收藏
下载资源

2014软件评测师试题和答案

上传人:飞****9 文档编号:143095439 上传时间:2020-08-26 格式:PDF 页数:26 大小:680.18KB
返回 下载 相关 举报
2014软件评测师试题和答案_第1页
第1页 / 共26页
2014软件评测师试题和答案_第2页
第2页 / 共26页
2014软件评测师试题和答案_第3页
第3页 / 共26页
2014软件评测师试题和答案_第4页
第4页 / 共26页
2014软件评测师试题和答案_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《2014软件评测师试题和答案》由会员分享,可在线阅读,更多相关《2014软件评测师试题和答案(26页珍藏版)》请在金锄头文库上搜索。

1、2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 一 页 共 二十六 页 2014 软件评测师试题和答案 试题一 (共 20 分) 阅读下列 C 程序,回答问题 1 至问题 3,将解答填入答题纸的对应栏内。 【C 程序】 int GetMaxDay( int year, int month) int maxday=0;/1 if( month=1”); 然后通过 setString(.);的方式设置参数值后加以执行。 设计测试用例以测试 SQL 注入,并说明该实现是否能防止 SQL 注入。 参考答案: 【问题 1】: 用例 1:; 2014 软件评测师试题

2、和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十一 页 共 二十六 页 用例 2: 防御 XSS 攻击方法:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的 编码,以防止任何已成功注入的脚本在浏览器端运行。 防御规则: 1. 不要在允许位置插入不可信数据 2. 在向 HTML 元素内容插入不可信数据前对 HTML 解码 3. 在向 HTML 常见属性插入不可信数据前进行属性解码 4. 在向 HTML JavaScript DATA Values 插入不可信数据前,进行 JavaScript 解码 5. 在像 HTML 样式属性插入不可信数据前,进行 CSS 解码 6.

3、 在向 HTML URL 属性插入不可信数据前,进行 URL 解码 【问题 2】: 图形测试主要检查点: 颜色饱和度和对比度是否合适 需要突出的链接的颜色是否容易识别 是否正确加载所有的图像 【问题 3】: 页面的一致性如何 在每个页面上是否设计友好的用户界面和直观的导航系统 是否考虑多种浏览器的需要 是否建立了页面文件的命名体系 是否充分考虑了合适的页面布局技术,如层叠样式表、表格和帧结构等 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十二 页 共 二十六 页 【 问题 4】: 能防止 SQL 注入 Pstmt.setString(1 or 1 =

4、 1,status) Pstmt.setString(2 or 1 = 1,orderID) 试题分析: 【问题 1】 XSS 攻击:跨站脚本攻击(Cross Site Scripting)是一种经常出现在 web 应用中的计算 机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如 这些代码包括 HTML 代码和客户端脚本。 用例 1:; 用例 2: 防御 XSS 攻击方法:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的 编码,以防止任何已成功注入的脚本在浏览器端运行。 防御规则: 不要在允许位置插入不可信数据 在向 HTML 元素内容插入不可信数据前对

5、HTML 解码 在向 HTML 常见属性插入不可信数据前进行属性解码 在向 HTML JavaScript DATA Values 插入不可信数据前,进行 JavaScript 解码 在像 HTML 样式属性插入不可信数据前,进行 CSS 解码 在向 HTML URL 属性插入不可信数据前,进行 URL 解码 【问题 2】 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十三 页 共 二十六 页 图形测试,主要检查点如下: 颜色饱和度和对比度是否合适 需要突出的链接颜色是否容易识别 是否正确加载所有的图形 【问题 3】 页面是信息的载体,直接体现 WEB

6、 沾点的设计水平,一个好的页面因信息层次清晰而 让用户一目了然;因涉及巧妙、精致美观而让用户流连忘返;因恰当使用各种元素能 完成许多功能而不显拥挤。对页面设计的测试可以从以下几个方面进行: 页面的一致性如何 在每个页面上是否设计友好的用户界面和直观的导航系统 是否考虑多种浏览器的需要 是否建立了页面文件的命名体系 是否充分考虑了合适的页面布局技术,如层叠样式表、表格和帧结构等 【问题 4】 SQL 注入是黑客攻击数据库的一种常用方法,其实就是通过把 SQL 命令插入到 Web 表单或页面请求的查询字符串中提交,最终达到欺骗服务器执行恶意的 SQL 命令,来 达到攻击的目的。 本题中给出的 SQ

7、L 语句不能防止 SQL 注入,设置的这个测试用例只要包含 SQL 功能 符号,然后使得 SQL 语句不符合原设计意图即可。例如,包含了“-” 或“”等, 那么整个语句为: 将 intClientSubmitScore 为 85 DELETE FROM score -; strStudentID 为 1000 这样 SQL 语句执行就变成:UPDATE StudentScore SET score =85 DELETE FROM 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十四 页 共 二十六 页 score- WHERE Stuent_ID= 10

8、00; 防止 SQL 注入的有些方法主要有: 拼接 SQL 之前先对特殊符合进行转义, 使其不作为 SQL 的功能符合即可。 对于本题由于将 SQL 语句中的输入值, 使用参数方式传送, 而且 SQL 语句进行预编译, 这样由于防止注入式攻击,测试用例设计可参考: Pstmt.setString(1 or 1 = 1,status) Pstmt.setString(2 or 1 = 1,orderID) 试题四(共 20 分) 阅读下列说明,回答问题 l 至问题 3,将解答填入答题纸的对应栏内。 【说明】 某大型教育培训机构近期上线了在线网络学校系统, 该系统拓扑结构如图4-1所示。 企业信息

9、中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分 为网校学员、教师及管理员三类,其中网校学员采用用户名口令机制进行认证,教 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十五 页 共 二十六 页 师及管理员采用基于公钥的认证机制。 【问题 1】(8 分) 为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明 可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时, 请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。 【问题 2】(6 分) 为提高系统认证环节安全性,系统在网校教

10、师及管理员登录认证时引入了 USB Key, 请说明对公钥认证客户端进行安全测试时,USB Key 的功能与性能测试应包含哪些基 本的测试点。 【问题 3】(6 分) 系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情 况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本 的测试点。 参考答案: 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十六 页 共 二十六 页 【问题 1】: 通过安全策略设置密码的最小长度,设置口令锁定,使用通信加密技术,对存储在数 据库中的数据进行加密、设置访问控制等 对于用户名称的

11、测试关键在于测试用户名称的惟一性: 1. 同时存在的用户名称在不考虑大小写的状态下,不能同名 2. 对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的的用 户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名 测试用户口令的强度和口令存储的位置和加密强度: 1. 最大口令时效 2. 最小口令时效 3. 口令历史 4. 最小口令长度 5. 口令复杂度 6. 加密选项 7. 口令锁定 8. 账户复位 【问题 2】: 功能测试: 是否具备基础加/解密服务功能 能否为应用提供相对稳定的统一安全服务接口 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师

12、试题和答案 第 十七 页 共 二十六 页 能否提供对多密码算法的支持 随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且 不影响上层的应用系统 性能测试: RSA 算法密钥长度能否达到 10242048 位,ECC 算法密钥长度能否达到 192 位 如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签 名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求 处理性能如公钥密码算法签名等是否具有扩展能力 【问题 3】: 对证书业务服务系统的功能测试: 1. 证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作,是否提

13、供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布 以及证书审核注册中心的设立、审核及管理等功能 2. 按使用对象分类,系统是否能提供人员证书、设备证书、机构证书三种类型的证 书 3. 是否可以提供加密证书和签名证书 4. 数字证书格式是否采用 X.509 V4 5. 系统是否提供证书申请、身份审核、证书下载等服务功能 6. 证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式 7. 系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务 证书业务服务系统性能测试: 1. 检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力 2014

14、 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十八 页 共 二十六 页 2. 关键部分是否采用双机热备份和磁盘镜像 3. 是否满足系统的不间断运行、在线故障修复和在线系统升级 4. 是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有 34 倍的冗余,如有必要,需要测试系统的并发压力承受能力。 试题分析: 【问题 1】 口令攻击目前常见的方式有:社会工程学;暴力破解;弱口令扫描;密码监听等,对 于网校网站针对社会工程学方面仅能友善提醒相关人员保护密码;对于密码监听,可 以采用通信加密的方式来从技术方面进行一定的保护;对于弱口令扫描,可以通过配 置安

15、全策略让用户设置一个安全密码,避免设置弱密码,增加口令破解的难度,同时 设置密码锁定策略,可以有效的方式密码扫描和暴力破解;对于存储在数据库服务器 中的用户密码则可以通过加密方式和数据库的访问控制来保证密码存储的安全 对于用户名称的测试关键在于测试用户名称的唯一性。唯一性的体现基本基于以下两 个方面: 1)同时存在的用户在不考虑大小写的状态下,不能够同名 2)对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的用户在 用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名 用户口令应当满足当前流行的控制模式,注意测试用户口令的强度和口令存储的位置 和加密强度: 最大口令时效

16、 最小口令时效 口令历史 2014 软件评测师试题和答案 2014 软件评测师试题和答案软件评测师试题和答案 第 十九 页 共 二十六 页 最小口令长度 口令复杂度 加密选项 口令锁定 账户复位 【问题 2】 本题引入 USB-Key 认证方式,该认证采用的是 PKI 认证方式,测试是对 USB-Key 相 关的公钥客户进行的功能和性能测试,对于公钥功能和性能进行测试主要包括如下内 容: 功能测试: 是否具备基础加/解密服务功能 能否为应用提供相对稳定的统一安全服务接口 能否提供对多密码算法的支持 随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且 不影响上层的应用系统 性能测试: RSA 算法密钥长度能否达到 10242048 位,ECC 算法密钥长度能否达到 192 位 如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签 名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求 处理性能如公钥密码算法签名等是否具有扩展能力 【问题 3】 对证书业务服务系统的功能测试: 2014 软件

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号