《2022软件水平考试-中级软件评测师考前拔高名师测验卷24(附答案解析)》由会员分享,可在线阅读,更多相关《2022软件水平考试-中级软件评测师考前拔高名师测验卷24(附答案解析)(9页珍藏版)》请在金锄头文库上搜索。
1、2022软件水平考试-中级软件评测师考前拔高名师测验卷(附答案解析)1. 问答题:某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。4、系统实现时,对销售订单的更新所用的SQL语句如下:PreparedStatementpStmt=connection.prepareStatement(UPDATE SalesOrder SET status= ? WHEREOrderID= ?)然后通过
2、setString(.);的方式设置参数值后加以执行。设计测试用例以测试SQL注入,并说明该实现是否能防止SOL注入。答案: 本题解析:设计如下测试:注:设计类似如下用例即可,其中包含SQL功能符号使SQL变为不符合设计意图即可PreparedStatementpStmt=connection.prepareStatement(UPDATE SalesOrder SET status= ? WHEREOrderID= ?)采用传递参数的形式,Java的JDBC驱动自动会将其按照相应的类型处理,功能符号会进行转义。因此,该SQL语句是安全。【解析】第四小题考查Web应用安全性方面的SQL注入,S
3、QL注入是Web应用安全性测试的重要方面之一。许多Web应用系统采用某种数据库,接收用户从Web页面中输入,完成展示相关存储的数据(如检查用户登录信息)、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后,系统将信息存入数据库)等操作。在有些情况下,将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,就给恶意用户提供了破坏的机会,即SQL注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份,查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。SQL注入在使用SSL的应用中仍然
4、存在,甚至是防火墙也无法防止SQL注入。因此,在测试Web应用时,需要认真仔细设计测试用例,采用Web漏洞扫描工具等进行检查,进行认真严格的测试,以保证不存在SQL注入机会。本系统实现时,对销售订单的更新所用的SQL语句如下:PreparedStatement pStmt=connection.prepareStatement(UPDATE SalesOrder SET status= ? WHERE OrderID= ?;);然后通过setString(.);的方式设置参数值后加以执行。在SQL语句中采用参数的方式传递前台传递来的值,因为不论是什么值,都会只作为setString(.)的参数
5、值,不会作为SQL语句的其他功能符,所以本SQL语句更新订单的方式是防止SQL注入的。设计如下测试SQL注入的测试用例:status: fulfilled -, OrderID: 2014 OR 1=1检查执行结果,或者传递给数据库的SQL语句,会发现所有用例中的功能字符都会经过特定的转义后作为status和OrderID的值。和拼接SQL的方式不同,采用参数形式传递时,Java的JDBC驱动自动会将其按照相应的类型处理,功能符号会进行转义。因此,测试用例中的注释-、OR等都会作为参数的值,不会作为功能符,也就不会改变SQL语句本身的功能结构,该SQL语句是安全的。2. 问答题:某企业信息中心
6、委托系统集成单位开发了企业网站,将应用服务器、Web服务器和数据库服务器都部署在信息中心机房,系统集成工作完成后,集成单位对网段、防火墙、入侵检测系统、防病毒系统等进行了全面的安全检查,向信息中心提交了安全测评报告。信息中心主管认为该测评报告不够全面,要求尽可能提供系统的、多层次的、深入的安全测评报告。 问题1请简述系统的安全防护体系包括的层次。 问题2对于服务器操作系统的安全,应当从哪些方面进行测评? 问题3安全日志是软件被动防范的措施,是重要的安全功能,软件的安全日志应当记录哪些信息?在安全测试中应当检查安全日志的哪些方面?答案: 本题解析:1、考查信息系统安全体系的全面分析。1实体安全(
7、物理安全);2通信安全(网络安全);3平台安全(主机安全);4应用安全;5数据安全;6运行安全;7管理安全。2、考查主机层平台操作系统安全测试的主要方面。1是否关闭或下载了不必要的服务和程序;2是否存在不必要的账;3权限设置是否合理;4安装相应的安全补丁程序的情况;5操作系统日志管理等。3、考查应用层安全中日志测试的主要内容。日志应当记录所有用户访问系统的操作内容,包括登录用户名称、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间和登录机器的IP等。测试报告应对日志的完整性、正确性做出评价,以及系统是否提供了安全日志的智能分析能力,是否按照各种特征项进行日志统计。3. 问答题:某大
8、型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。2、简述图形测试的主要检查点。答案: 本题解析:图形测试的主要检查点如下:(1)颜色饱和度和对比度是否合适;(2)需要突出的链接的颜色是否容易识别;(3)是否正确加载所有的图形。【解析】第二小题考查页面的展示效果方面的测试。Web页面展示效果在用户界面友好性方面非常重要,是用户界面测试的主要内容之一。图形测试主要检查图片大小、颜色饱和度和对比度
9、是否合适、需要突出的链接的颜色是否容易识别、是否正确加载等等。4. 问答题:在CNCERT/CC(国家计算机网络应急技术处理协调中心)处理的安全事件中,国内政府机构和重要信息系统部门的网页篡改类事件数量增长迅速。2011年6月的某一周,中国境内仅网页被篡改的网站就有660个,其中政府网站105个。网站内容复制容易,转载速度快,后果难以预料,网页如果被篡改,将直接危害该网站的利益,尤其是门户网站作为政府发布重要新闻、重大方针政策、法规和企业信息等的重要渠道,一旦被黑客篡改,将严重损害政府和企业形象。从网站页面被篡改的角度来看,存在两种攻击的可能,一种是网站被入侵,也就是说网站页面确实被篡改了,另
10、外一种是网站被劫持,这种情况下网站的页面实际上并没有被篡改,但是攻击者劫持了网络访问并发送欺骗页面给来访者,进而造成页面被篡改的表象。【问题1】(6分)通过入侵从而进行网页篡改的可能途径有哪些这些途径各对应安全系统防护体系的哪个层次【问题2】(6分)针对网页被篡改的问题,从技术层面看有哪些防范措施【问题3】(3分)现在出现了一些基于监测与恢复的页面防篡改系统,这类防篡改系统应具备哪些基本功能答案: 本题解析:【问题1】要入侵来篡改网页,主要途径有如下几种:(1)通过操作系统、网络服务、数据库漏洞来获取主机的控制权,从而达到篡改网页的目的,这一类对应的安全防护体系层次是平台安全。(2)通过猜测或
11、者破解密码来获取管理员的权限,从而达到篡改网页的目的,这一类对应的安全防护体系层次是数据安全。(3)通过Web漏洞或者设计缺陷来进行攻击入侵,从而达到篡改网页的目的,这一类对应的安全防护体系层次是应用安全。【问题2】针对网页被篡改的问题,我们要防御主要就是依据入侵的途径来设置防御措施,从技术层面看,主要有的防范措施如下:(1)给服务器打上最新的安全补丁,防止入侵者利用漏洞来攻击。(2)封闭未用但开放的网络服务端口。(3)合理设计网站程序并编写安全代码。(4)设置复杂的管理员密码,防止入侵者破解。(5)安装专门的网站防火墙和入侵检测系统,防止入侵。(6)设置合适的网站访问权限。【问题3】基于监测
12、与恢复的页面防篡改系统应具备的基本功能有:自动监测、自动备份与恢复、自动报警和区分合法更新和非法更改等功能。5. 多选题:以下属于外设的访问方式的有?A.程序查询方式B.DMA方式C.中断方式D.信道方式答案:A、B、C、D 本题解析:暂无解析6. 问答题:某证券交易所为了方便提供证券交易服务,欲开发一个基于Web的证券交易平台。其主要功能包括客户开户,记录查询,存取款,股票交易等。客户信息包括姓名、Email(必填且唯一),地址等;股票交易信息包括股票代码(6位数字编码的字符串)、交易数量(100的整数倍)、买/卖价格(单位:元,精确到分)。系统要求支持:(1)在特定时期3000个用户并发时
13、,主要功能的处理能力至少 要达到128个请求/秒,平均数据量2KB/请求;(2)页面中采用表单实现客户信息、交易信息等的提交与交互,系统前端采用HTML5实现。【问题1】在对此平台进行非功能测试时,需要测试哪些方面?【问题2】在满足系统要支持(1)时,系统的通信吞吐量。【问题3】表单输入测试需要测试那几个方面?【问题4】(1)针对股票代码:111111,数量:10万,当前价格:6.00,设计4个股票交易的测试输入;(2)设计2个客户开户的测试输入,以测试是否存在XSS,SQL注入。答案: 本题解析:【问题1】1、性能测试;2、安全性测试;3、兼容性测试;4、易用性测试;【问题2】通信吞吐量P=
14、3000X128X2KB = 768000KB=750MB。【问题3】每个字段的验证;字段的缺省值;表单中的输入;【问题4】1.1、正确输入:111111,10万,6.00;2、代码错误:1212,10万,6.00;3、数量错误:111111,0,6.00;4、价格错误: 111111,10万,0;(2)1.XSS测试用例:姓名:李四;Email:;地址:*地址*;1.SQL注入测试用例:姓名:李四or 1=1-;Email:;地址:*地址*【问题1】本小题考查非功能测试的主要内容:1、非功能性测试包括:性能、安全性、可使用性、兼容性、并发性、易用性等测试;2、功能测试:又叫作黑盒测试,其测试
15、的唯一依据是软件规格说明书。【问题2】本小题考查系统通信吞吐量的计算方法,系统的通信吞吐量=系统的并发用户数*单位时间的在线事务数(请求数)*事务服务器每次处理的数据负载。通信吞吐量,设定如下指标参数:N:并发用户的数量;T:每单位时间的在线事务数量;D:事务服务器每次处理的数据负载;P:系统的通信吞吐量。计算公式:P=N*T*D。所以通信吞吐量P=N (并发用户的数量=3000) T (每单位时间的在线事务数量=128) D (事务服务器每次处理的数据负载=2KB/s) =3000X128X2KB = 768000KB=750MB。【问题3】本小题考查表单测试的主要内容。表单测试是Web 应用功能测试的重要内容,用于获取用户的信息并和用户进行交互,主要测试如下内容(任意3个即可):每个字段的验证;字段的缺省值;表单中的
