2022下半年软件评测师考试真题及答案-下午卷二.docx

2022 下半年软件评测师考试真题及答案-下午卷试题一某酒店预订系统有两个重要功能：检索功能和预订功能。检索功能根据用户提供的关键字检索出符合条件的酒店列表；预订功能是对选定的某一酒店进展预订。现需要对该系统执行负载压力测试。该酒店预订系统的性能要求为：1交易执行成功率 100%;2检索响应时间在 3s 以内；3检索功能支持 900 个并发用户；4预订功能支持 100 个并发用户；5 CPU 利用率不超过 85%;6系统要连续稳定运行 72 小时。【问题 1】3 分简述该酒店预订系统在消费环境下承受的主要负载类型。【问题 2】5 分对该系统检索功能执行负载压力测试，测试结果如表 1-1 所示，请指出响应时间和交易执行成功率的测试结果是否满足性能需求并说明原因。表 1-1 检索功能测试结果检索执行情况并发用户数响应时间s平均值交易执行成功率5001.3100%9003.7100%10006.698%【问题 3】5 分对该系统执行负载压力测试，测试结果如表 1-2 所示，请指出 CPU 占用率的测试结果是否满足性能需求并说明原因。并发用户数CPU 占用率%表 1-2 系统测试结果效劳器资源利用情况检索功能并发用户数预订功能并发用户数平均值5005035.590010087.3100012092.6【问题 4】6 分根据【问题 2】和【问题 3】的测试结果，试分析该系统的可能瓶颈。答案：【问题 1】该酒店预订系统在消费环境下承受的主要负载类型有： 1并发用户数属于并发执行负载。2连续稳定运行 72 小时属于疲劳强度负载。3大量检索操作属于大数据量负载。【问题 2】测试结果不满足性能指标。当并发用户数为 900 时，响应时间为 3.7s，不满足响应时间小于 3s 的要求；当并发用户数为 1000 时，响应时间为 6.6s，交易成功率为 98%， 但要求检索功能的并发用户数最多为 900,当用户数为 1000 时，不能算作不满足。【问题 3】测试结果不满足性能指标。当900 个检索并发用户和 100 个预订并发用户时，CPU 利用率超过 85%;要求检索功能支持 900 个并发用户，预订功能支持 100 个并发用户，所以在 1000 个检索并发用户和 120 个预订并发用户时CPU 占用率超过 85%不能算不满足。【问题 4】1系统没有采用适宜的并发/并行策略。2效劳器CPU 性能缺乏。3数据库设计缺乏或者优化不够。4效劳器网络带宽缺乏。解析：【问题 1】本问题考察系统的负载类型。系统可能的负载类型包括并发执行负载、疲劳强度负载以及大数据量负载。针对这些负载，在进展负载压力测试时，分别需要进展并发性能测试、疲劳强度测试以及大数据量测试。此题中，要求检索功能支持 900 个并发用户，预订功能支持 100 个并发用户，这两个功能都有并发访问的要求，这属于并发执行负载；要求系统能连续稳定运行72 小时，这属于疲劳强度负载；系统存在大量并发用户进展大量的检索和预订操作，这属于大数据量负载。【问题 2】本问题考察对负载压力测试的测试结果进展分析。对检索功能来说，当检索并发用户数为 900 时，检索响应时间为 3.7 秒，不满足检索响应时间在 3 秒以内的要求。因此该测试结果不满足性能指标。当检索并发用户数为 1000 时，检索响应时间为 6.6 秒。而需求要求检索功能在支持 900 个并发用户的情况下响应时间在 3 秒以内，这样当 1000 个并发用户响应时间超出 3 秒时， 不能算作不满足性能指标。【问题 3】本问题考察对负载压力测试的测试结果进展分析。当检索功能并发用户数为 900,预订功能并发用户数为 100 时，CPU 占用率为 87.3%,不满足 CPU 利用率不超过 85%的要求。因此该测试结果不满足性能指标。当检索功能并发用户数为 1000,预订功能并发用户数为 120 时，CPU 占用率为 92.6%o 而需求要求检索功能并发用户数为 900,预订功能并发用户数为 100 的情况下，CPU 利用率不能超过 85%。这样当存在 1000 个检索功能并发用户和 120 个预订功能并发用户，而CPU 占用率超过了 85%的情况下，不能算作不满足性能指标。【问题 4】本问题考察对系统瓶颈的初步判断。根据问题 2 可以看出，当并发用户数过多时，检索响应时间不满足需求。这个问题的可能原因有三个，一是该模块程序没有采用适宜的并发/并行策略，二是数据库本身的设计或者优化不够，三是效劳器网络带宽缺乏。根据问题 3 可以看出，当并发用户数过多时，CPU 占用率不满足需求。这个问题的可能原因是效劳器CPU 本身性能不够或者程序没有采用适宜的并发/并行策略。综上，根据问题 2 和问题 3 的测试结果，本系统的可能瓶颈包括：1系统没有采用适宜的并发/并行策略；2数据库设计缺乏或者优化不够；3效劳器网络带宽缺乏；4效劳器CPU 性能缺乏。试题二逻辑覆盖法是设计白盒测试用例的主要方法之一，它是通过对程序逻辑构造的遍历实现程序的覆盖。针对以下由C 语言编写的程序，按要求答复以下问题。struct _ProtobufCIntRange int start_value; unsigned orig_index;；typedef struct _ProtobufCIntRange ProtobufCIntRange;int int_range_lookup unsigned n_ranges， const ProtobufCIntRange *ranges， int valueunsigned start，n；1start=0； n=n_ranges;whilen>1/2unsigned mid= start+ n/2;ifvalue< rangesmid.start_value/3n=mid-start;/4else ifvalue>=rangesmid.start value+intrangesmid+1.orig_index-rangesmid.orig_index)/5unsigned new_start= mid+1; n=start+n-new_start， start = new_start;/6else/7return value - rangesmid.start_value + rangesmid ， orig_index;ifn>0/8unsigned start_orig_index= rangesstart.orig_index;unsigned range_size=rangesstart+1.orig_index - start_orig_index; if rangesstart.start_value<=value&& value< intrangesstart.start_value+ range_size)/9， 10 return value - rangesstart.start_value+start_orig_index; /11return -1，/12/13【问题 1】请给出满足 100%DC 断定覆盖所需的逻辑条件。【问题 2】请画出上述程序的控制流图，并计算其控制流图的环路复杂度VG。【问题 3】请给出【问题 2】中控制流图的线性无关途径。答案：编号条件1n>12n<=13 value < rangesmid.start_value4 value >= rangesmid.start_valuevalue >= rangesmid.start_value && value >= rangesmid.start_value +5intrangesmid+1.orig_index-rangesmid.orig_indexvalue >= rangesmid.start_value && value < rangesmid.start_value +6intrangesmid+1.orig_index-rangesmid.orig_index7n>08n<=0rangesstart.start_value<=value&&value<int9rangesstart.start_value + range_sizerangesstart.start_value>value|value>=int10rangesstart.start_value + range_size【问题 1】【问题 2】环路复杂度VG=7【问题 3】线性无关途径：11-2-3-4-2 21-2-3-5-6-231-2-3-5-7-1341-2-8-9-10-11-1351-2-8-9-10-12-1361-2-8-9-12-1371-2-8-12-13解析：【问题 1】此题考察白盒测试方法中的断定覆盖法。断定覆盖指设计足够的测试用例，使得被测程序中每个断定表达式至少获得一次“真值和“假值，从而使程序的每一个分支至少都通过一次。此题中程序一共有 5 个断定，所以满足断定覆盖一共就需要 10 个逻辑条件，这些条件详见参考答案。【问题 2】此题考察白盒测试方法中的根本途径法。涉及到的知识点包括：根据代码绘制控制流图、计算环路复杂度。控制流图是描绘程序控制流的一种图示方法。其根本符号有圆圈和箭线：圆圈为控制流图中的一个结点，表示一个或多个无分支的语句；带箭头的线段称为边或连接，表示控制流。根本构造如下所示：根据题中程序绘制的控制流图如下所示。其中要特别注意的是，假设判断中的条件表达式是复合条件，即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式，那么需要改变复合条件的判断为一系列之单个条件的嵌套的判断。此题程序中，ifrangesstart.start value <= value&& value < intrangesstart.start_value + rangesize这条判断语句中的断定由两个条件组成，因此在画控制流图的时候需要拆开成两条判断语句。控制流图详见参考答案。环路复杂度用来衡量一个程序模块所包含的断定构造的复杂程度，数量上表现为独立途径的条数，即合理地预防错误所需测试的最少途径条数。环路复杂度等于图中断定节点的个数加 1，图中断定节点个数为 6,所以VG=7。【问题 3】此题考察白盒测试方法中的根本途径法。涉及到的知识点包括根据控制流图和环路复杂度确定线性无关途径。线性无关途径是指包括一组以前没有处理的语句或条件的一条途径。从控制流图来看， 一条线性无关途径是至少包含有一条在其他线性无关途径中从未有过的边的途径。对问题 2 中的控制流图，其线性无关途径的集合为：11-2-3-4-2 21-2-3-5-6-231-2-3-5-7-1341-2-8-9-10-11-1351-2-8-9-10-12-1361-2-8-9-12-1371-2-8-12-13这 7 条途径组成了问题 2 中控制流图的一个根本途径集。只要设计出的测试用例能确保这些根本途径的执行，就可以使程序中的每个可执行语句至少执行一次，每个条件的取真和取假分支也能得到测试。需要注意的是，根本途径集不是唯一的，对于给定的控制流图，可以得到不同的根本途径集。试题三某企业想开发一套B2C 系统，其主要目的是在线销售商品和效劳，使顾客可以在线阅读和购置商品和效劳。系统的用户的 IT 技能、访问系统的方式差异较大，因此系统的易用性、平安性、兼容性等方面的测试至关重要。系统要求：1所有链接都要正确；2支持不同挪动设备、操作系统和阅读器；3系统需通过SSL 进展访问，没有登录的用户不能访问应用内部的内容。【问题 1】5 分简要表达链接测试的目的以及测试的主要内容。【问题 2】4 分简要表达为了到达系统要求2，要测试哪些方面的兼容性。【问题 3】4 分本系统强调平安性，简要表达Web 应用平安性测试应考虑哪些方面。【问题 4】4 分针对系统要求3，设计测试用例以测试 Web 应用的平安性。答案：【问题 1】链接测试的目的是确保Web 应用功可以成功实现。链接测试主要测试如下3 个方面:1链接是否可以链接到该链接到的目的页面；2被链接的页面存在；3测试是否存在孤立页面。即只有通过特定URL 才能访问到的页面。【问题 2】阅读器兼容性测试、操作系统兼容性测试、挪动终端阅读测试、打印测试等。【问题 3】Web 应用平安体系测试可以从部署与根底构造、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进展。【问题 4】SQL 注入测试用例：用户名：name'or'al=a，密码：passwordor'a'='a;或者用户名：name'-,密码：password。name 为系统内有或者无的用户名。测试 SSL:某链接URL 的 s:/换成 :/。内容访问： s:/domain/foo/bar/content.doc;注:域名和途径为应用的域名和途径。内部 URL 拷贝：将登录后的某URL 拷贝出来，关闭阅读器并重启后将URL 粘贴在地址栏访问内部内容。解析：【问题 1】解析：此题考察链接测试的主要内容。链接是使用户从一个页面阅读到另一个页面的重要手段，其质量决定着功能是否可以成功实现。链接测试是Web 应用功能测试的重要内容， 测试时需要测试所有页面的外向链接、内部链接、页面中链接跳转、发送 Email 等功能性链接、是否存在孤立页面、链接的目的是否存在等等。链接测试主要测试如下3 个方面：1链接是否可以链接到该链接到的目的页面；2被链接的页面存在；3测试是否存在孤立页面。即只有通过特定URL 才能访问到的页面。【问题 2】此题考察Web 应用对不同环境的兼容性测试。Web 应用的兼容性是测试的重要方面，主要包括：阅读器兼容性测试、操作系统兼容性测试、挪动终端阅读测试、打印测试等。本系统用户可以通过不同的挪动配置进展访问，测试显示速度和流量等。不同的阅读器有不同的配置需要Web 应用兼容。Web 应用中的代码应该跨阅读器平台兼容。Web 应用中假设使用 JavaScript 或 AJAX 调用 UI 功能，完成平安检查或验证，那么就需要在阅读器兼容性方面进展更多测试，如， Internet Explorer、Firefox、Netscape Navigator、AOL、Safari 和 Opera 等各种阅读器及其不同版本。Web 应用的有些功能可能并非兼容所有的操作系统，Web 应用开发中用到的图形设计、API 接口等技术可能并非在所有操作系统平台上支持。因此需要在如Windows、Unix、Mac、Linux 和 Solaris 等不同操作系统上对Web 应用进展测试。挪动设备越来越普及，新技术层出不穷，不同挪动设备上的不同阅读器的兼容性也需要进展测试。假设 Web 应用支持打印功能，需要测试字体、页面布局、页面图片和页面大小等是否正常打印。【问题 3】Web 应用的平安性测试的体系构造和设计可以想出很多与设计有关的破绽，从而进步应用程序的整体平安性。设计时修复破绽要比在开发后期解决问题更为简单，也更经济，因为开发后期可能要进展大量的再工程处理。开发时假设考虑一些与目的部署环境相关的设计以及该环境定义的平安策略，可确保应用程序的部署更加平稳和平安。假设应用程序已创立完毕，平安测试可修复破绽并完善将来的设计。一个完好的Web 应用平安体系测试可以从部署与根底构造、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进展。【问题 4】此题考察Web 应用平安性测试方面。Web 应用的平安性测试是一项重要而庞大的工作， 需要测试内部和外部的平安性威胁。Web 应用的平安性测试需要很好地进展规划。SQL 注入测试用例：用户名：nameor'a='a，密码：password'ora'='a;或者用户名： name'-,密码：password。name 为系统内有或者无的用户名。假设登录是采用SQL 拼接而没有正常进展转义处理，那么会出现将 SQL 语句篡改成并非到达预定目的，并不管用户名密码是否正确，均可正常登录，造成平安隐患。测试 SSL:某链接URL 的 s:/换成 :/。内容访问： s:/domain/foo/bar/content.doc,注：域名和途径为应用的域名和途径。内部 URL 拷贝：将登录后的某URL 拷贝出来，关闭阅读器并重启后将URL 粘贴在地址栏访问内部内容。试题四某企业为防止自身信息资源的非授权访问，建立了如图4-1 所示的访问控制系统。1认证：管理企业的合法用户，验证用户所声称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI 的数字证书认证机制；2授权：赋予用户访问系统资源的权限，对企业资源的访问恳求进展授权决策；3平安审计：对系统记录与活动进展独立审查，发现访问控制机制中的平安缺陷， 提出平安改进建议。【问题 1】6 分对该访问控制系统进展测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面详细的测试内容又有哪些？【问题 2】3 分测试过程中需对该访问控制系统进展模拟攻击试验，以验证其对企业资源非授权访问的防范才能。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的根本原理。【问题 3】3 分对该系统平安审计功能设计的测试点应包括哪些？答案：【问题 1】1对用户权限控制体系合理性的评价，其详细测试内容包括：是否采用系统管理员、业务指导、操作人员三级别离的管理形式用户名称是否具有唯一性，口令的强度及口令存储的位置和加密强度等2对用户权限分配合理性的评价，其详细测试内容包括：用户权限系统本身权限分配的细致程度特定权限用户访问系统功能的才能测试【问题 2】冒充攻击：攻击者控制企业某台主机，发现其中系统效劳中可利用的用户账号，进展口令猜测，从而假装成特定用户，对企业资源进展非法访问。重演攻击或重放攻击：攻击者通过截获含有身份鉴别信息或授权恳求的有效消息， 将该消息进展重演，以到达鉴别自身或获得授权的目的，实现对企业资源的访问。效劳回绝攻击：攻击者通过向认证效劳或授权效劳发送大量虚假恳求，占用系统带宽并造成系统关键效劳繁忙，从而使得认证授权效劳功能不能正常执行，产生效劳回绝。内部攻击：不具有相应权限的系统合法用户以非授权方式进展动作，如截获并存储其他业务部门的网络数据流，或对系统访问控制管理信息进展攻击以获得别人权限等。以上攻击，任给出 3 种即可。【问题 3】对该系统平安审计功能设计的测试点应包括：能否进展系统数据搜集，统一存储，集中进展平安审计是否支持基于PKI 的应用审计是否支持基于XML 等的审计数据采集协议是否提供灵敏的自定义审计规那么 以上测试点，任意给出 3 个即可。解析：【问题 1】本问题考察用户权限控制相关平安测试的根本测试内容。对这部分进展平安测试应包含对用户权限控制体系合理性的评价和对用户权限分配合理性的评价，详见参考答案。【问题 2】本问题考察针对特定系统的模拟攻击实验设计。模拟攻击试验是一组特殊的墨盒测试平安，相关模拟攻击实验的设计应结合应用详细的平安机制及特点。针对系统的身份认证机制， 可设计冒充攻击试验；针对系统用于认证及授权决策的网络消息，可设计重演攻击试验；针对系统关键核心平安模块，可设计效劳回绝攻击试验；由于系统运行时涉及各种内部用户， 因此平安测试需验证系统防范内部用户的平安攻击，因此可设计内部攻击实验。【问题 3】本问题考察软件系统平安审计功能的主要测试点，在对平安审计功能进展测试时，设计的测试点详见参考答案。试题五现代软件的飞速开展，使得系统对软件的依赖越来越强，对软件可靠性的要求也越 来越高，因此开展以发现软件可靠性缺陷为目的的可靠性测试技术也日益迫切。【问题 1】一个完好的软件可靠性测试如图 5-1 所示。请填写图中的空缺15。【问题 2】解释说明软件可靠性测试的目的，并说明狭义和广义软件可靠性测试的区别。【问题 3】可靠性目的是指客户对软件性能满意程度的期望。通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来描绘。请分别解释其含义。答案：【问题 1】1确定可靠性目的2可靠性数据3分析影响可靠性的因素4可靠性模型5可靠性评价【问题 2】软件可靠性测试的目的：1发现软件系统在需求、设计、编码、测试、施行等方面的各种缺陷；2为软件的使用和维护提供可靠性数据；3确认软件是否到达可靠性的定量要求。广义的软件可靠性测试是指为了最终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系统施行的一种测试。狭义的软件可靠性测试是指为了获取可靠性数据，按预先设定的测试用例，在软件的预期使用环境中，对软件施行的一种测试。【问题 3】失效严重程度，是对用户具有一样程度影响的失效集合，常见的是按照对本钱影响、对系统才能的影响等标准划分软件失效的严重程度类。可靠度是指软件系统在规定的条件下，规定的时间内不发生失效的概率。故障强度是指单位时间软件系统出现失效的概率。平均无故障时间是软件运行后，到下一次出现失效的平均时间。解析：【问题 1】本问题考察软件可靠性测试的根本过程和步骤。完好的软件可靠性测试包括如以下图所示的过程。【问题 2】本问题考察软件可靠性测试的根本概念，包括软件可靠性测试目的，以及广义与狭义可靠性测试的根本概念。软件可靠性测试是对软件产品的可靠性进展调查、分析和评价的一种手段。它不仅仅是为了用测试数据确定软件产品是否到达可靠性目的，还要对检测出来的失效的分布、原因及后果进展分析，并给出纠正意见。可靠性测试的目的为：1发现软件系统在需求、设计、编码、测试、施行等方面的各种缺陷；2为软件的使用和维护提供可靠性数据；3确认软件是否到达可靠性的定量要求。软件可靠性测试可分为广义和狭义可靠性测试两种。广义的软件可靠性测试是指为了最终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系统施行的一种测试；狭义的软件可靠性测试是指为了获取可靠性数据，按预先设定的测试用例， 在软件的预期使用环境中，对软件施行的一种测试。狭义的软件可靠性测试是面向缺陷的测试，以用户将要使用的方式来测试软件，每一次测试代表用户将要完成的一组操作，使测试成为最终产品使用的预演。【问题 3】本问题考察可靠性目的的指标的根本概念。可靠性目的是指客户对软件性能满意程度的期望。通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来定量描绘。失效严重程度，是对用户具有一样程度影响的失效集合，常见的是按照对本钱影响、对系统才能的影响等标准划分软件失效的严重程度类。可靠度是指软件系统在规定的条件下，规定的时间内不发生失效的概率。故障强度是指单位时间软件系统出现失效的概率。平均无故障时间是软件运行后，到下一次出现失效的平均时间。