2012年下半年（下午）《軟件評(píng)測(cè)師》真題

2012年下半年（下午）《軟件評(píng)測(cè)師》真題卷面總分：5分答題時(shí)間：240分鐘試卷題量：5題練習(xí)次數(shù)：6次

問(wèn)答題（共5題，共5分）

1.邏輯覆蓋法是設(shè)計(jì)白盒測(cè)試用例的主要方法之一，它是通過(guò)對(duì)程序邏輯結(jié)構(gòu)的遍歷實(shí)現(xiàn)程序的覆蓋。針對(duì)以下由C語(yǔ)言編寫(xiě)的程序，按要求回答問(wèn)題。

struct_ProtobufCIntRange{

intstart_value;

unsignedorig_index;

}；

typedefstruct_ProtobufCIntRangeProtobufCIntRange;

intint_range_lookup（unsignedn_ranges，constProtobufCIntRange*ranges，intvalue）{

unsignedstart，n；∥1

start=0；

n=n_ranges;

while（n>1）{//2

unsignedmid=start+n/2;

if（value＜ranges[mid].start_value）{//3

n=mid-start;//4

}

elseif（value>=ranges[mid].startvalue+

（int）（ranges[mid+1].orig_index-ranges[mid].orig_index)）{//5

unsignednew_start=mid+1;//6

n=start+n-new_start，

start=new_start;

}

else//7

return（value-ranges[mid].start_value）+ranges[mid]，orig_index;

}

if（n>0）{//8

unsignedstart_orig_index=ranges[start].orig_index;

unsignedrange_size=ranges[start+1].orig_index-start_orig_index;

if（ranges[start].start_value＜=value

&&value＜（int）（ranges[start].start_value+range_size))//9，10

return（value-ranges[start].start_value）+start_orig_index;//11

}

retun-1，//12

}//13

【問(wèn)題1】

請(qǐng)給出滿足100%DC（判定覆蓋）所需的邏輯條件。

【問(wèn)題2】

請(qǐng)畫(huà)出上述程序的控制流圖，并計(jì)算其控制流圖的環(huán)路復(fù)雜度V（G）。

【問(wèn)題3】

請(qǐng)給出【問(wèn)題2】中控制流圖的線性無(wú)關(guān)路徑。

正確答案：

您的答案：

本題解析：【問(wèn)題1】

【問(wèn)題2】

控制流圖

環(huán)路復(fù)雜度V(G)=7

【問(wèn)題3】

線性無(wú)關(guān)路徑：

1）1-2-3-4-2...

2）1-2-3-5-6-2...

3）1-2-3-5-7-13

4）1-2-8-9-10-11-13

5）1-2-89-10-12-13

6）1-2-8-9-12-13

7）1-2-8-12-13

2.某企業(yè)為防止自身信息資源的非授權(quán)訪問(wèn)，建立了如圖4-1所示的訪問(wèn)控制系統(tǒng)。

該系統(tǒng)提供的主要安全機(jī)制包括：

（1）認(rèn)證：管理企業(yè)的合法用戶，驗(yàn)證用戶所宣稱身份的合法性，該系統(tǒng)中的認(rèn)證機(jī)制集成了基于口令的認(rèn)證機(jī)制和基于PKI的數(shù)字證書(shū)認(rèn)證機(jī)制；

（2）授權(quán)：賦予用戶訪問(wèn)系統(tǒng)資源的權(quán)限，對(duì)企業(yè)資源的訪問(wèn)請(qǐng)求進(jìn)行授權(quán)決策；

（3）安全審計(jì)：對(duì)系統(tǒng)記錄與活動(dòng)進(jìn)行獨(dú)立審查，發(fā)現(xiàn)訪問(wèn)控制機(jī)制中的安全缺陷，提出安全改進(jìn)建議。

【問(wèn)題1】（6分）

對(duì)該訪問(wèn)控制系統(tǒng)進(jìn)行測(cè)試時(shí)，用戶權(quán)限控制是其中的一個(gè)測(cè)試重點(diǎn)。對(duì)用戶權(quán)限控制的測(cè)試應(yīng)包含哪兩個(gè)主要方面每個(gè)方面具體的測(cè)試內(nèi)容又有哪些

【問(wèn)題2】（3分）

測(cè)試過(guò)程中需對(duì)該訪問(wèn)控制系統(tǒng)進(jìn)行模擬攻擊試驗(yàn)，以驗(yàn)證其對(duì)企業(yè)資源非授權(quán)訪問(wèn)的防范能力。請(qǐng)給出三種針對(duì)該系統(tǒng)的可能攻擊，并簡(jiǎn)要說(shuō)明模擬攻擊的基本原理。

【問(wèn)題3】（3分）

對(duì)該系統(tǒng)安全審計(jì)功能設(shè)計(jì)的測(cè)試點(diǎn)應(yīng)包括哪些

正確答案：

您的答案：

本題解析：【問(wèn)題1】

（1）對(duì)用戶權(quán)限控制體系合理性的評(píng)價(jià)，其具體測(cè)試內(nèi)容包括；

是否采用系統(tǒng)管理員、業(yè)務(wù)領(lǐng)導(dǎo)、操作人員三級(jí)分離的管理模式。

是否具有唯一性，口令的強(qiáng)度及口令存儲(chǔ)的位置和加密強(qiáng)度等。

（2）對(duì)用戶權(quán)限分配合理性的評(píng)價(jià)，其具體測(cè)試內(nèi)容包括：

用戶權(quán)限系統(tǒng)本身權(quán)限分配的細(xì)致程度。

特定權(quán)限用戶訪問(wèn)系統(tǒng)功能的能力測(cè)試。

【問(wèn)題2】

冒充攻擊：攻擊者控制企業(yè)某臺(tái)主機(jī)，發(fā)現(xiàn)其中系統(tǒng)服務(wù)中可利用的用戶賬號(hào)，進(jìn)行口令猜測(cè)，從而假裝成特定用戶，對(duì)企業(yè)資源進(jìn)行非法訪問(wèn)。

重演攻擊：（或重放攻擊）：攻擊者通過(guò)截獲含有身份鑒別信息或授權(quán)請(qǐng)求的有效消息，將該消息進(jìn)行重演，以達(dá)到鑒別自身或獲得授權(quán)的目的，實(shí)現(xiàn)對(duì)企業(yè)資源的訪問(wèn)。

服務(wù)拒絕攻擊：攻擊者通過(guò)向認(rèn)證服務(wù)或授權(quán)服務(wù)發(fā)送大量虛假請(qǐng)求，占用系統(tǒng)帶寬并造成關(guān)鍵服務(wù)繁忙，從而使得認(rèn)證授權(quán)服務(wù)功能不能正常執(zhí)行，產(chǎn)生服務(wù)拒絕。

內(nèi)部攻擊：不具有相應(yīng)權(quán)限的系統(tǒng)合法用戶以非授權(quán)方式進(jìn)行動(dòng)作，如截獲并存儲(chǔ)。

其他業(yè)務(wù)部門的網(wǎng)絡(luò)數(shù)據(jù)流，或?qū)ο到y(tǒng)訪問(wèn)控制管理信息進(jìn)行攻擊以獲得他人權(quán)限等。

以上攻擊，任給出3種即可。

【問(wèn)題3】

對(duì)該系統(tǒng)安全審計(jì)功能設(shè)計(jì)的測(cè)試點(diǎn)應(yīng)包括：

能否進(jìn)行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲(chǔ)，集中進(jìn)行安全審計(jì)。

是否支持基于PKI的應(yīng)用審計(jì)。

是否支持基于XML等的審計(jì)數(shù)據(jù)采集協(xié)議。

是否提供靈活的自定義審計(jì)規(guī)則。

3.現(xiàn)代軟件的飛速發(fā)展，使得系統(tǒng)對(duì)軟件的依賴越來(lái)越強(qiáng)，對(duì)軟件可靠性的要求也越來(lái)越高，因此發(fā)展以發(fā)現(xiàn)軟件可靠性缺陷為目的的可靠性測(cè)試技術(shù)也日益迫切。

【問(wèn)題1】（5分）

一個(gè)完整的軟件可靠性測(cè)試如圖5-1所示。

請(qǐng)?zhí)顚?xiě)圖中的空缺（1）～（5）。

【問(wèn)題2】（5分）

解釋說(shuō)明軟件可靠性測(cè)試的目的，并說(shuō)明狹義和廣義軟件可靠性測(cè)試的區(qū)別。

【問(wèn)題3】（2分）

可靠性目標(biāo)是指客戶對(duì)軟件性能滿意程度的期望。通常采用失效嚴(yán)重程度、可靠度、故障強(qiáng)度、平均無(wú)故障時(shí)間等指標(biāo)來(lái)描述。請(qǐng)分別解釋其含義。

正確答案：

您的答案：

本題解析：【問(wèn)題1】

（1）確定可靠性目標(biāo)

（2）可靠性數(shù)據(jù)

（3）分析影響可靠性因素

（4）可靠性模型

（5）可靠性評(píng)價(jià)

【問(wèn)題2】

軟件可靠性測(cè)試的目的：1）發(fā)現(xiàn)軟件系統(tǒng)在需求、設(shè)計(jì)，編碼，測(cè)試、實(shí)施等方面的各種缺陷；2）為軟件的使用和維護(hù)提供可靠性數(shù)據(jù)：3）確認(rèn)軟件是否達(dá)到可靠性的定量要求．

廣義的軟件可靠性測(cè)試是指為了最終評(píng)價(jià)軟件系統(tǒng)的可靠性而運(yùn)用建模、統(tǒng)計(jì)，試驗(yàn)、分析、評(píng)價(jià)等一系列手段對(duì)軟件系統(tǒng)實(shí)施的一種測(cè)試．

狹義的軟件可靠性測(cè)試是指為了獲取可靠性數(shù)據(jù)，按預(yù)先設(shè)定的測(cè)試用例，在軟件的預(yù)期使用環(huán)境中，對(duì)軟件實(shí)施的一種測(cè)試．

【問(wèn)題3】

失效嚴(yán)重程度，是對(duì)用戶具有相同程度影響的失效集合，常見(jiàn)的是按照對(duì)成本影響、對(duì)系統(tǒng)能力的影響等標(biāo)準(zhǔn)劃分軟件失效的嚴(yán)重程度類。

可靠度是指軟件系統(tǒng)在規(guī)定的條件下，規(guī)定的時(shí)間內(nèi)不發(fā)生失效的概率。

故障強(qiáng)度是指單位時(shí)間軟件系統(tǒng)出現(xiàn)失效的概率。

平均無(wú)故障時(shí)間是軟件運(yùn)行后，到下一次出現(xiàn)失效的平均時(shí)間。

4.某酒店預(yù)訂系統(tǒng)有兩個(gè)重要功能：檢索功能和預(yù)訂功能。檢索功能根據(jù)用戶提供的關(guān)鍵字檢索出符合條件的酒店列表；預(yù)訂功能是對(duì)選定的某一酒店進(jìn)行預(yù)訂?，F(xiàn)需要對(duì)該系統(tǒng)執(zhí)行負(fù)載壓力測(cè)試。

該酒店預(yù)訂系統(tǒng)的性能要求為：

（1）交易執(zhí)行成功率100%；

（2）檢索響應(yīng)時(shí)間在3s以內(nèi)；

（3）檢索功能支持900個(gè)并發(fā)用戶：

（4）預(yù)訂功能支持100個(gè)并發(fā)用戶；

（5）CPU利用率不超過(guò)85%；

（6）系統(tǒng)要連續(xù)穩(wěn)定運(yùn)行72小時(shí)。

【問(wèn)題1】（3分）

簡(jiǎn)述該酒店預(yù)訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負(fù)載類型。

【問(wèn)題2】（5分）

對(duì)該系統(tǒng)檢索功能執(zhí)行負(fù)載壓力測(cè)試，測(cè)試結(jié)果如表1-1所示，請(qǐng)指出響應(yīng)時(shí)間和交易執(zhí)行成功率的測(cè)試結(jié)果是否滿足性能需求并說(shuō)明原因。

【問(wèn)題3】（5分）

對(duì)該系統(tǒng)執(zhí)行負(fù)載壓力測(cè)試，測(cè)試結(jié)果如表1-2所示，請(qǐng)指出CPU占用率的測(cè)試結(jié)果是否滿足性能需求并說(shuō)明原因。

【問(wèn)題4】（6分）

根據(jù)【問(wèn)題2】和【問(wèn)題3】的測(cè)試結(jié)果，試分析該系統(tǒng)的可能瓶頸。

正確答案：

您的答案：

本題解析：【問(wèn)題1】

該酒店預(yù)訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負(fù)載類型有：

1）并發(fā)用戶數(shù)屬于并發(fā)執(zhí)行負(fù)載。

2）連續(xù)穩(wěn)定運(yùn)行72小時(shí)屬于疲勞強(qiáng)度負(fù)載。

3）大量檢索操作屬于大數(shù)據(jù)量負(fù)載。

【問(wèn)題2】

測(cè)試結(jié)果不滿足性能指標(biāo)。當(dāng)并發(fā)用戶數(shù)為900時(shí)，響應(yīng)時(shí)間為3.7s，不滿足響應(yīng)時(shí)間小于3s的要求；當(dāng)并發(fā)用戶數(shù)為1000時(shí)，響應(yīng)時(shí)間為6.6s，交易成功率為98%，但要求檢索功能的并發(fā)用戶數(shù)最多為900，當(dāng)用戶數(shù)為1000時(shí)，不能算作滿足。（1分）

【問(wèn)題3】

測(cè)試結(jié)果不滿足性能指標(biāo)。當(dāng)900個(gè)檢索并發(fā)用戶和100個(gè)預(yù)訂并發(fā)用戶時(shí)，CPU利用率超過(guò)85%；要求檢索功能支持900個(gè)并發(fā)用戶，預(yù)訂功能支持100個(gè)并發(fā)用戶，所以在1000個(gè)檢索并發(fā)用戶和120個(gè)預(yù)訂并發(fā)用戶時(shí)CPU占用率超過(guò)85%不能算滿足。

【問(wèn)題4】

1）系統(tǒng)沒(méi)有采用合適的并發(fā)／并行策略。

2）服務(wù)器CPU性能不足。

3）數(shù)據(jù)庫(kù)設(shè)計(jì)不足或者優(yōu)化不夠。

4）服務(wù)器網(wǎng)絡(luò)帶寬不足。

5.某企業(yè)想開(kāi)發(fā)一套B2C系統(tǒng)，其主要目的是在線銷售商品和服務(wù)，使顧客可以在線瀏覽和購(gòu)買商品和服務(wù)。系統(tǒng)的用戶的IT技能、訪問(wèn)系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測(cè)試至關(guān)重要。

系統(tǒng)要求：

（1）所有鏈接都要正確；

（2）支持不同移動(dòng)設(shè)備、操作系統(tǒng)和瀏覽器；

（3）系統(tǒng)需通過(guò)SSL進(jìn)行訪問(wèn)，沒(méi)有登錄的用戶不能訪問(wèn)應(yīng)用內(nèi)部的內(nèi)容。

【問(wèn)題1】（5分）

簡(jiǎn)要敘述鏈接測(cè)試的目的以及測(cè)試的主要內(nèi)容。

【問(wèn)題2】（4分）

簡(jiǎn)要敘述為了達(dá)到系統(tǒng)要求（2），要測(cè)試哪些方面的兼容性。

【問(wèn)題3】（4分）

本系統(tǒng)強(qiáng)調(diào)安全性，簡(jiǎn)要敘述Web應(yīng)用安全性測(cè)試應(yīng)考慮哪些方面。

【問(wèn)題4】（4分）

針對(duì)系統(tǒng)要求（3），設(shè)計(jì)測(cè)試用例以測(cè)試Web應(yīng)用的安全性。

正確答案：

您的答案：

本題解析：【問(wèn)題1】

鏈接測(cè)試的目的是確保Web應(yīng)用功能能夠成功實(shí)現(xiàn)。鏈接測(cè)試主要測(cè)試如下3個(gè)方面：

1）鏈接是否能夠鏈接到該鏈接到的目標(biāo)頁(yè)面：

2）被鏈接的頁(yè)面存在；

3）測(cè)試是否存在孤立頁(yè)面。即只有通過(guò)特定URL才能訪問(wèn)到的頁(yè)面。

【問(wèn)題2】

瀏覽器兼容性測(cè)試、操作系統(tǒng)兼容性測(cè)試、移動(dòng)終端瀏覽測(cè)試、打印測(cè)試等。

【問(wèn)題3】

Web應(yīng)用安全體系測(cè)試可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等多個(gè)方面進(jìn)行。

【問(wèn)