2022软件水平考试-中级软件评测师考前拔高名师测验卷47（附答案解析）

《2022软件水平考试-中级软件评测师考前拔高名师测验卷47（附答案解析）》由会员分享，可在线阅读，更多相关《2022软件水平考试-中级软件评测师考前拔高名师测验卷47（附答案解析）（7页珍藏版）》请在金锄头文库上搜索。

1、2022软件水平考试-中级软件评测师考前拔高名师测验卷（附答案解析）1. 判断题：辅助存储器用于存放当前不需要立即使用的信息，需要时再和主机交换数据，是主存储器的后备。同时又是主机的外围设备，又称为外存储器。答案：正确 本题解析：暂无解析2. 判断题：在任何时刻，任何一个进程都只能处于某一种状态。答案：正确 本题解析：暂无解析3. 问答题：某高校开发了一套基于Web的教务管理系统，实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现，采用表单(Form)实现用户数据的提交并与用户交互。系统要支持：7在特定时期内100

2、个用户并发时，主要功能的处理能力至少要达到10个请求/秒，平均数据量8KB/请求；8用户可以通过不同的移动设备、操作系统和浏览器进行访问。系统实现时，对成绩更新所用的SQL语句如下：UPDATE StudentScore SET score=+intCTientSubmitScore+WHERE Stuent_ID=+strStudentID+;设计1个测试用例，以测试该SQL语句是否能防止SQL注入，并说明该语句是否能防止SQL注入，以及如何防止SQL注入。答案： 本题解析：设计如下测试：【注：设计类似如下用例的一个即可，其中包含SQL功能符号使SQL变为不符合设计意图即可，如包含,DROP

3、等】。(1)intClientSubmitScore: 100 -, strStudentID: 20130002，则该SQL变为：UPDATE StudentScore SET score = 100 - WHERE Student_ID=20130002;(2)intClientSubmitScore: 100, strStudentID: 20130002;DROP TABLE StudentScore-,则该SQL语句变为：UPDATE StudentScore SET score=100 WHERE Student_ID=20130002; DROP TABLEStudentScor

4、e -;从测试用例所拼接处的SQL可以看出，该SQL语句不安全，容易造成SQL注入。防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义，使其不作为SQL语句的功能符号。【解析】本问题考查Web应用安全性方面的SQL注入，SQL注入是Web应用安全性测试的重要方面。许多Web应用系统采用某种数据库，接收用户从Web页面中输入，完成展示相关存储的数据(如检查用户登录信息)、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后，系统将信息存入数据库)等操作。在有些情况下，将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行，就可能存在用户输入的数据并非设计的正确格式，从而给恶意

5、用户提供了破坏的机会。即SQL注入。恶意用户输入不期望的数据，拼接后提交给数据库执行，造成可能使用其他用户身份、查看其他用户的私密信息，还可能修改数据库的结构，甚至是删除应用的数据库表等严重后果。因此需要在测试阶段进行认真严格的测试。本系统实现时，对成绩更新所用的如下SQL语句：UPDATE StudentScore SET Score=+intClientSubmitScore+WHERE Stuent_ID=+strStudentID+;采用拼接字符串方式，无法防止SQL注入。例如intClientSubmitScore:100 -, strStudentID:20130002，则该SQL

6、变为：UPDATE StudentScore SET score=100 - WHERE Stuent_ID=20130002;-是SQL中注释符号，其后的内容为注释，这样上述语句中一之后的内容变为注释，只要StudentScore表中所有的记录的score都变为100，而没有受到WHERE子句后的学号限制。再比如intClientSubmitScore:100,strStudentID:20130002ora=a，则该SQL变为：UPDATE StudentScore SET score=100 WHERE Stuent_ID=20130002ora=a;因为a=a条件总是成立，因此，SQL

7、执行结果包括学生成绩表中所有行的score都更新为100分。更为严重的情况下，用户输入DROP等功能性命令，会造成数据库表的永久删除等严重后果，如strStudentID:20130002;DROP TABLE StudentScore -，则该SQL语句变为：UPDATE StudentScore SET Score=100 WHERE Stuent_ID=20130002;DROP TABLEStudentScore-;防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义或者等价方式，使其不作为SQL语句的功能符号。验证所有输入数据能从输入层面防止SQL注入。SQL注入在使用SSL

8、的应用中仍然存在，甚至是防火墙也无法防止SQL注入。因此，在测试Web应用时，需要认真仔细设计测试用例，采用Web漏洞扫描工具等进行检查，以保证不存在SQL注入机会。4. 判断题：软考每年举行2次，每次考试认证的科目会有有所不同。答案：正确 本题解析：暂无解析5. 多选题：以下属于进程的状态的是？A.挂起状态B.就绪状态C.执行状态D.阻塞状态答案：A、B、C、D 本题解析：暂无解析6. 问答题：阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】某证券交易所为了方便提供证券交易服务，欲开发一个基于Web的证券交易平台。其主要功能包括客户开户，记录查询，存取款，股票交易等。客

9、户信息包括性能、Email（必填且唯一），地址等；股票交易信息包括股票代码（6位数字编码的字符串）、交易数量（100的整数倍）、买/卖价格（单位：元，精确到分）。系统要求支持：（1）在特定时期3000个用户并发时，主要功能的处理能力至少 要达到128个请求/秒，平均数据量2KB/请求；（2）页面中采用表单实现客户信息、交易信息等的提交与交互，系统前端采用HTML5实现。【问题1】(4分)在对此平台进行非功能测试时，需要测试哪些方面？【问题2】(5分) 在满足系统要支持（1）时，系统的通信吞吐量。【问题3】（3分）表单输入测试需要测试那几个方面？【问题4】(8分)（1）针对股票代码：111111

10、，数量：10万，当前价格：6.00，设计4个股票交易的测试输入；（2）设计2个客户开户的测试输入，以测试是否存在XSS，SQL注入。答案： 本题解析：【问题1】答案：1、性能测试；2、安全性测试；3、兼容性测试；4、易用性测试；【问题2】答案：通信吞吐量P=3000X128X2KB = 768000KB=750MB。【问题3】参考答案：每个字段的验证；字段的缺省值；表单中的输入；【问题4】参考答案：1.1、正确输入：111111，10万，6.00；2、代码错误：1212，10万，6.00；3、数量错误：111111，0，6.00；4、价格错误： 111111，10万，0；（2）1.XSS测试用

11、例：姓名：李四；Email：；地址：*地址*scriptalert(“xss测试”)/script；1.SQL注入测试用例：姓名：李四or 1=1-；Email：；地址：*地址*；【解析】【问题1】本小题考查非功能测试的主要内容：1、非功能性测试包括：性能、安全性、可使用性、兼容性、并发性、易用性等测试；2、功能测试：又叫作黑盒测试，其测试的唯一依据是软件规格说明书。【问题2】本小题考查系统通信吞吐量的计算方法，系统的通信吞吐量=系统的并发用户数*单位时间的在线事务数（请求数）*事务服务器每次处理的数据负载。通信吞吐量，设定如下指标参数：N：并发用户的数量；T：每单位时间的在线事务数量；D：事

12、务服务器每次处理的数据负载；P：系统的通信吞吐量。计算公式：P=N*T*D。所以通信吞吐量P=N (并发用户的数量=3000) T (每单位时间的在线事务数量=128) D (事务服务器每次处理的数据负载=2KB/s) =3000X128X2KB = 768000KB=750MB。【问题3】本小题考查表单测试的主要内容。表单测试是Web 应用功能测试的重要内容，用于获取用户的信息并和用户进行交互，主要测试如下内容（任意3个即可）：每个字段的验证；字段的缺省值；表单中的输入；提交操作的完整性。【问题4】本小题考查Web应用测试输入组合和安全性方面的测试，重点理解以下2个概念：1、XSS攻击：跨站

13、点脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。2、SQL注入：是黑客攻击数据库的一种常用方法，其实就是通过把SQL命令插入到Web表单或页面请求的查询字符串中提交，最终达到欺骗服务器执行恶意的SQL命令，来达到攻击的目的。1.本题中有3条件，应该设计一个测试用例覆盖3个有效等价类；然后针对每个条件的无效等价类各设计一个测试用

14、例。（2） 针对客户信息包括姓名、Email（必填且唯一）、地址，等输入，任意挑选一个输入文本框，在保障SQL能运行的前提下，输入带有注入式攻击和XSS攻击的特征内容即可。7. 问答题：软件在机载设备中的运用越来越广泛，驻留于机载设备中的嵌入式软件失效会产生灾难性后果，一般要求其具有较高的可靠性，因此，软件可靠性测试对机载软件至关重要。对某嵌入式软件，设计要求其可靠度为1000小时无失效概率99.99%。经实测得出其失效概率函数F(1000)=0.0012，问该软件是否符合设计可靠性要求，并说明原因。答案： 本题解析：不符合可靠度要求。软件可靠度R(t)和软件失效概率之间的关系为R(t)=1-F(t)。R(1000)=1-F(1000)=1-0.0012=0.9988=99.88%，99.88%99.99%，因此不符合设计软件可靠度要求。【解析】本题考查软件可靠性知识与应用。软件可靠性(software reliability)是软件产品在规定的条件下和规定的时间区间完成规定功能的能力。规定的条件是指直接与软件运行相关的使用该软件的计算机系统的状态和软件的输入条件，或统称为软件运行时的外部输入条件；规定的时间区间是指软件的实际运行时间区间；规定功能是指为提供给定的服务，软件产品所必须具备的功能。软件可靠性不