当前位置：首页 > article >正文

软件评测师案例真题笔记

article 2025/6/6 16:59:42

2009

软件测试质量
软件测试质量管理要素包括：
•测试过程，例如技术过程、管理过程、支持过程。
•测试人员及组织。
•测试工作文档，例如测试计划、测试说明、测试用例、测试报告、问题报告。

软件测试质量控制的主要方法包括：
•测试文档评审。
•测试活动审核。
•制定质量保证计划。
•采取背靠背测试。

测试用例覆盖率=测试需求对应数目/测试需求数目。
缺陷修复率=累计关闭的缺陷数/累计打开的缺陷数。

缺陷探测率=测试人员发现的缺陷数/ (测试人员发现的缺陷数+用户发现的缺陷数）

Web 测试相关
主要负载类型有:
（1）并发用户的操作属于并发执行负载。
（2）连续稳定运行12小时属疲劳强度负载。
（3）大量稿件的查询操作属于大数据量负载。

性能测试中应测试的关键指标包括：
（1）并发用户数。某一物理时刻同时向系统提交请求的用户数。
（2）事务执行响应时间。是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔，是衡量特定类型应用事务性能的重要指标，标志了用户执行一项操作大致需要多长时间。
（3）交易执行吞吐量（trans/s)。每秒钟执行的业务数，或系统服务器每秒钟能够处理的交易数。

并发用户：指某一物理时刻同时向系统提交请求的用户。
在线用户：指在某段时间内访问系统的用户，这些用户并不一定同时向系统提交请求。

系统连续运行12小时完成的总业务量为1000笔，系统能够提供的最大交易执行吞吐量为200笔/小时，因此系统吞吐量在极限情况下，完成1000笔业务需要的时间就是测试周期，BP 1000/200=5小时。
原因：在增加单位时间的负载情况下，需要缩短测试周期，保证系统在12小时内的总业务量。

使用场景法设计测试用例，指出所涉及到的基本流和备选流。

判定覆盖、条件覆盖、基本路径覆盖对应逻辑条件

考查信息系统安全体系的全面分析^
1.实体安全（物理安全)；
2.通信安全（网络安全)：
3.平台安全（主机安全)；
4.应用安全；
5.数据安全；
6.运行安全；
7.管理安全。

考查主机层平台操作系统安全测试的主要方面。
1.是否关闭或下载了不必要的服务和程序；
2.是否存在不必要的账户；
3.权限设置是否合理；
4.安装相应的安全补丁程序的情况：
5.操作系统日志管理等。

考查应用层安全中日志测试的主要内容。
日志应当记录所有用户访问系统的操作内容，包括登录用户名称、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间和登录机器的IP等。
测试报告应对日志的完整性、正确性做出评价，以及系统是否提供了安全日志的智能分析能力，是否按照各种特征项进行日志统计。

2010

场景法是黑盒测试中重要的测试用例设计方法。目前多数软件系统都是用事件触发来控制业务流程，事件触发时的情景便形成了场景，场景的不同触发顺序构成用例。
场景法通过场景描述业务流程（包括基本流（基本流程）和备选流（分支流程）），设计用例遍历软件系统功能，验证其正确性。

本题考查两个知识点：
（1）测试工作与开发工作如何配合；
（2）测试的对象包括哪些。
测试工作开展得太晚。（1分）
测试工作应该覆盖需求分析、概要设计、详细设计、编码等前期阶段，而不应该在系统开发初步完成后才开始。（2分）

本题考查功能测试的依据，正确的依据应该是需求规格说明书，而不是用户界面，因为界面实现的功能是否正确的理解和表达了用户需求为不可知。
测试人员功能测试的方法不正确。
系统功能测试应该追溯到用户需求，针对界面进行功能测试是错误的。

本题考査两个知识点：
（1）缺陷管理的流程和1R责；
（2）回归测试的概念。
答案要点如下：
（1）开发工程师无权决定是否延期或者暂停修改某一缺陷；
（2）测试工程师认可暂停修复缺陷的决定是不合理的；
（3）测试工程师应该跟踪缺陷状态，直至确定修改后关闭缺陷，才是完成了测试任务；
（4）回归测试应该执行所有的用例，不是仅仅执行与该缺陷有关的用例；
（5）产品发布前，应该对发现的缺陷进行评审；
（6）应该分析缺陷修复情况之后才可以发布产品。

本题考查配置管理的知识点。
产品最后由开发人员直接发布不合理。（1分）
（基线库中的产品应该是最后经过测试的。）实际最后发布的产品应该从产品库中提取。

目的：保证数据在传输过程中数据的保密性（机密性）和一致性（完整性）；（每答对一个得1分，共2分）
基本方法：验证和侦听
本题考查用户口令管理和网站登录控制的基本措施。
用户口令管理：口令长度、复杂度（特殊字符）、时效（定期更改)；（每答对一个得1分，最多2分）
用户登录控制；多次登录延时、账户锁定、验证码。（每答对一个得1分，最多2分）

本题考查负载测试和压力测试的概念。
（1）负载测试模拟系统真实使用环境执行性能测试，考核系统在日常业务运行和高峰期运行期间的性能是否满足需求。
（2）压力测试模拟系统的性能极限点执行性能测试，用来发现系统的性能瓶颈点。

本题考查应用服务器和数据库服务器的监控指标。有关的监控指标很多，关键指标如下。
（1）应用服务器关键指标：操作系统指标、缓存状况、连接池、执行队列等。（答对1个即给1分，最多3分）
（2）数据库服务器关键指标：操作系统指标、缓存命中率、数据库进程占用的CPU时间、数据库进程使用的内存量、锁资源使用情况。（答对1个即给1分，最多3分）

关键指标判断原则为：
•响应时间遵照3/5/8原则，大于8秒是不合理的；
• CPU平均占用率应小于85%;
•内存页交换速率Page in/s平均值不能大于80，否则预示物理内存不足。

系统存在的性能瓶颈可能包括：
（1）应用服务器物理内存不够。
（2）数据库服务器的CPU性能不足。
（3）数据库设计有问题或没有优化。

2011

黑盒场景法
场景法是黑盒测试中重要的测试用例设计方法，通过场景描述业务流程（包括基本流（基本业务流程）和备选流（分支业务流程)），设计测试用例遍历软件系统功能，验证其正确性。
技巧：用例和用例数据是匹配的，可以相互验证

判断覆盖 - 逻辑条件、基本路径
控制流图、环路复杂度

通过入侵进而篡改页面的方法从大的方面来说可以分为三类，即
通过操作系统、网络服务、数据库等漏洞获得主机控制权、
通过猜测或者破解密码获得管理员密码、
通过Web漏洞和设计缺陷进行攻击入侵。

而安全防护体系层次分为7层，分别是实体安全、平台安全、数据安全、通信安全、应用安全、运行安全以及管理安全。
通过操作系统、网络服务、数据库等漏洞获得主机控制权威胁的是平台、操作系统和基本应用平台的安全，因此对应于平台安全；
通过猜测或者破解密码获得管理员密码威胁的是系统数据的机密性和访问控制，因此对应于数据安全；
而通过Web漏洞和设计缺陷进行攻击入侵威胁的是业务逻辑或者业务资源的安全，因此对应于应用安全。

1）给服务器打上最新的安全补丁程序
（2）封闭未用但开放的网络服务端口
（3）合理设计网站程序并编写安全代码
（4）设置复杂的管理员密码
（5）设置合适的网站权限
（6）安装专业的网站防火墙和入侵检测系统

解析：本问题考査防篡改的技术防范措施。
对于通过操作系统、网络服务、数据库等漏洞获得主机控制权这一类篡改途径，需要的防范措施是
给服务器打安全补丁、关闭不需要的网络服务端口以及设置防火墙；
对于通过猜测或者破解密码获得管理员密码这一类篡改途径，需要的是设置足够复杂的管理员密码并定期进行更换；
而对于通过Web漏洞和设计缺陷进行攻击入侵，则需要对网站程序进行合理的设计与实现，考虑到可能的安全威胁，
另外需要设置合适的网站访问权限。

防篡改系统基本功能
（7）自动监控
（8）自动备份和恢复
（9）自动报警
（10）区分合法更新与非法篡改
解析：本问题考查网页防篡改系统的基本功能。
对一个专业的网页防篡改系统来说，首先必须能对所有页面进行自动监控，一旦发现非法篡改后能自己报警，并找到一个最新的备份自动回复，此外，这个系统也必须能够区分出某一次的更新是属于合法的更新还是非法的篡改。

链接测试是Web应用功能测试的重要内容，测试时需要测试所有页面的外向链接、内部链接、页面中链接跳转、发送Email等功能性链接、是否存在孤立页面、链接的目标是否存在等等。
链接测试主要测试如下3个方面：
（1）每个链接是否能够链接到目标页面
（2）被链接的页面是否存在
（3）是否存在孤立页面

招聘系统的兼容性测试：
（1）平台兼容性和浏览器兼容性。

通信吞吐量：P=N (并发用户的数量=50) T (每单位时间的在线事务数量=5) * D(事务服务器每次处理的数据负载=12KB/s) =505*12 = 3000KB/s。

设计测试用例：
【注：设计类似如下用例的一个即可，其中应包含SQL功能符号，使得该SQL语句变得不符合设计意图即可，例如，包含了"–"或“',DROP…”， or ’a’='a 等】

'–'是SQL中注释符号

负载压力测试的目的包括：
在真实环境下检测系统性能，评估系统性能以及服务等级的满足情况；
预见系统负载压力承受力，在应用实际部署之前，评估系统性能；
分析系统瓶颈、优化系统。

本性能测试指标包括：并发用户数、响应时间、吞吐量、资源利用率等。
该系统涉及的性能指标包括：并发用户数，响应时间和资源利用率。

系统瓶颈：
（1）数据接收模块软件没有采用合适的并发/并行策略
（2）服务器CPU性能不足
（3）数据库设计不足或者优化不够

2012

系统可能的负载类型包括并发执行负载、疲劳强度负载以及大数据量负载。

测试结果不满足性能指标。
当并发用户数为900时，响应时间为3.7s，不满足响应时间小于3s的要求；
当并发用户数为1000时，响应时间为6.6s，交易成功率为98%，但要求检索功能的并发用户数最多为900,当用户数为1000时，不能算作不满足。

测试结果不满足性能指标。
当900个检索并发用户和100个预订并发用户时，CPU利用率超过85%;
要求检索功能支持900个并发用户，预订功能支持100个并发用户，所以在1000个检索并发用户和120个预订并发用户时CPU占用率超过85%不能算不满足。

瓶颈
(1)系统没有采用合适的并发/并行策略。
(2)服务器CPU性能不足。
(3)数据库设计不足或者优化不够。
(4)服务器网络带宽不足。

链接测试的目的是确保Web应用功能够成功实现。链接测试主要测试如下3个方面:
(1)链接是否能够链接到该链接到的目标页面；
(2)被链接的页面存在；
(3)测试是否存在孤立页面。即只有通过特定URL才能访问到的页面。

Web应用的兼容性是测试的重要方面，主要包括：浏览器兼容性测试、操作系统兼容性测试、移动终端浏览测试、打印测试等。

(1)对用户权限控制体系合理性的评价，其具体测试内容包括：
•是否采用系统管理员、业务领导、操作人员三级分离的管理模式
•用户名称是否具有唯一性，口令的强度及口令存储的位置和加密强度等
(2)对用户权限分配合理性的评价，其具体测试内容包括：
•用户权限系统本身权限分配的细致程度
•特定权限用户访问系统功能的能力测试

冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。
重演攻击（或重放攻击)：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业资源的访问。
服务拒绝攻击：攻击者通过向认证服务或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。
内部攻击：不具有相应权限的系统合法用户以非授权方式进行动作，如截获并存储其他业务部门的网络数据流，或对系统访问控制管理信息进行攻击以获得他人权限等。

对该系统安全审计功能设计的测试点应包括：
•能否进行系统数据收集，统一存储，集中进行安全审计
•是否支持基于PKI的应用审计
•是否支持基于XML等的审计数据采集协议
•是否提供灵活的自定义审计规则以上测试点，任意给出3个即可。

可靠性测试基本流程
(1)确定可靠性目标
(2)可靠性数据
(3)分析影响可靠性的因素
(4)可靠性模型
(5)可靠性评价

软件可靠性测试的目的：
（1）发现软件系统在需求、设计、编码、测试、实施等方面的各种缺陷；
（2）为软件的使用和维护提供可靠性数据；
（3）确认软件是否达到可靠性的定量要求。

广义的软件可靠性测试是指为了最终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系统实施的一种测试。
狭义的软件可靠性测试是指为了获取可靠性数据，按预先设定的测试用例，在软件的预期使用环境中，对软件实施的一种测试。

失效严重程度，是对用户具有相同程度影响的失效集合，常见的是按照对成本影响、对系统能力的影响等标准划分软件失效的严重程度类。

可靠度是指软件系统在规定的条件下，规定的时间内不发生失效的概率。

故障强度是指单位时间软件系统出现失效的概率。

平均无故障时间是软件运行后，到下一次出现失效的平均时间。

2013

常见的性能测试包括负载测试、压力测试、并发性能测试、疲劳强度测试和大数据量测试等。
负载压力测试是指在一定约束条件下测试系统所能承受的并发用户量、运行时间、数据量等，以确定系统所能承受的最大负载压力。
负载压力测试是性能测试的重要组成部分，包括负载测试、压力测试、并发性能测试、疲劳强度测试、大数据量测试等内容。

负载测试是通过逐步增加系统负载，测试系统性能的变化，并最终确定在满足性能指标的情况下，系统所能承受的最大负载量所进行的测试。

压力测试是通过逐步增加系统负载，测试系统性能的变化，并最终确定在什么负载条件下，系统性能处于失效状态，以此来获得系统能提供的最大服务级别的测试。所以说，压力测试是一种特定类型的负载测试。

并发性能测试，包含了负载测试和压力测试。通过逐渐增加并发用户数负载，直到系统的瓶颈或者不能接收的性能点，通过综合分析交易执行指标、系统资源监控指标来确定系统并发性能。并发性能测试是负载压力测试中的重要内容。

疲劳强度测试，通常是采用系统稳定运行情况下能够支持的最大并发用户数，或者日常运行用户数，持续执行一段时间业务，保证达到系统疲劳强度需求的业务量，通过综合分析交易执行指标、系统资源监控指标，确定系统处理最大工作量强度1生能的过程。一般情况下利用疲劳强度测试老模拟系统日常业务操作。

大数据量测试，包括独立的数据量测试和综合数据量测试。
独立的数据量测试是针对某些系统存储、传输、统计、査询等业务进行的大数据量测试；
综合数据量测试是指和压力测试、负载性能测试、疲劳强度测试相结合的综合测试。

“在响应时间为2s时，系统所能承受的最大并发访问用户的数量”属于负载测试，而“系统在多大的并发访问用户数量下，响应时间不可接受(例如超过2s)”属于压力测试。

该软件公司的做法是错误的。
该软件公司在负载压力测试中没有进行功能校验，忽略了负载压力情况下的功能不稳定问题。没有正确的功能保证，负载压力性能测试就失去了意义。
在测试过程中进行功能校验，需要记录业务操作结果，会导致资源消耗、操作行为增加以及产生大量日志等问题。

本问题考查负载压力测试中的功能内容校验。
负载压力测试中的功能内容校验，指的是在进行负载压力测试时，需要核查功能的执行是否正常，在功能异常或错误时，需要记录所产生的错误。如果没有幻能执行结果正确的保证，负载压力性能测试失去了意义。对本为题而言，如果不能保证业务操作的正确，则平均每秒事务数的指标是不正确的。
执行功能内容校验也会带来一些副作用，包括资源消耗、操作行为增加，以及产生大量日志等问题。

表单是Web应用的重要组成部分，用于获取用户的信息并和用户进行交互。因此，表单测试是Web应用功能测试的重要内容，需要测试:
①首先检查每个字段的所有验证；
②检查字段的缺省值；
③表单中的错误输入；
④如果有创建、删除、查看和修改表单，要进行测试。

防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义或者等价方式，使其不作为SQL语句的功能符号。验证所有输入数据能从输入层面防止SQL注入。
SQL注入在使用SSL的应用中仍然存在，甚至是防火墙也无法防止SQL注入。因此，在测试Web应用时，需要认真仔细设计测试用例，采用Web漏洞扫描工具等进行检查，以保证不存在SQL注入机会。

对于故障恢复与容灾备份措施，应从以下三个方面进行测试：
①故障恢复：测试整个ERP系统是否存在单点故障；任何一台设备失效时，能否按照预定义的规则实现快速切换；是否采用磁盘镜像技术，实现主机系统到磁盘系统的高速连接。
②数据备份：ERP系统关键业务是否具备必要的双机热备或磁盘镜像等热备份机制；对于整个ERP业务，是否提供外部存储器备份和恢复机制，保证系统能够根据备份策略恢复到指定时间的状态。
③容灾备份：ERP系统是否建立异地容灾备份中心，当主中心发生灾难性事件时，可由备份中心接管所有务；备份中心是否有足够的带宽确保与主中心的数据同步，是否有足够处理能力来接管主中心的业务，能否确保快速可靠地与主中心的应用切换。

敏感数据加密保护和数据库访问方式的测试内容为：
①敏感数据的加密保护：由于ERP系统的用户权限和口令存储在数据库中，因此需要测试相应敏感数据是否采用加密算法进行加密保护。
②数据库访问方式测试：是否为不同应用系统或业务设置不同的专门用户用于数据库访问，应杜绝在代码中使用超级用户及默认密码对数据库进行访问。

安全防护策略是软件系统对抗攻击的主要手段，常见的安全防护策略有以四种：
①安全日志：用于记录非法用户的登录名称、操作时间及内容等信息，以便发现问题并提出解决措施；安全日志仅记录相关信息，不对非法行为做出主动反应，属于被动防护的策略；
②入侵检测系统：一种主动的网络安全防护措施，从系统内部或各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击，通常入侵检测系统还应对入侵行为做出紧急响应；
③漏洞扫描：对软件系统及网络系统进行与安全相关的检测，以找出安全隐患和可被黑客利用的漏洞；
④隔离防护：将系统中的安全部分与非安全部分进行隔离的措施，主要的技术手段有防火墙和隔离网闸等，其中
防火墙主要用于内网和外网的逻辑隔离，
而网闸则主要用于实现内网和外网的物理隔离。

针对防火墙的测试点：
(1)是否支持交换和路由两种工作模式；
(2)是否支持对FTP、HTTP、SMTP等服务类型的访问控制；
(3)是否考虑防火墙的冗余设计；
(4)是否支持对日志的统计分析功能，日志是否可存储在本地或网络数据库中；
(5)对防火墙或受保护内网的非法攻击，是否提供多种告警方式和多种级别的告警。

针对入侵检测系统的测试点：
①能否在检测到入侵事件时，自动执行切断服务、记录入侵过程、报警等动作；
②是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载；
③能否提供多种方式对监视引擎和检测特征进行定期更新；
④内置的网络能否使用状态监控工具或网络监听工具。

软件可靠性是在规定的条件下，在规定的时间内，软件不引起系统失效的概率。
影响软件可靠性的主要因素包括：运行剖面、软件规模、软件内部结构、软件的开发方法和开发环境、软件的可靠性投入等。

失效概率是软件从运行开始到某一时刻t为止，出现失效的概率；
可靠度是软件系统在规定的条件下，规定的时间内不发生失效的概率；
平均无失效时间指软件运行后，到下一次出现失效的平均时间。
软件可靠度R(t)与软件失效概率之间的关系为R(t)=1-F(t)，题目中t=1000，F(t)=0.0012,因此R(t)=1-0.0012=0.9988,显然不符合该嵌入式软件设计要求的0.9999无失效概率。
失效概率是软件从运行开始到某一时刻t为止，出现失效的概率：
可靠度是软件系统在规定的条件下，规定的时间内不发生失效的概率；
平均无失效时间指软件运行后，到下一次出现失效的平均时间。

2014

多个条件或时，也是连续的，

黑盒测试方法除了等价类划分法和边界值分析法之外，还包括错误推测法，因果图法，判定表驱动法，正交试验法，功能图法等。

XSS (跨站点脚本攻击）是一种注入式攻击，主要通过恶意脚本进行攻击，任何脚本如
（2）<b οnmοuseοver=alert(‘Wufff!’)>click me!
防止的主要手段是对功能符号进行编码（转义)。

图形测试的主要检查点如下：
（1）颜色饱和度和对比度是否合适；
（2）需要突出的链接的颜色是否容易识别；
（3）是否正确加载所有的图形。
4.检查图片大小

Web页面测试内容包括：页面一致性、用户友好性、浏览器兼容性、布局合理性、直观的导航等。
要关注页面是否一致，
每个页面上是否设计友好的用户界面，导航系统是否直观，
是否考虑浏览器的兼容性，
元素布局是否合理，功能块布局是否合理，页面颜色搭配是否合理，字体大小是否合理等方面。
另外，还要考虑页面文件的命名体系是否建立。

(1) 可采取的安全防护措施包括：
①口令强度：可设置最小口令长度，同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储：可采用加密或Hashing手段，系统服务端存储的用户口令可加密或Hashing后存储，网络传输的用户口令可加密或Hashing后进行传输。
③口令管理：可设置最大口令时效强制用户定期更新口令，引入口令锁定机制以应对口令猜测攻击，引入口令历史强制用户设置新口令等。

(2) 对口令认证机制测试应包含的基本测试点：
①对用户名称测试的主要测试点：测试用户名称的唯一性，即测试同时存在的用户名称在不考虑大小写的情况下，不能够同名。
②对用户口令测试应主要测试：用户口令是否满足当前流行的控制模式。
主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。

客户端USB Key测试的基本测试点：
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内，经过公钥/私钥计算后导出。
④是否能实现USB Key插入状态实时监测，当USB Key意外拔出时是帝能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。

证书服务器测试的基本测试点：
(1) 功能测试
①系统是否提证书的申请、审核、签发与管理功能。
②系统是否提供证书撤销列表的发布和管理等功能。
③系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务。
④是否可以提供加密证书和签名证书。
⑤证书格式是否采用标准X.509格式。

(2) 性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。
②关键部分是否采用双机热备和磁盘镜像等安全机制。
③是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要。
④是否满足需求中预测的最大数景用户正常访问需求，且是否具备3~4倍冗余，并根据需要测试证书服务器的并发处理能力。

缺陷探测率（DDP) =测试发现的软件问题/软件总的发现问题。

2015

基本路径测试法是在程序控制流图的基础上，通过分析控制构造的环路复杂性，导出基本可执行路径集合，从而设计测试用例的方法。

线性无关路径是指包含一组以前没有处理的语句或条件的路径。从控制流图上来看，一条线性无关路径是至少包含一条在其他线性无关路径中从未有过的边的路径。程序的环路复杂度等于线性无关路径的条数，所以本题中应该有5条线性无关路径。

采用决策表法设计测试用例分为四步：
1)确定规则的个数；
2)列出所有的条件桩和动作桩；
3)填入条件项和动作项；
4)合并相似规则，化简决策表。

通信吞吐量：P=N(并发用户的数量=300)×T(每单位时间的在线事务数量=16)×D(事务服务器每次处理的数据负载=16kB/S)
本系统满足条件(1)时的通信吞吐量为：300×16×16=76800kB/S(75MB/S)。

(1) 打分为任何在1~5范围内的数字，评价为任意文本；
(2) 打分为任何在1~5范围外的数字，评价为任意文本；
(3) 打分和评价其中任一字段包含HTML标签，如：，等；
(4) 打分和评价其中任一字段包含SQL功能符号，如包含’OR、2015’OR‘1’=‘1’等。

该平台需应对的常见安全攻击手段应包括：
(1) 网络侦听：指在数据通信或数据交互的过程中，攻击者对数据进行截取分析，从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2) 冒充攻击：攻击者采用口令猜测、消息重演与篡改等方式，伪装成另一个实体，欺骗安全中心的认证及授权服务，从而登录系统，获取对系统的非授权访问。
(3) 拒绝服务攻击：攻击者通过对网络协议的实现缺陷进行故意攻击，或通过野蛮手段耗尽被攻击对象的资源，使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃，从而使系统无法提供正常的服务或资源访问。
(4) Web安全攻击：攻击者通过跨站脚本或SQL注入等攻击手段，在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令，从而旁路系统正常访问控制或恶意盗取用户信息。

可采用的基本安全性测试方法包括：
(1) 功能验证：采用软件测试中的黑盒测试方法，对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试，验证所提供的相应功能是否有效。
(2) 漏洞扫描：借助于特定的漏洞扫描工具，对安全中心本地主机、网络及相应功能模块进行扫描，发现系统中存在的安全性弱点及安全漏洞，从而在安全漏洞造成严重危害之前，发现并加以防范。
(3) 模拟攻击试验：模拟攻击试验是一组特殊的黑盒测试案例，通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4) 侦听测试：通过典型的网络数据包获取技术，在系统数据通信或数据交互的过程中，对数据进行截取分析，从而发现系统在防止敏感数据被窃取方面的安全防护能力。

密钥管理功能的基本测试点：
(1) 功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能；
②密钥库管理功能是否完善；
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密；
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备；
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2) 性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求；
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能；
③是否支持密钥用户要求年限的保存期；
④是否具备异地容灾备份；
⑤是否具备可伸缩配置及扩展能力；
⑥关键部分是否采用双机热备和磁盘镜像。

加解密服务功能的基本测试点：
(1)功能测试
①系统是否具备基础加解密功能；
②能否为应用提供相对稳定的统一安全服务接口；
③能否提供对多密码算法的支持；
④随着业务量的逐渐增加，是否可以灵活增加密码服务模块，实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度；
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求；
③处理性能如公钥密码算法签名等是否具备可扩展能力。

等价类划分法中等价类表的构造
技巧填写描述

等价类划分法中根据等价类表编写测试用例。
技巧：填写具体数值

非功能性测试：
性能测试、负载测试、压力测试、并发测试、配置测试、可靠性测试、容量测试、失效恢复测试、链接速度测试等。

表单输入测试需要验证：输入域、错误输入是否有错误提示、必填项和选填项。

1）测试一：任一标准等价类测试输入，满足股票代码为111111，交易数量为100整数倍且小于等于10万，买/卖价格为包含两位小数的正数，如“111111，300，6.78”。
测试二至测试四：分别为任一健壮等价类测试输入，即每个输入有一个无效数据，其余输入为有效数据。如“11111A，300，6.78”“111111，301，6.78”“111111，300，6.789”。
（也可以釆用边界值分析法来设计测试用例，这样测试二至测试四需要选择一些边界上的值，比如交易数量取0、100、99900、100000、100100等情况。）
（2）测试一：其中一字段包含任何HTML，如，或任何脚本如

面向对象单元测试的主要对象：类和类方法
在继承关系上，若某方法在测试父类时已经测试过，需要测试的情况：
1）继承的方法在子类中进行了修改
（2）继承的方法调用了修改过的方法

若子类的某方法继承了其基类，方法进行了修改，则需要进行测试；
另一种情况是，继承的方法没有修改，用基类的方法，但是该方法调用了子类修改过的其他方法时，也需要对该方法进行测试。

2017

针对用户手机号码获取验证码进行注册的功能，设计4个测试用例。（假设合法手机号码为11位数字，验证码为4位数字）
第一类：12345654321，2017 (说明：针对合法的手机号码和正确的验证码)；
第二类：1234565432A或1234565432或123456543210，2017 (说明：针对手机号不合法字符输入、手机号长度少于11位、手机号长度大于11位)；

第三类：12345654321，201x或201或20111 (说明：针对合法的手机号码和错误的验证码）；
第四类：体现安全性的测试输入：其中任意输入域包含任何HTML，如：，或任何脚本如：

前提：一个油箱和一个发动机同时故障时
在实现第6条功能时，设计人员采用了下列算法:
if ((BL故障) && ( EL故障))
{BR供油ER；BL断油；EL断油；}
if ((BL故障) && ( ER故障))
{BR供油EL；BL断油；ER断油；}
if ((BR故障) && ( EL故障))
{BL供油ER；BR断油；EL断油；}
if ((BR=故障) && ( ER==故障))
{BL供油EL；BR断油；ER断油；}

按照上述语句覆盖要求，语句覆盖就要使得问题1中的所有语句执行一次，问题1中共有四个语句块，由于问题1中程序片段实现第6条功能，即当一个油箱和一个发动机同时故障时的情况，这个前提条件导致问题1中四个语句块都不可能同时执行两个或两个以上，每次只能执行一个，故为了使问题1中的四个语句块都执行一次，就最少需要4个测试用例来覆盖。

按照上述条件覆盖要求，条件覆盖要使得每个判断中的每个条件的可能取值至少满足一次。对问题1中的四个判断进行分析，每个判断有两个条件，如果每个判断中的两个条件同时取真或同时取假，则就可以保证条件覆盖的要求，故每个判断最少需要2个测试用例就可满足条件覆盖要求，四个判断最少就需要8个测试用例来满足条件覆盖要求。

按照上述MC/DC覆盖要求，即每个判断中的每个条件必须能够独立影响一个判断的输出。对问题1中的四个判断进行分析，每个判断有两个条件，两个条件共有四种组合，即TT (TRUE 和TRUE)、TF (TRUE和FALSE)、FT (FALSE和TRUE)和FF(FALSE和FALSE)。但是由于每个判断均为“逻辑与”条件，当前一个条件为FALSE时，其整个判断值为FALSE，后一个条件的真或假均不能独立影响整个判断的输出，所以只需要TT、TF和FX (X表示后一个条件为TRUE或FALSE都可以）三种情况就可以，故每个判断至少需要3个测试用例满足MC/DC覆盖要求，总共四个判断至少需要12个测试测试用例来满足MC/DC覆盖要求。

语句覆盖要求设计适当数量的测试用例，运行被测程序，使得程序中每一条语句至少被运行一遍，语句覆盖在测试中主要用于发现错误语句。
条件覆盖要求设计适当数量的测试用例，运行被测程序，使得每个判断中的每个条件的可能取值至少满足一次。
修正判定条件覆盖（MC/DC)要求设计适当数量的测试用例，保证在一个程序中每一种输入输出至少得出现一次，在程序中的每一个条件必须产生所有可能的输出结果至少一次，并且每个判断中的每个条件必须能够独立影响一个判断的输出，即在其他条件不变的前提下仅改变这个条件的值，而使判断结果改变。

2018

判定覆盖指设计足够的测试用例，使得被测程序中每个判定表达式至少获得一次“真”值和“假”值，从而使程序的每一个分支至少都通过一次。
本问题考查白盒测试用例设计方法：基本路径测试法。涉及到的知识点包括：根据代码绘制控制流图、计算环路复杂度。
控制流图是描述程序控制流的一种图示方式，它由节点和定向边构成。控制流图的节点代表一个基本块，定向边代表控制流的方向。
程序的环路复杂度等于控制流图中判定节点的个数加1，本题控制流图中判定节点个数为3，所以V(G)=4。

等价类划分法的等价类表是把程序的输入域按规则划分为若干子集。
在编写等价类划分法的测试用例时，如果输入全部都来自有效等价类，则从每个有效等价类选取一个代表元素作为输入，如果要考虑无效等价类，则每次只选取一个无效等价类，其余输入都从有效等价类中选取。

Web应用测试除了类似传统软件系统测试的性能测试、压力测试等之外，还需要测试页面、链接、浏览器、表单和可用性等多个方面，由于对Web应用访问的大众化特点，对安全性尤其要重视。

兼容性测试矩阵是进行兼容性测试的有效工具，针对该应用需支持的不同移动设备进行操作系统平台和浏览器的兼容性测试。包括移动操作系统Windows Phone、iOS和Android等，与其上可以使用的浏览器移动版IE、UCWEB、Google Chrome、Android browser和Safari等进行结合，构建兼容性二维矩阵，行列分别表示操作系统平台和浏览器。测试时分别在单元格记录操作系统和浏览器组合的测试情况。

测试的输入包括不同情况、安全性方面的SQL注入和XSS跨站攻击等。

Apdex指数=(满意：小于T的样本数+容忍：T~4T的样本数/2)/总样本数

类之间的关系
多态机制
若子类的某方法继承了其基类，方法进行了修改，则需要进行测试；另一种情况是，继承的方法没有修改，用基类的方法，但是该方法调用了子类修改过的其他方法时，也需要对该方法进行测试。

在测试方法calPoints()之前，需要先构造对象，设置文章数和文章阅读数，即要先调用构造函数new User()，然后setArticleNum()、setReadNum(),之后要打印结果看是否计算正确，需要调用getPoints()查看结果。
User和Expert是父类和子类的关系，User和System是关联关系，所以顺序是User-Expert-System。
本题干“类Expert重新实现了类User的方法calPoints()”是一个的多态机制。在这种情况下，需要同时考虑类User和类Expert的calPoints()。

2019

1）依据说明3中的描述，再结合本题中时薪（hourSalary）是属性，所测试序列如下：
new Engineer（）-setWorkTime（）-calReward（）-getReward（）。（注意本题时薪属于属性，不是方法/函数，后面getReward（）可以不写）

2021

2
常见的黑盒测试用例设计方法包括等价类划分法、边界值分析法、错误推测法、因果图法、判定表驱动法、正交试验设计法、功能图法、场景法等。
本案例中使用了等价类划分法，但是只对输入进行了等价类划分，输出都是M，没有考虑其他输出值，因此还需要对输出进行等价类划分补充用例。此外，本案例没有考虑各等价类边界上的取值，而根据经验，错误往往发生在边界的取值上，因此还需要考虑边界值分析法补充用例。

3
(1)表单输入测试需要验证：输入域、错误输入是否有错误提示、必填项和选填项。
(2) Web应用系统在某些情况下，接收页面上传的内容，并作为新页面的内容，若：输入的内容中输入某些功能符号可能会传到后台引起安全问题。
在测试设计时，在输入域包含HTML, 如：,或脚本，如：

4
面向对象的测试阶段分为：面向对象分析的测试，面向对象设计的测试，面向对象编程的测试，面向对象单元测试，面向对象集成测试，面向对象确认和系统测试。

通过方法直接修改成员属性，破坏了面向对象的封装性，当需要修改对象成员变量时，应当调用对应的set方法。

为了提高软件后续的可维护性，要求嵌入式软件的注释率一般不小于代码行数的20%

缺陷探测率（DDP）=测试发现的软件问题/软件总的发现问题

2022

线性无关路径：
一条线性无关路径是至少包含一条在其他线性无关路径中从未出现过的边的路径
技巧：列出全部路径，后面的去重，

1.1-2-3-4-6-7-8-9-10-11-12-13-10…
8.1-2-3-4-6-7-8-9-10-11-12-10…
7.1-2-3-4-6-7-8-9-10-11-14-10…
6.1-2-3-4-6-7-8-9-10-15
5.1-2-3-4-6-7-8-10-11-12-13-10…

4.1-2-3-4-6-8-9-10-11-12-13-10…

2.1-2-5-6-7-8-9-10-11-12-13-10…
3.1-2-3-5-6-7-8-9-10-11-12-13-10…

用户权限测试
(1)对用户权限控制体系合理性的评价，其具体测试内容包括：
•是否采用系统管理员、业务领导、操作人员三级分离的管理模式
•用户名称是否具有唯一性，口令的强度及口令存储的位置和加密强度等
(2)对用户权限分配合理性的评价，其具体测试内容包括：
•用户权限系统本身权限分配的细致程度
•特定权限用户访问系统功能的能力测试

对该系统安全审计功能设计的测试点应包括：
•能否进行系统数据收集，统一存储，集中进行安全审计
•是否支持基于PKI的应用审计
•是否支持基于XML等的审计数据采集协议
•是否提供灵活的自定义审计规则