2012年下半年软件评测师下午试题解析及答案详解

《2012年下半年软件评测师下午试题解析及答案详解》由会员分享，可在线阅读，更多相关《2012年下半年软件评测师下午试题解析及答案详解（11页珍藏版）》请在金锄头文库上搜索。

1、2012年下半年软件评测师下午试题解析及答案试题一（共试题一（共19分）负载压力测试分）负载压力测试【说明】 某酒店预订系统有两个重要功能，检索功能和预订功能。检索功能根据用户提供的关键字 检索出符合条件的酒店列表，预订功能是对选定的某一酒店进行预订，现需要对该系统执行负 载压力测试。 该酒店预订系统的性能要求为： （1）交易执行成功率100%； （2）检索响应时间在3s以内； （3）检索功能支持900个并发用户； （4）预订功能支持100个并发用户； （5）CPU利用率不超过85%； （6）系统要连续稳定运行72小时 【问题1】（3分） 简述该酒店预订系统在生产环境下承受的主要负载类型。 【

2、问题2】（5分）对系统检索功能执行负载压力测试，测试结果如表11所示。请指出响应时间和交易执行成功 率的测试结果是否满足性能需求并说明原因。 表11 检索功能测试结果 检索执行情况 并发用户数响应时间（s）（平均值 ）交易执行成功率5001.3100% 9003.7100% 10006.698% 【问题3】（5分）对系统检索功能及预订功能执行负载压力测试，测试结果如表12所示。请指出服务器资源利 用情况cpu占用率的测试结果是否满足性能需求并说明原因。 表12 系统测试结果 服务器资源利用情况 并发用户数 检索功能并发用户预订功能并发用户数CPU占用率（%） （平均值） 5005035.5 9

3、0010087.3 100012092.6【问题4】（6分）根据【问题2】和【问题3】的测试结果，试分析该系统的可能瓶颈。参考答案： 问题问题1、该酒店预订系统在生产环境下承受的主要负载类型： 检索功能、预订功能并发用户的操作是属于并发执行负载； 连续运行72小时是属于疲劳强度负载； 大量“稿件查询”操作是属于大数据量负载。 【问题4】（5分） 对系统检索功能执行负载压力测试，响应时间和交易执行成功率的测试结果不能满足性能需求 。 因为： 1、系统检索功能执行并发用户数为900时，其响应时间为3.7s与检索响应时间在3s以内不能满 足性能需求，交易执行成功率为100%满足性能需求。 2、系统检

4、索功能执行并发用户数为1000时，其响应时间为6.6s与检索响应时间在3s以内不能满 足性能需求，交易执行成功率为98%不能满足性能100%需求。【问题4】（6分）根据【问题2】和【问题3】的测试结果，该系统的存在瓶颈。 服务器资源利用情况： 1在执行检索功能测试时并发用户为900、1000时响应时间超过3s； 2在检索功能并发用户为900，预订功能并发用户数为100时，CPU占用率（%）（平均值）达 到87.3超过85%； 3在检索功能并发用户为1000，预订功能并发用户数为120时，CPU占用率（%）（平均值）达 到92.6超过85%； 可能的瓶颈如下： （1）服务器CPU 性能不足； （

5、2）数据库设计不足或者优化不够； （3）检索功能预订功能应用软件设计不足或没有优化； （4）网络带宽不足。试题二（共试题二（共15分）白盒测试分）白盒测试阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。 【说明】 逻辑覆盖法是设计白盒测试用例的主要方法之一，它是通过对程序逻辑结构的遍历实现程 序的覆盖。针对以下由C语言编写的程序，按要求回答问题。 Struct_ProtobufCIntRangeInt start_value;Unsigned orig_index; ; typedef struct_ProtobufCIntRange ProtobufCIntRange; in

6、tint_range_lookup(unsigned n_ranges,const ProtobufCIntRange*ranges,int value)unsigned start,n; /1start=0;n=n_ranges;while (nl) /2unsigned mid=start+n/2; if(value=rangesmid.start_value+(int)(rangesmid+1.orig_index-rangesmid.orig_index) /5unsigned new_start=mid+1; /6n=start+n-new_start;start=new_start

7、; else /7return(value-rangesmid.start_value)+rangesmid.orig_index; if(n0) /8unsigned start_orig_index=rangesstart.orig_index;unsigned range_size=rangesstart+1.orig_index-start_orig_index;if (rangesstart.start_valuel 2value=rangesmid.start_value+(int)(rangesmid+1.orig_index-rangesmid.orig_index) 4n0

8、5rangesstart.start_value=rangesmid.start_value 8Valuevalue or value=(int)(rangesstart.start_value+range_size)【问题2】本问题考查白盒测试用例设计方法中的基本路径法。涉及到的知识点包括：根据代码绘制控制 流图、计算环路复杂度。控制流图是描述程序控制流的一种图示方法。其基本符号有圆圈和箭线：圆圈为控制流图中的 一个结点，表示一个或多个无分支的语句；带箭头的线段称为边或连接，表示控制流。基本结 构如下所示：根据题中程序绘制的控制流图如下所示。其中要特别注意的是，如果判断中的条件表达式是复 合

9、条件，即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式，则需要改变复合条件的 判断为一系列之单个条件的嵌套的判断。本题程序中，if (rangesstart.start_value=value&value(int)(rangesstart.start_value+range_size)这条判断语句 中的判定由两个条件组成，因此在画控制流图的时候需要拆开成两条判断语句。环路复杂度用来衡量一个程序模块所包含的判定结构的复杂程度，数量上表现为独立路径的条 数，即合理地预防错误所需测试的最少路径条数。环路复杂度等于图中判定结点的个数加1， 图中判定结点个数为6，所以(G)7。 【问题3】 本问题考

10、查白盒测试用例设计方法中的基本路径法。 path11-2-8-9-10-11-13 path21-2-8-9-10-11-12 path31-2-8-9-10-12-13 path41-2-8-9-12-13 path51-2-3-4-2 path6 1-2-3-5-6-2 path7 1-2-3-5-7-2试题三（共试题三（共17分）分）WEB链接、安全测试链接、安全测试阅读下列说明回答问题1至问题4，将解答填入答题纸的对应栏内。 【说明】某企业想开发一套B2C系统，其主要目的是在线销售商品和服务，使顾客可以在线浏览和购买 商品和服务，系统的用户的IT技能，访问系统的方式差异较大，因此系统的

11、易用性、安全性、 兼容性等方面的测试至关重要。系统要求：（1）所有链接都要正确；（2）支持不同移动设备，操作系统和浏览器；（3）系统需通过SSL进行访问，没有登录的用户不能访问应用内部的内容。 【问题1】（5分）简要叙述链接测试的目的以及测试的主要内容。 【问题2】（4分）简要叙述为了达到系统要求（2），要测试哪些方面的兼容性。 【问题3】（4分）本系统强调安全性，简要叙述Web应用安全测试应考虑哪些方面。 【问题4】（4分）针对系统要求（3），设计测试用例以测试Web应用的安全性。参考答案： 【问题1】（5分） 链接测试的目的：用来检验Web 网站提供信息的正确性、准确性和相关性。 测试的主

12、要内容：系统的链接测试主要测试如下3 个方面： 1)每个链接是否能够链接到目标页面 2)被链接的页面是否存在 3)是否存在孤立页面 【问题2】（4分）为了达到系统要求能支持不同移动设备，操作系统和浏览器；要测试的兼容性见下表： 表：兼容性测试矩阵示例 浏览器 操作系统IE7、8、 9FrirfoxGoole ChromeSafari.Windowss XP Windwos 7 Android ios. 【问题3】（4分） Web应用安全测试应考虑下面内容： 目录测试 SSL套接字测试 登录验证 日志文件 脚本语言 【问题4】（4分）系统需通过SSL进行访问，没有登录的用户不能访问应用内部的内容

13、。设计测试用例以测试We b应用的安全性。 解析：解析：SSL协议提供的服务主要有：协议提供的服务主要有： 1）认证用户和服务器，确保数据发送到正确的客户机和服务器；）认证用户和服务器，确保数据发送到正确的客户机和服务器； 2）加密数据以防止数据中途被窃取；）加密数据以防止数据中途被窃取； 3）维护数据的完整性，确保数据在传输过程中不被改变。）维护数据的完整性，确保数据在传输过程中不被改变。 第4问需要为Web应用的安全性设计测试用例，这里强调通过SSL（安全套接字）来进行访 问，因此设计测试用例要考虑加密是否正确、信息是否完整等因素。试题四（共试题四（共12分）安全测试分）安全测试阅读下列说

14、明，回答问题1至问题3，将解答填入答题纸的对应栏内。 【说明】某企业为防止自身信息资源的非授权访问，建立了如图41所示的访问控制系统。企业访问控制系统 该系统提供的主要安全机制包括： （1） 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于 口令的认证机制和基于PKI的数字证书认证机制；（2） 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策； （3） 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进 建议。 【问题1】（6分）对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试

15、 应包含哪两个主要方面？每个方面具体的测试内容又有哪些？ 【问题2】（3分）测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能 力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。 【问题3】（3分） 对该系统安全审计功能设计的测试点应包括哪些？参考答案： 【问题1】（6分） 对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的 测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？ 两个方面: 评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作 人员三级分离； 用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户 名称的唯一性。 用户名称的唯一性体现有哪些方面？ 同时存在的用户名称在不考虑大小的状态下，不能够同名； 对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或 停用后，保留该用户记录，并且新用户不得与之同名。【问题2】（3分） 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访