫（如用戶輸入表單中數(shù)據(jù)域并點(diǎn)擊提交后，系統(tǒng)將信息存入數(shù)據(jù)庫）

11、等操作。在有些情況下，將用戶輸入的數(shù)據(jù)和設(shè)計(jì)好的 SQL 框架拼接后提交給數(shù)據(jù)庫執(zhí)行，就可能存在用戶輸入的數(shù)據(jù)并非設(shè)計(jì)的正確格式，就給用戶提供了破壞的機(jī)會，即 SQL 注入。用戶輸入不期望的數(shù)據(jù)，拼接后提交給數(shù)據(jù)庫否建立。執(zhí)行，造成可能使用其他用戶，查看其他用戶的私密信息，還可能修改數(shù)據(jù)庫的結(jié)構(gòu)，甚至是刪除應(yīng)用的數(shù)據(jù)庫表等嚴(yán)重后果。SQL 注入在使用 SSL 的應(yīng)用中仍然存在，甚至是也無法防止 SQL 注入。因此，在測試Web 應(yīng)用時(shí)，需要認(rèn)真仔細(xì)設(shè)計(jì)測試用例，采用 Web 漏洞掃描工具等進(jìn)行檢查，進(jìn)行認(rèn)真嚴(yán)格的測試，以保證不存在 SQL 注入機(jī)會。本系統(tǒng)實(shí)現(xiàn)時(shí)，對銷售訂單的更新所用的 SQL

12、 語句如下：然后通過 setString(.);的方式設(shè)置參數(shù)值后加以執(zhí)行。在 SQL 語句中采用參數(shù)的方式傳遞前臺傳遞來的值，因?yàn)椴徽撌鞘裁粗?，都會只作?setString(.)的參數(shù)值，作為 SQL 語句的其他功能符，所以本 SQL 語句更新訂單的方式是防止 SQL 注入的。設(shè)計(jì)如下測試 SQL 注入的測試用例：檢查執(zhí)行結(jié)果，或者傳遞給數(shù)據(jù)庫的 SQL 語句，會發(fā)現(xiàn)所有用例中的功能字符都會經(jīng)過特定的轉(zhuǎn)義后作為 status和 OrderlD 的值。和拼接 SQL 的方式不同，采用參數(shù)形式傳遞時(shí)，Java 的 JDBC 驅(qū)動(dòng)自動(dòng)會將其按照相應(yīng)的類型處理，功能符號會進(jìn)行轉(zhuǎn)義。因此，測試用例中

13、的注釋-、OR 等都會作為參數(shù)的值，作為功能符，也就改變 SQL 語句本身的功能結(jié)構(gòu)，該 SQL 語句是安全的。2013 年下半年軟件評測師下午試卷 案例【說明】某高校開發(fā)了一套基于 Web 的教務(wù)管理系統(tǒng)，實(shí)現(xiàn)教務(wù)管理課程設(shè)置、學(xué)生選課和成績、教師上傳成績以及特殊情況下教務(wù)處對成績進(jìn)行修改等功能。系統(tǒng)基于 JavaEE 平臺實(shí)現(xiàn)，采用表單(Form)實(shí)現(xiàn)用戶數(shù)據(jù)的提交并與用戶交互。系統(tǒng)要支持：(1)在特定時(shí)期內(nèi) 100 個(gè)用戶并發(fā)時(shí)，主要功能的處理能力至少要達(dá)到 10 個(gè)請求/秒，平均數(shù)據(jù)量 8KB/請求；(2)用戶可以通過不同的移動(dòng)設(shè)備、操作系統(tǒng)和瀏覽器進(jìn)行。問題：3.1簡要敘述教務(wù)管理系

14、統(tǒng)表單測試的主要測試內(nèi)容。表單測試是 Web 應(yīng)用功能測試的重要內(nèi)容，教務(wù)管理系統(tǒng)主要測試如下內(nèi)容：每個(gè)字段的驗(yàn)證；字段的缺省值；表單中的輸入；提交操作的完整性。本題考查 Web 應(yīng)用測試相關(guān)內(nèi)容。Web 應(yīng)用測試除了類似傳統(tǒng)軟件系統(tǒng)測試性能測試、測試等之外，還需要測試、瀏覽器、表單和可用性等多個(gè)方面。本問題考查表單測試的主要內(nèi)容。表單是 Web 應(yīng)用的重要組成部分，用于獲取用戶的信息并和用戶進(jìn)行交互。因此，表單測試是 Web 應(yīng)用功能測試的重要內(nèi)容，需要測試:首先檢查每個(gè)字段的所有驗(yàn)證；檢查字段的缺省值；表單中的錯(cuò)誤輸入；如果有創(chuàng)建、刪除、查看和修改表單，要進(jìn)試。問題：3.2簡要敘述為了達(dá)到

15、系統(tǒng)要支持的(2)，需要進(jìn)行哪些兼容性測試，并設(shè)計(jì)一個(gè)兼容性測試矩陣。“教務(wù)管理系統(tǒng)”的兼容性測試:平臺兼容性和瀏覽器兼容性。兼容性測試矩陣如下：本問題考查 Web 應(yīng)用兼容性測試的內(nèi)容。Web 應(yīng)用的兼容性是測試工作的重要方面，包括：瀏覽器兼容性、操作系統(tǒng)平臺兼容性、移動(dòng)瀏覽、打印選項(xiàng)等。本系統(tǒng)用戶可以通過不同的移動(dòng)設(shè)備、操作系統(tǒng)和瀏覽器進(jìn)行，因問題：3.3在滿足系統(tǒng)要支持的(1)時(shí)，計(jì)算系統(tǒng)的通信吞吐量。通信吞吐量：P=N(并發(fā)用戶的數(shù)量=100)×T(每時(shí)間的事務(wù)數(shù)量=10)×D(事務(wù)服務(wù)器每次處理的數(shù)據(jù)負(fù)載=8KB/s)=100×10×8=800

16、0KB/s。本問題考查 Web 應(yīng)用系統(tǒng)的性能指標(biāo)計(jì)算。通信吞吐量，設(shè)定如下指標(biāo)參數(shù)：N：并發(fā)用戶的數(shù)量；T：每時(shí)間的事務(wù)數(shù)量；D：事務(wù)服務(wù)器每次處理的數(shù)據(jù)負(fù)載；P：系統(tǒng)的通信吞吐量。有如下計(jì)算公式：P=N×T×D本題中系統(tǒng)要求支持的(1)中給出 100 個(gè)用戶并發(fā)，即 N=100;主要功能的處理能力至少要達(dá)到 10 個(gè)請求/秒，即此需要普通設(shè)備和移動(dòng)設(shè)備，進(jìn)行操作系統(tǒng)平臺和瀏覽器的兼容性測試。T=10;平均數(shù)據(jù)量 8KB/請求，即 D=10KB/s。則:通信吞吐量 P=100×10×8=8000KB/S 問題：3.4系統(tǒng)實(shí)現(xiàn)時(shí)，對成績更新所用的 SQL

17、 語句如下：“UPDATE StudentScore SET score = ” + intClientSubmitScore+ “ WHERE Stuent_ID=+strStudentID + “;”設(shè)計(jì) 1 個(gè)測試用例，以測試該 SQL 語句是否能防止 SQL 注入，并說明該語句是否能防止 SQL 注入，以及如何防止SQL 注入。設(shè)計(jì)如下測試：【注:設(shè)計(jì)類似如下用例的一個(gè)即可，其中包含 SQL 功能符號使 SQL 變?yōu)椴环显O(shè)計(jì)意圖即可，如包含'，DROP 等】。(1)intClientSubmitScore：100-，strStudentID：20130002,則該 SQL 變

18、為：(2)intClientSubmitScore：100,strStudentID：20130002；DROPTABLEStudentScore-,則該 SQL 語句變?yōu)椋豪唇犹幍?SQL 可以看出，該 SQL 語句不安全，容易造成 SQL 注入。防止 SQL 注入的方法主要有:拼接 SQL 之前對特殊符號進(jìn)行轉(zhuǎn)義，使其SQL 語句的功能符號。本問題考查 Web 應(yīng)用安全性方面的 SQL 注入，SQL 注入是 Web 應(yīng)用安全性測試的重要方面。許多 Web 應(yīng)用系統(tǒng)采用某種數(shù)據(jù)庫，接收用戶從 Web 頁面中輸入，完成展示相關(guān)的數(shù)據(jù)(如檢查用戶登錄信息)、將輸入數(shù)據(jù)到數(shù)據(jù)庫(如用戶輸入表單

19、中數(shù)據(jù)域并點(diǎn)擊提交后，系統(tǒng)將信息存入數(shù)據(jù)庫)等操作。在有些情況下，將用戶輸入的數(shù)據(jù)和設(shè)計(jì)好的 SQL 框架拼接后提交給數(shù)據(jù)庫執(zhí)行，就可能存在用戶輸入的數(shù)據(jù)并非設(shè)計(jì)的正確格式，從而給用戶提供了破壞的機(jī)會。即 SQL 注入。用戶輸入不期望的數(shù)據(jù)，拼接后提交給數(shù)據(jù)庫執(zhí)行，造成可能使用其他用戶、查看其他用戶的私密信息，還可能修改數(shù)據(jù)庫的結(jié)構(gòu)，甚至是刪除應(yīng)用的數(shù)據(jù)庫表等嚴(yán)重后果。因此需要在測試階段進(jìn)行認(rèn)真嚴(yán)格的測試。本系統(tǒng)實(shí)現(xiàn)時(shí)，對成績更新所用的如下 SQL 語句：采用拼接字符串方式，無法防止 SQL 注入。例如 intClientSubmitScore：100-，strStudentID：201300

20、02,則該從測試用SQL 變?yōu)椋?是 SQL 中注釋符號，其后的內(nèi)容為注釋，這樣上述語句中-之后的內(nèi)容變?yōu)樽⑨?，只?StudentScore 表中所有的的 score 都變?yōu)?100,而沒有受到 WHERE 子句后的學(xué)號限制。因?yàn)閍'='a'條件總是成立，因此，SQL 執(zhí)行結(jié)果包括學(xué)生成績表中所有行的 score 都更新為 100 分。更為嚴(yán)重的情況下， 用戶輸入 DROP 等功能性命令， 會造成數(shù)據(jù)庫表的刪除等嚴(yán)重后果， 如strStudentID:20130002；DROPTABLEStudentScore-，則該 SQL 語句:防止 SQL 注入的方法主要有：拼

21、接 SQL 之前對特殊符號進(jìn)行轉(zhuǎn)義或者等價(jià)方式，使其SQL 語句的功能符號。驗(yàn)證所有輸入數(shù)據(jù)能從輸入層面防止 SQL 注入。SQL 注入在使用 SSL 的應(yīng)用中仍然存在，甚至是也無法防止 SQL 注入。因此，在測試 Web 應(yīng)用時(shí)，需要認(rèn)真仔細(xì)設(shè)計(jì)測試用例，采用 Web 漏洞掃描工具等進(jìn)行檢查，以保證不存在 SQL 注入機(jī)會。2012 年下半年軟件評測師下午試卷 案例某企業(yè)想開發(fā)一套 B2C 系統(tǒng)，其主要目的是銷售商品和服務(wù)，使顧客可以瀏覽和商品和服務(wù)。系統(tǒng)的用戶的 IT 技能、系統(tǒng)要求：系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測試。(1)所有都要正確；(2)支持不同移動(dòng)設(shè)

22、備、操作系統(tǒng)和瀏覽器；(3)系統(tǒng)需通過 SSL 進(jìn)行，沒有登錄的用戶不能應(yīng)用內(nèi)部的內(nèi)容。問題：3.1簡要敘述測試的目的以及測試的主要內(nèi)容。 測試的目的是確保 Web 應(yīng)用功能夠?qū)崿F(xiàn)。測試主要測試如下 3 個(gè)方面:(1)是否能夠到該到的目標(biāo)頁面；(2)被的頁面存在；(3)測試是否存在孤立頁面。即只有通過特定 URL 才能到的頁面。：本題考查測試的主要內(nèi)容。是使用戶從一個(gè)頁面瀏覽到另一個(gè)頁面的重要，其質(zhì)量決定著功能下 3 個(gè)方面：1)是否能夠到該到的目標(biāo)頁面；2)被的頁面存在；3)測試是否存在孤立頁面。即只有通過特定 URL 才能到的頁面。問題：3.2簡要敘述為了達(dá)到系統(tǒng)要求（2)，要測試哪些方面

23、的兼容性。瀏覽器兼容性測試、操作系統(tǒng)兼容性測試、移動(dòng)終端瀏覽測試、打印測試等。 ：本題考查 Web 應(yīng)用對不同環(huán)境的兼容性測試。Web 應(yīng)用的兼容性是測試的重要方面，主要包括：瀏覽器兼容性測試、操作系統(tǒng)兼容性測試、移動(dòng)終端瀏覽測試、打印測試等。本系統(tǒng)用戶可以通過不同的移動(dòng)配置進(jìn)行，測試顯示速度和流量等。不同的瀏覽器有不同的配置需要 Web 應(yīng)用兼容。Web 應(yīng)用中的代碼應(yīng)該跨瀏覽器平臺兼容。Web 應(yīng)用中如果使用 JavaScript 或 AJAX 調(diào)用 UI 功能，完成安全檢查或驗(yàn)證，那么就需要在瀏覽器兼容性方面進(jìn)行測試，如，Internet Explorer、Firefox、Netscap

24、e Navigator、AOL、Safari 和 Opera 等各種瀏覽器及其不同版本。Web 應(yīng)用的有些功能可能并非兼容所有的操作系統(tǒng)，Web 應(yīng)用開發(fā)中用到的圖形設(shè)計(jì)、API 接口等技術(shù)可能并非在所有操作系統(tǒng)平臺上支持。因此需要在如 Windows、Unix、Mac、Linux 和 Solaris 等不同操作系統(tǒng)上對 Web應(yīng)用進(jìn)試。移動(dòng)設(shè)備越來越普及，新技術(shù)層出不窮，不同移動(dòng)設(shè)備上的不同瀏覽器的兼容性也需要進(jìn)試。如果 Web 應(yīng)用支持打印功能，需要測試字體、頁面布局、頁面圖片和頁面大小等是否正常打印。問題：3.3本系統(tǒng)強(qiáng)調(diào)安全性，簡要敘述 Web 應(yīng)用安全性測試應(yīng)考慮哪些方面。Web 應(yīng)

25、用安全體系測試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、驗(yàn)證、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作、異常管理、審核和日志等多個(gè)方面進(jìn)行。 ：Web 應(yīng)用的安全性測試的體系結(jié)構(gòu)和設(shè)計(jì)可以想出很多與設(shè)計(jì)有關(guān)的漏洞，從而提高應(yīng)用程序的整體安全性。設(shè)計(jì)時(shí)修復(fù)漏洞要比在開發(fā)后期解決問題更為簡單，也更，因?yàn)殚_發(fā)后期可能要進(jìn)行大量的再工程處理。開發(fā)時(shí)如果考慮一些與目標(biāo)部署環(huán)境相關(guān)的設(shè)計(jì)以及該環(huán)境定義的安全策略，可確保應(yīng)用程序的部署更加平穩(wěn)和安全。如果應(yīng)用程序已創(chuàng)建完畢，安全測試可修復(fù)漏洞并完善未來的設(shè)計(jì)。一個(gè)完整的 Web 應(yīng)用安全體系測試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、驗(yàn)證、配置管理、敏感數(shù)據(jù)、問題：3.4

26、系統(tǒng)要求（3)，設(shè)計(jì)測試用例以測試 Web 應(yīng)用的安全性。會話管理、加密、參數(shù)操作、異常管理、審核和日志等多個(gè)方面進(jìn)行。頁面中跳轉(zhuǎn)、等功能性、是否存在孤立頁面、的目標(biāo)是否存在等等。測試主要測試如是否能夠?qū)崿F(xiàn)測試是 Web 應(yīng)用功能測試的重要內(nèi)容，測試時(shí)需要測試所有頁面的外向、內(nèi)部、（name 為系統(tǒng)內(nèi)有或者無的用戶名）。測試 SSL:某URL 的https:/換成http:/。后的某 URL 拷貝出來，關(guān)閉瀏覽器并重啟后將 URL 粘貼在地址欄內(nèi)部內(nèi)容。 ：本題考查 Web 應(yīng)用安全性測試方面。Web 應(yīng)用的安全性測試是一項(xiàng)重要而龐大的工作，需要測試內(nèi)部和外部的安全性威脅。Web 應(yīng)用的安全性

27、測試需要很好地進(jìn)行。SQL 注入測試用例：用戶名：nameor'a='a：password'ora'='a;或者用戶名：name'-,：password。（name 為系統(tǒng)內(nèi)有或者無的用戶名）。如果登錄是采用 SQL 拼接而沒有正常進(jìn)行轉(zhuǎn)義處理，則會出現(xiàn)將 SQL 語句篡改成并非達(dá)到預(yù)定目標(biāo)，并不管用戶名是否正確，均可正常登錄，造成安全隱患。測試 SSL:某URL 的https:/換成http:/。錄后的某 URL 拷貝出來，關(guān)閉瀏覽器并重啟后將 URL 粘貼在地址欄內(nèi)部內(nèi)容。 2011 年下半年軟件評測師下午試卷 案例【說明】某公司開發(fā)基于 W

28、eb 的招聘系統(tǒng)，采用 Java EE 系統(tǒng)架構(gòu)。系統(tǒng)提供用戶估錄取應(yīng)聘者等功能。接受申請主要是驗(yàn)證應(yīng)聘者提交的姓名、地址、職位設(shè)置、接受應(yīng)聘者的申請和評、簡歷和預(yù)申請職位等信息的完整性，并給應(yīng)聘者相關(guān)通知；評估應(yīng)聘者主要是根據(jù)部門經(jīng)理設(shè)置所需職位，對已經(jīng)受理的申請進(jìn)行資格，給應(yīng)聘者錄用與否的相關(guān)決策信息。系統(tǒng)要支持：（1）在 50 個(gè)用戶并發(fā)時(shí)，主要功能的處理能力至少要達(dá)到 5 個(gè)請求/秒，平均數(shù)據(jù)量 12KB/請求；（2）用戶可以通過 PC、移動(dòng)設(shè)備上的不同操作系統(tǒng)和瀏覽器進(jìn)行。問題：4.1簡要敘述招聘系統(tǒng)測試的主要測試內(nèi)容。招聘系統(tǒng)的測試主要測試如下 3 個(gè)方面：（1）每個(gè)是否能夠到目標(biāo)

29、頁面（2）被的頁面是否存在（3）是否存在孤立頁面內(nèi)容：,(注：和路徑為應(yīng)用和路徑)。內(nèi)部 URL 拷貝：將登的內(nèi)容：;(注:和路徑為應(yīng)用和路徑）。內(nèi)部 URL 拷貝：將登錄的SQL 注入測試用例：用戶名：name'or'al=a：passwordor'a'='a;或者用戶名：name'-,：password。測試主要測試如下 3 個(gè)方面：（1）每個(gè)是否能夠到目標(biāo)頁面；（2）被的頁面是否存在；（3）是否存在孤立頁面，即無法通過應(yīng)用主要頁面到，而只有通過特定 URL 才能到的頁面。問題：4.2簡要敘述為了達(dá)到系統(tǒng)要支持的（2)，需要進(jìn)行哪些兼容性測試

30、，并設(shè)計(jì)一個(gè)兼容性測試矩陣實(shí)例。招聘系統(tǒng)的兼容性測試：（1）平臺兼容性和瀏覽器兼容性。（2）兼容性測試矩陣示例如下：本問題考查 Web 應(yīng)用兼容性測試的內(nèi)容。Web 應(yīng)用的兼容性是 Web 應(yīng)用可用的重要方面，Web 應(yīng)用具有支持多 的特性，設(shè)備、平臺、瀏覽器等的開發(fā)商不同、版本不同，會影響 Web 應(yīng)用的可用性、可性甚至功能性等諸多方面。因此，兼容性測試是 Web 應(yīng)用測試的重要方面。Web 應(yīng)用兼容測試是測試 Web 應(yīng)用在各種硬件、軟件、操作系統(tǒng)、網(wǎng)絡(luò)等不同的環(huán)境下，發(fā)現(xiàn)程序運(yùn)行時(shí)出現(xiàn)的錯(cuò)誤。常見的 Web 應(yīng)用兼容性測試有平臺的兼容性測試、瀏覽器兼容性測試、分辨率測試、連接速度測試、打

31、印機(jī)測試、數(shù)據(jù)庫兼容性測試和應(yīng)用軟件之間的兼容性測試。本系統(tǒng)用戶可以通過 PC 和移動(dòng)設(shè)備的不同操作系統(tǒng)和瀏覽器進(jìn)行，涉及到 PC 和移動(dòng)設(shè)備使用多種操作系統(tǒng)，如 Windows 的多種版本、Linux、Unix、Android、iOS，而各種系統(tǒng)上又有多種可用的瀏覽器，如 IE 的多種版測試。兼容性測試矩陣是進(jìn)行兼容性測試的常用工具，將操作系統(tǒng)平臺和瀏覽器為矩陣的兩維，對相應(yīng)組合進(jìn)試。本、Firefox、Chrome、Safari 等，因此需要不同設(shè)備，進(jìn)行相應(yīng)的操作系統(tǒng)平臺和瀏覽器的兼容性接、內(nèi)、頁面跳轉(zhuǎn)、等功能性、是否存在孤立頁面、的目標(biāo)是否存在等等。中部本問題考查測試的主要內(nèi)容。測試是

32、 Web 應(yīng)用功能測試的重要內(nèi)容，測試時(shí)需要測試所有頁面的外向鏈問題：4.3在滿足系統(tǒng)要支持的（1）時(shí)，計(jì)算系統(tǒng)的通信吞吐量。通信吞吐量：P=N (并發(fā)用戶的數(shù)量=50) *T (每時(shí)間的事務(wù)數(shù)量=5) * D(事務(wù)服務(wù)器每次處理的數(shù)據(jù)負(fù)載=12KB/s) =50*5*12 = 3000KB/s。 ：本問題考查 Web 應(yīng)用系統(tǒng)的性能指標(biāo)計(jì)算。通信吞吐量，設(shè)定如下指標(biāo)參數(shù)：N：并發(fā)用戶的數(shù)量；T：每時(shí)間的事務(wù)數(shù)量D：事務(wù)服務(wù)器每次處理的數(shù)據(jù)負(fù)載P：系統(tǒng)的通信吞吐量有如下計(jì)算公式：P=N*T*D本題中系統(tǒng)要求支持的（1)中給出 50 個(gè)用戶并發(fā)，即 N=50;主要功能的處理能力至少要達(dá)到 5 個(gè)

33、請求/秒，即 T=5;平均數(shù)據(jù)量 12KB/請求，即 D=12KBh 則：通信吞吐量P= 50*5*12 = 3000KB/S 問題：4.4系統(tǒng)實(shí)現(xiàn)時(shí)，對用戶的登錄所用的動(dòng)態(tài) SQL 語句如下："SELECT * FROM Users WHERE User 一 Name = ' " + strUserName + " 'AND Password =' " + strPassword + " '；"該 SQL 語句是否能防止 SQL 注入？請?jiān)O(shè)計(jì)一個(gè)測試用例，以測試 SQL 注入，并說明防止 SQL 注入

34、的方法。該 SQL 語句不安全，容易造成 SQL 注入。設(shè)計(jì)測試用例：【注：設(shè)計(jì)類似如下用例的一個(gè)即可，其中應(yīng)包含 SQL 功能符號，使得該 SQL 語句變得不符合設(shè)計(jì)意圖即可，例如，包含了"-"或“',DROP”等】參考用例 1:strUserName： Zhang1- strPassword：San【注：上述用例將使得該 SQL 語句變?yōu)椋篠ELECT * FROM Users WHERE UserName = 'Zhang'- AND Password =，San*;】參考用例 2:strUserName：Zhang'or 'a

35、', = 'a strPassword： San * or * 'a' ='a【注：上述用例將使得該 SQL 語句變?yōu)椋篠ELECT * FROM Users WHERE User_Name = 'Zhang' or 'a'a' AND Password = 'San' or 'a'-'a'】防止 SQL 注入的方法主要有:拼接 SQL 之前對特殊符號進(jìn)行轉(zhuǎn)義，使其SQL 語句的功能符號。本問題考查 Web 應(yīng)用安全性方面。SQL 注入是 Web 應(yīng)用安全性測試的重要方面。許多 Web 應(yīng)用系統(tǒng)采用某種數(shù)據(jù)庫，接收用戶從 Web 頁面中的輸入，完成展示相關(guān)的數(shù)據(jù)（如，檢查用戶登錄信息)、將輸入數(shù)據(jù)到數(shù)據(jù)庫（如，用戶輸入表單中數(shù)據(jù)域并點(diǎn)擊提交后，系統(tǒng)將用戶名等信息存入數(shù)據(jù)庫）等操作。在有些情況下，將用戶輸入的數(shù)據(jù)和設(shè)計(jì)好的 SQL 框架拼接后提交給數(shù)據(jù)庫執(zhí)行，就可能存在用戶輸入的數(shù)據(jù)并非設(shè)計(jì)的正確格式，就給用戶