测练题软件评测师考试考练专题及答案(1)（提升版）

温故而知新，下笔如有神最近两下半年软件评测师考试专项考题训练及答案-下午卷试题一【说明】场景法是黑盒测试中重要的测试用例设计方法，通过场景描述业务流程（包括基本流（基本业务流程）和备选流（分支业务流程），设计测试用例遍历软件系统功能，验证其正确性。下面是对电子不停车收费系统（ETC）的基本流和备选流的描述。表1-1 基本流步骤步骤描述A1用例开始，ETC准备就绪，自动栏杆放下A2ETC与车辆通信，读取车辆信息A3对车辆拍照A4根据公式计算通行费用A5查找关联账户信息，确认账户余额大于通行费用A6从账户中扣除该费用A7显示费用信息A8自动栏杆打开A9车辆通过A10自动栏杆放下，ETC回到就绪状态表1-2 备选流编号名称描述B读取车辆信息出错在基本流A2步骤，ETC读取车辆信息错误（重复读取五次），不够五次则返回A2，否则显示告警信息后退出基本流C账户不存在在基本流A5步骤，在银行系统中不存在该账户信息，退出基本流D账户余额不足在基本流A5步骤，账户余额小于通行费用，显示账户余额不足警告，退出基本流E账户状态异常在基本流A5步骤，账户已销户、冻结或由于其他原因而无法使用，显示账户状态异常信息，退出基本流【问题1】使用场景法设计测试用例，指出所涉及到的基本流和备选流。基本流用A字母编号表示，备选流用表1-2中对应的字母编号表示。例如：T01： A T02： A、B 【问题2】针对问题1设计的测试用例，依次将初次读取车辆信息、最终读取车辆信息、账户号码、账户余额和账户状态等信息填入下述测试用例表中。表中行代表各个测试用例，列代表测试用例的输入值，用V表示有效数据元素，用I表示无效数据元素，n/a表示不适用，例如T01表示“成功通过”用例。表1-3 测试用例表测试用例初次读取车辆信息最终读取车辆信息账户号码账户余额账户状态预期结果T01Vn/aVVV扣除通行费，车辆顺利通过，用例结束T02IIn/an/an/a连续5次读取失败，显示警告信息，用例结束T03T04T05T06T07T08答案：【问题1】（场景顺序可以任意，重复内容不计分）共包括8个场景：T01：A （收费停车）T02：A、B （停车时，读取车辆信息出错）T03：A、C （停车时，账户不存在）T04：A、D （停车时，账户余额不足）T05：A、E （停车时，账户状态异常）T06：A、B、C （重复读才取得正确车辆信息，但出现账户不存在异常）T07：A、B、D （重复读才取得正确车辆信息，但出现账户余额不足）T08：A、B、E【问题2】测试用例初次读取车辆信息最终读取车辆信息账户号码账户余额账户状态预期结果T01Vn/aVVV扣除通行费，车辆顺利通过，用例结束T02IIn/an/an/a连续5次读取失败，显示警告信息，用例结束T03Vn/aIn/an/a账户不存在，提示警告信息，用例结束T04Vn/aVIn/a账户余额不足，提示警告信息，用例结束T05Vn/aVVI账户状态异常，提示警告信息，用例结束T06IVIn/an/a多次读取车辆信息，最终成功；账户不存在，提示警告信息，用例结束T07IVVIn/a多次读取车辆信息，最终成功；账户余额不足，提示警告信息，用例结束T08IVVVI多次读取车辆信息，最终成功；账户状态异常，提示警告信息，用例结束解析：【问题1】根据题目中题干确定的基本流和备选流，可以设计场景，每个场景覆盖一种在该案例中事件的不同触发顺序与处理结果形成的事件流，最后得出所有的测试用例。下面是所有的测试用例以及用例中所涉及的基本流与备选流。【问题2】根据问题1中设计的所有测试用例，测试人员需要设计具体的场景分析，其中应包括场景变化中系统所关心的状态信息的变化，以及测试结束后预期的结果。这样，在测试人员进行实际测试后，可以用实际输出结果与预期结果进行比较，来评价测试的结果。试题二【说明】逻辑覆盖法是设计白盒测试用例的主要方法之一，它通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。gz_open (const char *mode) char * p = (char*)mode; /1 char fmode4; char * m = fmode; char smode = 0; char level = 0; int strategy = 0; do if (*p = r) /2 smode = r; /3 if (*p >= 0&& *p <= 9) /4，5 level = *p - 0; /6 else if (*p = f) /7 strategy = 1; /8 else /9 *m+ = *p; *p+； /10 while (m != fmode + sizeof(fmode); /11 /12 【问题1】请给出满足100%DC（判定覆盖）所需的逻辑条件。【问题2】 请画出上述程序的控制流图，并计算其控制流图的环路复杂度V（G）。【问题3】假设函数gz_open的参数mode是由26个小写字母'a-'z、数字'0'-'9以及空格组成的字符串，请使用基本路径测试法构造1个测试用例，使之覆盖所有基本路径。答案：【问题1】判定覆盖即分支覆盖，对于每一个判定，都至少要取得一次真值和假值。在本题中，我们从程序中不难找出所有的逻辑判断语句，很显然在题目给出的程序中，包含的逻辑判断语句有：*p = r、*p >= 0&& *p <= 9、*p = f及m != fmode + sizeof(fmode)。那么首先是判定*p = r，应分别设置其为真与为假的情况；然后是*p >= 0&& *p <= 9，设置其为真，然后设置其为假，在为假的情况下，出现判定*p = f，分别设计其为真和假；最后是m != fmode + sizeof(fmode)，分别设置真、假即可。【问题2】控制流图环路复杂度V（G）=6【问题3】构造一个6个字符构成的字符串（设为x，y，Z，u，v，w6个字符），使得每个字符覆盖一 条基本路径。其中，x='r',y='f,z'0'-'9', u<'0', v>'9' 并且v!='f', w任意，这6个字符可任意排列。例如，mode="r0faa"。试题三【说明】在CNCERT/CC （国家计算机网络应急技术处理协调中心）处理的安全事件中，国内政府机构和重要信息系统部门的网页篡改类事件数量增长迅速。最近两年6月的某一周，中国境内仅网页被篡改的网站就有660个，其中政府网站105个。网站内容复制容易，转载速度快，后果难以预料，网页如果被篡改，将直接危害该网站的利益，尤其是门户网站作为政府发布重要新闻、重大方针政策、法规和企业信息等的重要渠道，一旦被黑客篡改，将严重损害政府和企业形象。从网站页面被篡改的角度来看，存在两种攻击的可能，一种是网站被入侵，也就是说网站页面确实被篡改了，另外一种是网站被劫持，这种情况下网站的页面实际上并没有被篡改，但是攻击者劫持了网络访问并发送欺骗页面给来访者，进而造成页面被篡改的表象。 【问题1】（6分）通过入侵从而进行网页篡改的可能途径有哪些？这些途径各对应安全系统防护体系的哪个层次？ 【问题2】（6分）针对网页被篡改的问题，从技术层面看有哪些防范措施？【问题3】（3分）现在出现了一些基于监测与恢复的页面防篡改系统，这类防篡改系统应具备哪些基本功能？答案：【问题1】要入侵来篡改网页，主要途径有如下几种：（1）通过操作系统、网络服务、数据库漏洞来获取主机的控制权，从而达到篡改网页的目的，这一类对应的安全防护体系层次是平台安全。（2）通过猜测或者破解密码来获取管理员的权限，从而达到篡改网页的目的，这一类对应的安全防护体系层次是数据安全。（3）通过Web漏洞或者设计缺陷来进行攻击入侵，从而达到篡改网页的目的，这一类对应的安全防护体系层次是应用安全。【问题2】（1）给服务器打上最新的安全补丁程序（2）封闭未用但开放的网络服务端口（3）合理设计网站程序并编写安全代码（4）设置复杂的管理员密码（5）设置合适的网站权限（6）安装专业的网站防火墙和入侵检测系统【问题3】（1）自动监控（2）自动备份和恢复（3）自动报警（4）区分合法更新与非法篡改解析：【问题1】本问题考査入侵方法和安全防护体系层次。通过入侵进而篡改页面的方法从大的方面来说可以分为三类，即通过操作系统、网络服务、数据库等漏洞获得主机控制权、通过猜测或者破解密码获得管理员密码和通过Web漏洞和设计缺陷进行攻击入侵。而安全防护体系层次分为7层，分别是实体安全、平台安全、数据安全、通信安全、应用安全、运行安全以及管理安全。通过操作系统、网络服务、数据库等漏洞获得主机控制权威胁的是平台、操作系统和基本应用平台的安全，因此对应于平台安全；通过猜测或者破解密码获得管理员密码威胁的是系统数据的机密性和访问控制，因此对应于数据安全；而通过Web漏洞和设计缺陷进行攻击入侵威胁的是业务逻辑或者业务资源的安全，因此对应于应用安全。【问题2】本问题考査防篡改的技术防范措施。对于通过操作系统、网络服务、数据库等漏洞获得主机控制权这一类篡改途径，需要的防范措施是给服务器打安全补丁、关闭不需要的网络服务端口以及设置防火墙；对于通过猜测或者破解密码获得管理员密码这一类篡改途径，需要的是设置足够复杂的管理员密码并定期进行更换；而对于通过Web漏洞和设计缺陷进行攻击入侵，则需要对网站程序进行合理的设计与实现，考虑到可能的安全威胁，另外需要设置合适的网站访问权限。【问题3】本问题考查网页防篡改系统的基本功能。对一个专业的网页防篡改系统来说，首先必须能对所有页面进行自