下半年下午 软件测评师 试题及答案与解析全国软考真题.docx

1、下半年下午 软件测评师 试题及答案与解析全国软考真题2014年下半年下午 软件测评师 考试试题-案例分析-答案与解析试题一（共15分） 【说明】阅读下列C程序，回答问题1至问题3，将解答填入答题纸的对应栏内。【C程序】int GetMaxDay( int year, int month) int maxday=0； /1 if( month=1&month=1 & month = 12)这条判断语句中的判定由两个条件组成，因此在画控制流图的时候需要拆开成两条判断语句。同理，if(month=4|month=6|month=9|month=11)这条判断语句中的判定由4个条件组成，因此在画控制流

2、图的时候需要拆开成4条判断语句。这里需要注意的是，如果复合条件之间是“&”的关系，则拆开后反应在控制流图上是沿左子树往下，反之如果条件之间是“| ” 的关系，则在控制流图上是沿右子树往下。程序的环路复杂度等于控制流图中判定节点的个数加1，本题控制流图中判定节点个数为10,所以V(G)=11。【问题3】请给出问题2中控制流图的线性无关路径。【答案解析】【试题分析】本问题考查白盒测试用例设计方法中的基本路径法。涉及到的知识点是根据控制流图和环路复杂度给出线性无关路径。线性无关路径是指包含一组以前没有处理的语句或条件的路径。从控制流图上来看，一条线性无关路径是至少包含一条在其他线性无关路径中从未有过

3、的边的路径。程序的环路复杂度等于线性无关路径的条数，所以本题中应该有11条线性无关路径。试题二（共15分）阅读下列说明，回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某商店为购买不同数量商品的顾客报出不同的价格，其报价规则如表2-1所示。如买11件需要支付10*30+1*27=327元,买35件需要支付10*30+10*27+10*25+5*22=930元现在该商家开发一个软件,输入为商品数C(1=C=100),输出为因付的价钱P。 【问题1】请采用等价类划分法为该软件设计测试用例(不考虑C为非整数的情况).【答案解析】【试题分析】本题考查黑盒测试法及应用。本问题考查黑盒测试用例设计

4、方法之等价类划分法。等价类划分法是把程序的输入域按规则划分为若干子集，然后从每个子集中选取一具有代表性的数据作为测试用例。本题中规定了C的取值范围（1 =C= 100)，按规则可以划分为一个有效等价类C|l =C= 100和两个无效等价类C|C 100。表2-1中对C取不同值有不同的处理，因此上述有效等价类还可以进一步细分为4个等价类C|1 =C= 10、C| 11 =C=20、C|21 =C=30.C|31 =C= 100。这样一共得到6个等价类，包括4个有效等价类C|1=C=10、C|11=C=20、C|21=C=30C|31=C=100和两个无效等价类C|C100.设计用例时从这6个等价

5、类中任选一个代表数据即可。【问题2】请采用边界值分析法为该软件设计测试用例(不考虑健壮性测试,既不考虑C不在1到100之间或者是非整数的情况).【答案解析】【试题分析】边界值分析法作为等价类划分法的一种补充，是把等价类上的边界取值作为测试用例的一种测试方法。题目中要求不考虑健壮性测试，也就是说不用考虑无效等价类的边界取值，剩下4个等价类中有1、10、11、20、21、30、31、100这8个边界值，然后每个等价类中再取1个任意值，一共得到12个边界值的测试用例。【问题3】列举除了等价类划分法和边界值分析法以外的三种常见的黑盒测试用例设计方法。【答案解析】错误推测法，因果图法，判定表驱动法，正交

6、试验法，功能图法。【试题分析】黑盒测试方法除了等价类划分法和边界值分析法之外，还包括错误推测法，因果图法，判定表驱动法，正交试验法，功能图法等。试题三（共20分）阅读下列说明，回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】某大型披萨加工和销售商为了有效管理披萨的生产和销售情况，欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发，页面中采用表单实现数据的提交与交互，使用图形（Graphics）以提升展示效果。 【问题1】设计两个表单项输入测试用例，以测试XSS（跨站点脚本）攻击。系统设计时可以采用哪些技术手段防止此类

7、攻击。【答案解析】XSS (跨站点脚本攻击）是一种注入式攻击，主要通过恶意脚本进行攻击，任何脚本如都不该被接受。（1） alert(Wufff! )（2）click me!防止的主要手段是对功能符号进行编码（转义)。【试题分析】此类题目要求考生阅读题目对现实问题的描述，根据对问题的分析，回答测试有关的问题。本题目说明中除了功能背景之外，给出了几个技术点，即采用Java EE平台，页面中采用表单实现数据的提交与交互，使用图形（Graphics)以提升展示效果。本问题考查Web应用安全性测试的XSS攻击。XSS攻击测试是Web应用安全性测试的主要内容之一。许多Web应用系统在某些情况下，接收页面上

8、传的内容，并入新页面，作为新页面的内容。例如，在新闻网用户可以对新闻进行评论，用户可以输入如下带有HTML标记的内容：在用户提交之后，标记将提交到服务器上，并在有新用户访问新的页面中显示，此时用户所看到的网页中包含以上标记的部分元素可能是：从用户的角度看，该网页中就出现了弹出窗口提示，显示Hello World!”。如下图所示：即:用户输入的内容已经被浏览器成功执行。再如输入如下内容：在用户提交之后，后续再访问时，用户所看到的网页中包含以上标记的部分元素可能是：即新用户所看到网页中显示“Click me!”。当用户鼠标移过此文字时，就会弹出窗口（左侧为Chrome弹出，右侧为IE9直接给出的提

9、示窗口，多次鼠标滑过操作Chrome提示窗口多了一行浏览器对阻止这类代码的创建新窗口的选项，firefox类似)：而如果这类代码都可以执行，就存在被真正恶意攻击者攻击的可能，而且可能造成各类安全问题。所以网站提交代码中的任何脚本、页面功能符号都不应该被直接接受作为功能符号在后续使用。本题目说明中采用表单实现数据提交与交互，在提交数据时，对数据的内容中包含的特殊内容要进行测试。在测试用例时，要考虑HTML标记符、脚本。所以测试用例的设计主要考虑、等功能符号。在页面上真正需要HTML标记的，在接收到服务器端时，先进行转义。【问题2】简述图形测试的主要检查点。【答案解析】（1）颜色饱和度和对比度是否

10、合适；（2）需要突出的链接的颜色是否容易识别；（3）是否正确加载所有的图形。【试题分析】本问题考查页面的展示效果方面的测试。Web页面展示效果在用户界面友好性方面非常重要，是用户界面测试的主要内容之一。图形测试主要检查图片大小、颜色饱和度和对比度是否合适、需要突出的链接的颜色是否容易识别、是否正确加载等等。【问题3】 简述页面测试的主要方面。【答案解析】（1）页面的一致性；（2）在每个页面上是否设计友好的用户界面和直观的导航系统；（3）是否考虑多种浏览器的需要；（4）是否建立了页面文件的命名体系：（5）是否充分考虑了合适的页面布局技术，如层叠样式表、表格和帧结构等。【试题分析】本问题考查Web

11、应用页面测试。Web页面测试内容包括：页面一致性、用户友好性、浏览器兼容性、布局合理性、直观的导航等。要关注页面是否一致，每个页面上是否设计友好的用户界面，导航系统是否直观，是否考虑浏览器的兼容性，元素布局是否合理，功能块布局是否合理，页面颜色搭配是否合理，字体大小是否合理等方面。另外，还要考虑页面文件的命名体系是否建立。【问题4】系统实现时，对销售订单的更新所用的SQL语句如下：然后通过setString(.)；的方式设置参数值后加以执行。设计测试用例以测试SQL注入，并说明该实现是否能防止SQL注入。【答案解析】设计如下测试：【注：设计类似如下用例即可，其中包含SQL功能符号使SQL变为不

12、符合设计意图即可】采用传递参数的形式，Java的JDBC驱动自动会将其按照相应的类型处理，功能符号会进行转义。因此，该SQL语句是安全。【试题分析】许多Web应用系统采用某种数据库，接收用户从Web页面中输入，完成展示相关存储的数据（如检查用户登录信息)、将输入数据存储到数据库（如用户输入表单中数据域并点击提交后，系统将信息存入数据库）等操作。在有些情况下，将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行，就可能存在用户输入的数据并非设计的正确格式，就给恶意用户提供了破坏的机会，即SQL注入。恶意用户输入不期望的数据，拼接后提交给数据库执行，造成可能使用其他用户身份，查看其他用户的私

13、密信息，还可能修改数据库的结构，甚至是删除应用的数据库表等严重后果。SQL注入在使用SSL 的应用中仍然存在，甚至是防火墙也无法防止SQL注入。因此，在测试Web应用时，需要认真仔细设计测试用例，采用Web漏洞扫描工具等进行检查，进行认真严格的测试，以保证不存在SQL注入机会。本系统实现时，对销售订单的更新所用的SQL语句如下：然后通过setString(.);的方式设置参数值后加以执行。在SQL语句中采用参数的方式传递前台传递来的值，因为不论是什么值，都会只作为setString(.)的参数值，不会作为SQL语句的其他功能符，所以本SQL语句更新订单的方式是防止SQL注入的。设计如下测试SQ

14、L注入的测试用例：检查执行结果，或者传递给数据库的SQL语句，会发现所有用例中的功能字符都会经过特定的转义后作为status和OrderlD的值。和拼接SQL的方式不同，采用参数形式传递时，Java的JDBC驱动自动会将其按照相应的类型处理，功能符号会进行转义。因此，测试用例中的注释-、OR等都会作为参数的值，不会作为功能符，也就不会改变SQL语句本身的功能结构，该SQL语句是安全的。试题四（共20分）阅读下列说明，回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某大型教育培训机构近期上线了在线网络学校系统，该系统拓扑结构如图4-1所示。企业信息中心目前拟对该系统用户认证机制进行详细的

15、安全性测试，系统注册用户分为网校学员、教师及管理员三类，其中网校学员采用用户名口令机制进行认证，教师及管理员采用基于公钥的认证机制。 【问题1】为防止针对网校学员的口令攻击，请从口令的强度、传输存储及管理等方面，说明可采取哪些安全防护措施。相应地，对于网校学员所采用的口令认证机制进行测试时，请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。【答案解析】 (1) 可采取的安全防护措施包括：口令强度：可设置最小口令长度，同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。口令传输存储：可采用加密或Hashing手段，系统服务端存储的用户口令可加密或H

16、ashing后存储，网络传输的用户口令可加密或Hashing后进行传输。口令管理：可设置最大口令时效强制用户定期更新口令，引入口令锁定机制以应对口令猜测攻击，引入口令历史强制用户设置新口令等。(2) 对口令认证机制测试应包含的基本测试点：对用户名称测试的主要测试点在于测试用户名称的唯一性，即测试同时存在的用户名称在不考虑大小写的情况下，不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。【试题分析】软件系统的安全性是信息安全的一个重要组成部分，针对程序和数据的安全性测试与评估是软件

17、安全性测试的重要内容，本题考查软件安全性测试的相关知识。本问题考查考生对基于口令的用户认证机制相关安全测试内容的了解。基于口令的认证是最简单的用户认证方式，口令具有共享秘密的属性，该方式也容易受到相应的口令攻击。为防范口令攻击，通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施，具体措施可包括设置最小口令长度，同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度；采用加密或Hashing手段，系统服务端存储的用户口令可加密或Hashing后存储，网络传输的用户口令可加密或Hashing后进行传输；设置最大口令时效强制用户定期更新口令，引入口令锁定机制以

18、应对口令猜测攻击，引入口令历史强制用户设置新口令等。对用户名称测试的主要测试点在于测试用户名称的唯一性，即测试同时存在的用户名称在不考虑大小写的情况下，不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式，主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。【问题2】为提高系统认证环节安全性，系统在网校教师及管理员登录认证时引入了USB Key，请说明对公钥认证客户端进行安全测试时，USB Key的功能与性能测试应包含哪些基本的测试点。【答案解析】 (1)功能测试是否支持AES、RSA等常用加解密算法。是否提供外部接口以支持用户证书及

19、私钥的导入。是否提供外部接口支持将数据传入Key内，经过公钥/私钥计算后导出。是否能实现USB Key插入状态实时监测，当USB Key意外拔出时是帝能自动锁定用户状态。是否使用口令进行保护。(2)性能测试是否具备私钥不能导出的基本安全特性。Key内加解密算法的执行效率是否满足系统最低要求。【试题分析】USB Key内置单片机或智能卡芯片有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中，理论上无法读取，因此可保证用户认证的安全性。针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点

20、包括是否支持AES、RSA等常用加解密算法；是否提供外部接口以支持用户证书及私钥的导入：是否提供外部接口支持将数据传入Key内，经过公钥/私钥计算后导出；是否能实现USB Key插入状态实时监测，当USB Key意外拔出时是否能自动锁定用户状态；是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性；Key内加解密算法的执行效率是否满足系统最低要求等。【问题3】系统证书服务器主要提供证书审核注册管理及证书认证两项功能，根据系统实际情况，目前只设置人员证书，请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。【答案解析】(1) 功能测试系统是否提证书的申请、审

21、核、签发与管理功能。系统是否提供证书撤销列表的发布和管理等功能。系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务。是否可以提供加密证书和签名证书。证书格式是否采用标准X.509格式。(2) 性能测试检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。关键部分是否采用双机热备和磁盘镜像等安全机制。是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要。是否满足需求中预测的最大数景用户正常访问需求，且是否具备34倍冗余，并根据需要测试证书服务器的并发处理能力。【试题分析】按题目描述，系统证书服务器主要提供证书审核注册管理及证书认证两项功能，因此针对证书服务器的安全测试也应主

22、要涵盖这两项主要功能的相应测试。功能测试的基本测试点包括系统是否提证书的申请、审核、签发与管理功能：系统是否提供证书撤销列表的发布和管理等功能：系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务：是否可以提供加密证书和签名证书：证书格式是否采用标准X.509格式等。性能测试的基本测试点包括检査证书服务器的处理性能是否具备可伸缩配買及扩展能力，关键部分是否采用双机热备和磁盘镜像等安全机制；是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要；是否满足需求中预测的最大数量用户正常访问需求；且是否具备34倍冗余，并根据需要测试证书服务器的并发处理能力等。试题五（共20分）阅读下

23、列说明，回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】某嵌入式刹车控制软件，应用于汽车刹车控制器，该软件需求如下：1模式选择：采集模式控制离散量信号In-D1并通过模式识别信号灯显示软件当前工作模式。在信号In-D1为低电平时进入正常工作模式（模式识别信号灯为绿色），为高电平时进入维护模式（模式识别信号灯为红色）。软件在正常工作模式下仅进行刹车控制和记录刹车次数，在维护模式下仅进行中央控制器指令响应。2刹车控制：采用定时中断机制，以5ms为周期采集来自驻车器发出的模拟量信号In-A1以及来自刹车踏板发出的模拟量信号In-A2，并向刹车执行组件发送模拟量信号Out-A1进行刹车控制。模

24、拟量信号说明：1）In- A1、In-A2以及Out-Al信号范围均为0.0V, 10.0V，信号精度均为0.1V;2）Out-A1信号的计算方法为：Out-Al=In-Al+ 0.3*ln-A2，在计算完成后需要在满足信号精度的要求下进行四舍五入及限幅处理。3记录刹车次数；在Out-A1大于4V时，读出非易失存储器NVRAM中保存的刹车次数记录进行加1操作，然后保存至非易失存储器NVRAM申。4响应中央控制器指令；接收来自中央控制器的串行口指令字In-S1，回送串行口响应字Out-Sl。当接收的指令字错误时，软件直接丢弃该命令字，不进行任何响应。指令字及响应字说明如表5-1所示。 【问题1】

25、在不考虑测量误差的情况下，根据所设计的输入填写表5-2中的空(1)(4)。【答案解析】 (1) 4.6V (2) 7.3V (3) 10.0V (4) 10.0V【试题分析】本题考查软件测试的一些基本概念及依据需求进行测试用例设计的能力。此题目要求考生认真阅读题目所给的软件需求描述的软件工作过程及通信协议，了解刹车控制软件的工作流程，结合软件测试的一些基本概念，在刹车控制软件中进行实际应用。此问题主要考查对题目描述需求的阅读理解能力，主要对需求中模拟量信号说明部分进行理解正确，即“模拟量信号说明：1) In_A1、 In_A2以及Out_A1信号范围均为 0.0V，10.0V，信号精度均为0.

26、1V； 2) Out_A1信号的计算方法为：Out_Al = In_A1+ 0.3xin_A2,在计算完成后需要在满足信号精度的要求下进行四舍五入及限幅处理。”本题中空（1)处直接使用公式计算即可；根据公式计算空（2)处为7.34,而根据需求精度为0.1，所以需要四舍五入为7.3;根据公式计算空（3)处为10.1，满足精度要求，但是需要限幅为10:根据公式计算空（4)处为13,需要限幅为10。【问题2】请简述本软件串行输入接口测试的测试策略及测试内容。针对表5-1中“读取刹车次数指令”进行鲁棒性测试时应考虑哪些情况？【答案解析】测试策略包括测试正常和异常指令的响应。测试内容包括读取刹车次数和清

27、除刹车次数两种指令。对“读取刹车次数指令”鲁棒性测试时应考虑输入接口帧头错误、指令码错误、帧长错误、帧尾错误以及整个指令长度超过4B的情况。【试题分析】本问题主要考查测试的基本概念及应用。对所有的测试而言，都必须进行正常测试和异常测试，在本题中对测试对象实例化为串行输入接口。串行输入接口在本题的需求描述中，根据表5-1内容，负责接收读取刹车次数和清除刹车次数两种指令，故测试内容为此两种指令。对“读取刹车次数指令”进行鲁棒性测试时应考虑的情况，其实也是接口鲁棒性测试概念的一个实例化，对接口的数据包而言，至少应该包括帧头错误、数据长度错误、数据错误、校验和错误、校验码错误、帧尾错误以及其他防止指令

28、错误手段的错误等。对本题的实例化而言，具体包括帧头错误、指令码错误、帧长错误、帧尾错误以及整个指令长度超过4字节的情况。【问题3】某测试人员设计了如表5-3所示的操作步骤，对模式选择功能进行测试（表中END表示用例到此结束）。为进一步提高刹车控制软件的安全性，在需求中增加了设计约束：软件在单次运行过程中，若进入正常工作模式，则不得再进入维护模式。请参照表5-3的测试用例完成表5-4，用于测试该设计约束。【答案解析】【试题分析】本问题中如果不考虑约束，软件工作状态从组合的角度来说，表5-2的测试顺序完全符合要求。但是许多软件在实际使用中，由于真实情况的限制，不能从理论的情况进行组合，对一些条件必须要进行约束。比如本题中，在单次进入正常工作模式后，就不能进入维护模式，因为维护模式是一种检修模式，不能再正常工作中，进行检修，所以必须保证在正常工作模式下，对维护模式命令不响应。所以此题的前提条件应该为“上电前置In_D1为高电平，给测试环境上电，模式识别信号灯为红色”，即在上电后首先让工作模式为维护模式；然后再发送进入正常工作模式命令，灯变绿，进入工作模式； 最后在正常工作模式下，发送进入维护模式命令，此时软件应该不响应，灯继续为绿色，表示在工作模式，完成带约束条件的状态转