《2022软件水平考试-中级软件评测师考试全真模拟卷18(附答案带详解)》由会员分享,可在线阅读,更多相关《2022软件水平考试-中级软件评测师考试全真模拟卷18(附答案带详解)(11页珍藏版)》请在金锄头文库上搜索。
1、2022软件水平考试-中级软件评测师考试全真模拟卷(附答案带详解)1. 多选题:以下哪几项是进程的组成部分?A.程序块B.数据块C.PCBD.JCB答案:A、B、C 本题解析:暂无解析2. 问答题:软件在机载设备中的运用越来越广泛,驻留于机载设备中的嵌入式软件失效会产生灾难性后果,一般要求其具有较高的可靠性,因此,软件可靠性测试对机载软件至关重要。对某嵌入式软件,设计要求其可靠度为1000小时无失效概率99.99%。经实测得出其失效概率函数F(1000)=0.0012,问该软件是否符合设计可靠性要求,并说明原因。答案: 本题解析:不符合可靠度要求。软件可靠度R(t)和软件失效概率之间的关系为R
2、(t)=1-F(t)。R(1000)=1-F(1000)=1-0.0012=0.9988=99.88%,99.88%99.99%,因此不符合设计软件可靠度要求。【解析】本题考查软件可靠性知识与应用。软件可靠性(software reliability)是软件产品在规定的条件下和规定的时间区间完成规定功能的能力。规定的条件是指直接与软件运行相关的使用该软件的计算机系统的状态和软件的输入条件,或统称为软件运行时的外部输入条件;规定的时间区间是指软件的实际运行时间区间;规定功能是指为提供给定的服务,软件产品所必须具备的功能。软件可靠性不但与软件存在的缺陷和(或)差错有关,而且与系统输入和系统使用有关
3、。软件可靠性的概率度量称软件可靠度。现代软件工程认为,质量形成于过程,过程的因素是影响软件可靠性的主要因素。从软件开发的角度,影响软件可靠性的因素有软件规模、运行剖面、软件内部结构、软件可靠性管理、软件可靠性测试与投入、软件可靠性设计技术、软件开发方法与软件开发环境等。一般地,软件规模越大,其可靠性问题就越多。失效概率是软件从运行开始到某一时刻t为止,出现失效的概率;可靠度是软件系统在规定的条件下,规定的时间内不发生失效的概率;平均无失效时间指软件运行后,到下一次出现失效的平均时间。软件可靠度R(t)与软件失效概率之间的关系为R(t)=1-F(t),题目中t=1000,F(t)=0.0012,
4、因此R(t)=1-0.0012=0.9988,显然不符合该嵌入式软件设计要求的0.9999无失效概率。3. 问答题:某高校开发了一套基于Web的教务管理系统,实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现,采用表单(Form)实现用户数据的提交并与用户交互。系统要支持:7在特定时期内100个用户并发时,主要功能的处理能力至少要达到10个请求/秒,平均数据量8KB/请求;8用户可以通过不同的移动设备、操作系统和浏览器进行访问。系统实现时,对成绩更新所用的SQL语句如下:UPDATE StudentScore SE
5、T score=+intCTientSubmitScore+WHERE Stuent_ID=+strStudentID+;设计1个测试用例,以测试该SQL语句是否能防止SQL注入,并说明该语句是否能防止SQL注入,以及如何防止SQL注入。答案: 本题解析:设计如下测试:【注:设计类似如下用例的一个即可,其中包含SQL功能符号使SQL变为不符合设计意图即可,如包含,DROP等】。(1)intClientSubmitScore: 100 -, strStudentID: 20130002,则该SQL变为:UPDATE StudentScore SET score = 100 - WHERE Stu
6、dent_ID=20130002;(2)intClientSubmitScore: 100, strStudentID: 20130002;DROP TABLE StudentScore-,则该SQL语句变为:UPDATE StudentScore SET score=100 WHERE Student_ID=20130002; DROP TABLEStudentScore -;从测试用例所拼接处的SQL可以看出,该SQL语句不安全,容易造成SQL注入。防止SQL注入的方法主要有:拼接SQL之前对特殊符号进行转义,使其不作为SQL语句的功能符号。【解析】本问题考查Web应用安全性方面的SQL注
7、入,SQL注入是Web应用安全性测试的重要方面。许多Web应用系统采用某种数据库,接收用户从Web页面中输入,完成展示相关存储的数据(如检查用户登录信息)、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后,系统将信息存入数据库)等操作。在有些情况下,将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,从而给恶意用户提供了破坏的机会。即SQL注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份、查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。因此需要在测试阶段进行认真严格
8、的测试。本系统实现时,对成绩更新所用的如下SQL语句:UPDATE StudentScore SET Score=+intClientSubmitScore+WHERE Stuent_ID=+strStudentID+;采用拼接字符串方式,无法防止SQL注入。例如intClientSubmitScore:100 -, strStudentID:20130002,则该SQL变为:UPDATE StudentScore SET score=100 - WHERE Stuent_ID=20130002;-是SQL中注释符号,其后的内容为注释,这样上述语句中一之后的内容变为注释,只要StudentSc
9、ore表中所有的记录的score都变为100,而没有受到WHERE子句后的学号限制。再比如intClientSubmitScore:100,strStudentID:20130002ora=a,则该SQL变为:UPDATE StudentScore SET score=100 WHERE Stuent_ID=20130002ora=a;因为a=a条件总是成立,因此,SQL执行结果包括学生成绩表中所有行的score都更新为100分。更为严重的情况下,用户输入DROP等功能性命令,会造成数据库表的永久删除等严重后果,如strStudentID:20130002;DROP TABLE Student
10、Score -,则该SQL语句变为:UPDATE StudentScore SET Score=100 WHERE Stuent_ID=20130002;DROP TABLEStudentScore-;防止SQL注入的方法主要有:拼接SQL之前对特殊符号进行转义或者等价方式,使其不作为SQL语句的功能符号。验证所有输入数据能从输入层面防止SQL注入。SQL注入在使用SSL的应用中仍然存在,甚至是防火墙也无法防止SQL注入。因此,在测试Web应用时,需要认真仔细设计测试用例,采用Web漏洞扫描工具等进行检查,以保证不存在SQL注入机会。4. 问答题:某互联网企业开发了一个大型电子商务平台,平台主
11、要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括:密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。认证服务,提供基于PKI及用户名/口令的认证机制。授权服务,为应用提供资源及功能的授权管理和访问控制服务。现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。1、给出安全中心需应对的常见安全攻击手段并进行简要说明。2、针对安全中心的安全性测试,可采
12、用哪些基本的安全性测试方法?3、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。4、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。答案: 本题解析:1、该平台需应对的常见安全攻击手段应包括:(1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被
13、攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。2、可采用的基本安全性测试方法包括:(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞
14、,从而在安全漏洞造成严重危害之前,发现并加以防范。(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。3、密钥管理功能的基本测试点:(1)功能测试系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;密钥库管理功能是否完善;密钥管理中心的系统、设备、数据、人员等安全管理是否严密;密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;密钥管理系统与证书认证系统
15、之间是否采用基于身份认证的安全通信协议。(2)性能测试检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;是否支持密钥用户要求年限的保存期;是否具备异地容灾备份;是否具备可伸缩配置及扩展能力;关键部分是否采用双机热备和磁盘镜像。4、加解密服务功能的基本测试点:(1)功能测试系统是否具备基础加解密功能;能否为应用提供相对稳定的统一安全服务接口;能否提供对多密码算法的支持;随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展。(2)性能测试各加密算法使用的密钥长度是否达到业内安全的密钥长度;RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;处理性能如公钥密码算法签名等是否
