【计算机类职业资格】计算机水平考试中级软件评测师2011年下半年下午真题及答案解析.doc

1、计算机水平考试中级软件评测师 2011 年下半年下午真题及答案解析(总分：75.00，做题时间：150 分钟)（分数：15.00）(1). （分数：7.50）_(2). （分数：7.50）_（分数：15.00）(1). （分数：5.00）_(2). （分数：5.00）_(3). （分数：5.00）_（分数：15.00）(1). （分数：5.00）_(2). （分数：5.00）_(3). （分数：5.00）_（分数：15.00）(1). （分数：3.75）_(2). （分数：3.75）_(3). （分数：3.75）_(4). （分数：3.75）_（分数：15.00）(1). （分数：3.75）_

2、(2). （分数：3.75）_(3). （分数：3.75）_(4). （分数：3.75）_计算机水平考试中级软件评测师 2011 年下半年下午真题答案解析(总分：75.00，做题时间：150 分钟)（分数：15.00）(1). （分数：7.50）_正确答案：(3 分，每个 0.5 分) T03：A、C T04：A、D T05：A、E T06：A、B、C T07：A、B、D T08：A、B、E)解析：解析：本题考查黑盒测试中场景法的应用。 问题 1 根据题目中题干确定的基本流和备选流，可以设计场景，每个场景覆盖一种在该案例中事件的不同触发顺序与处理结果形成的事件流，最后得出所有的测试用例。下面是

3、所有的测试用例以及用例中所涉及的基本流与备选流。 T01：A T02：A、B T03：A、C T04: A、D T05：A、E T06：A、B、C T07：A、B、D T08：A、B、E(2). （分数：7.50）_正确答案：(12 分。每个 2 分，5 个数据列为 1 分，预期结果 1 分) )解析：解析：根据问题 1 中设计的所有测试用例，测试人员需要设计具体的场景分析，其中应包括场景变化中系统所关心的状态信息的变化，以及测试结束后预期的结果。这样，在测试人员进行实际测试后，可以用实际输出结果与预期结果进行比较，来评价测试的结果。 问题 2 中给出了系统所关心的状态，包括：次读取车辆信息、

4、最终读取车辆信息、账户号码、账户余额和账户状态等，因此对应的测试用例表如下所示。 （分数：15.00）(1). （分数：5.00）_正确答案：(4 分，每个 0.5 分) )解析：(2). （分数：5.00）_正确答案：(8 分) 控制流图(6 分，基本画对即可给满分；节点编号与否，不影响评分) )解析：(3). （分数：5.00）_正确答案：(3 分) 构造一个 6 个字符构成的字符串(设为 x,y,z,u,v,w 6 个字符)，使得每个字符覆盖一条基本路径。其中，x=r，y=f，z0-9，u9并且 v!=f，w 任意，这 6 个字符可任意排列。例如，mode=“rOf aa“)解析：解析：

5、本问题考查白盒测试用例设计方法中的基本路径法。涉及到的知识点包括：根据控制流图和环路复杂度设计测试用例。注意环路复杂度只是测试用例数的上限。 本题中程序的环路复杂度为 6，因此测试用例上限为 6，但本题程序比较特殊，只需要一个测试用例即可实现。例如，构造一个 6 个字符构成的字符串(设为 x，y，z，u，v，w6 个字符)，使得每个字符覆盖一条基本路径即可。其中，X=r，y=f，z0-9，u0，v9并且 v!=f，w 任意，这 6 个字符可任意排列。（分数：15.00）(1). （分数：5.00）_正确答案：(6 分，每个 1 分) )解析：解析：本问题考查入侵方法和安全防护体系层次。 通过入

6、侵进而篡改页面的方法从大的方面来说可以分为三类，即通过操作系统、网络服务、数据库等漏洞获得主机控制权、通过猜测或者破解密码获得管理员密码和通过 Web 漏洞和设计缺陷进行攻击入侵。而安全防护体系层次分为 7 层，分别是实体安全、平台安全、数据安全、通信安全、应用安全、运行安全以及管理安全。通过操作系统、网络服务、数据库等漏洞获得主机控制权威胁的是平台、操作系统和基本应用平台的安全，因此对应于平台安全；通过猜测或者破解密码获得管理员密码威胁的是系统数据的机密性和访问控制，因此对应于数据安全；而通过 Web漏洞和设计缺陷进行攻击入侵威胁的是业务逻辑或者业务资源的安全，因此对应于应用安全。(2).

7、（分数：5.00）_正确答案：(6 分，每个 1 分) 1)给服务器打上最新的安全补丁程序 2)封闭未用但开放的网络服务端口 3)合理设计网站程序并编写安全代码 4)设置复杂的管理员密码 5)设置合适的网站权限 6)安装专业的网站防火墙和入侵检测系统)解析：解析：本问题考查防篡改的技术防范措施。 对于通过操作系统、网络服务、数据库等漏洞获得主机控制权这一类篡改途径，需要的防范措施是给服务器打安全补丁、关闭不需要的网络服务端口以及设置防火墙：对于通过猜测或者破解密码获得管理员密码这一类篡改途径，需要的是设置足够复杂的管理员密码并定期进行更换；而对于通过 Web 漏洞和设计缺陷进行攻击入侵，则需要

8、对网站程序进行合理的设计与实现，考虑到可能的安全威胁，另外需要设置合适的网站访问权限。(3). （分数：5.00）_正确答案：(3 分，答对 1 个给 1 分，最多 3 分) 1)自动监控 2)自动备份和恢复 3)自动报警 4)区分合法更新与非法篡改)解析：解析：本问题考查网页防篡改系统的基本功能。 对一个专业的网页防篡改系统来说，首先必须能对所有页面进行自动监控，一旦发现非法篡改后能自己报警，并找到一个最新的备份自动回复，此外，这个系统也必须能够区分出某一次的更新是属于合法的更新还是非法的篡改。（分数：15.00）(1). （分数：3.75）_正确答案：(3 分，每个 1 分) 招聘系统的链

9、接测试主要测试如下 3 个方面： 1)每个链接是否能够链接到目标页面 2)被链接的页面是否存在 3)是否存在孤立页面)解析： 解析：本题考查 Web 应用测试相关内容。Web 应用测试既要关注类似传统软件系统测试的多个方面，如性能测试、压力测试等，还需要测试链接、浏览器、安全等多个方面。 本问题考查链接测试的主要内容。链接测试是 Web 应用功能测试的重要内容，测试时需要测试所有页面的外向链接、内部链接、页面中链接跳转、发送 Email 等功能性链接、是否存在孤立页面、链接的目标是否存在等等。链接测试主要测试如下 3 个方面： 1)每个链接是否能够链接到目标页面； 2)被链接的页面是否存在；

10、3)是否存在孤立页面，即无法通过应用主要入口页面链接到，而只有通过特定 URL 才能访问到的页面。(2). （分数：3.75）_正确答案：(4 分) 招聘系统的兼容性测试： 1)平台兼容性(1 分)和浏览器兼容性(1 分)。 2)兼容性测试矩阵示例如下： )解析：解析：本问题考查 Web 应用兼容性测试的内容。Web 应用的兼容性是 Web 应用可用的重要方面，Web 应用具有支持多渠道访问的特性，设备、平台、浏览器等的开发商不同、版本不同，会影响 Web 应用的可用性、可访问性甚至功能性等诸多方面。因此，兼容性测试是 Web 应用测试的重要方面。 Web 应用兼容测试是测试 Web 应用在各

11、种硬件、软件、操作系统、网络等不同的环境下，发现程序运行时出现的错误。常见的 Web 应用兼容性测试有平台的兼容性测试、浏览器兼容性测试、分辨率测试、连接速度测试、打印机测试、数据库兼容性测试和应用软件之间的兼容性测试。 本系统用户可以通过 PC 和移动设备的不同操作系统和浏览器进行访问，涉及到 PC 和移动设备使用多种操作系统，如 Windows 的多种版本、Linux、Unix、Android、iOS，而各种系统上又有多种可用的浏览器，如 IE 的多种版本、Firefox、Google Chrome、Safari 等，因此需要针对不同设备，进行相应的操作系统平台和浏览器的兼容性测试。 兼容

12、性测试矩阵是进行兼容性测试的常用工具，将操作系统平台和浏览器为矩阵的两维，对相应组合进行测试。(3). （分数：3.75）_正确答案：(3 分) 通信吞吐量：P=N(并发用户的数量=50)T(每单位时间的在线事务数量=5)D(事务服务器每次处理的数据负载=12KB/S)=50512=3000KB/S)解析：解析：本问题考查 Web 应用系统的性能指标计算。通信吞吐量，设定如下指标参数： N：并发用户的数量； T：每单位时间的在线事务数量 D：事务服务器每次处理的数据负载 P：系统的通信吞吐量 有如下计算公式： P=NTD 本题中系统要求支持的(1)中给出 50 个用户并发，即 N=50;主要功

13、能的处理能力至少要达到 5 个请求/秒，即 T=5；平均数据量 12KB/请求，即 D=12KB/s。 则：通信吞吐量P=50512=3000KB/s(4). （分数：3.75）_正确答案：(5 分) 该 SQL 语句不安全，容易造成 SQL 注入。(1 分) 设计测试用例：(2 分) 【注：设计类似如下用例的一个即可，其中应包含 SQL 功能符号，使得该 SQL 语句变得不 符合设计意图即可，例如，包含了“-”或“，DROP”等】 参考用例 1： strUserName：Zhang- strPassword：San 【注：上述用例将使得该 SQL 语句变为： SELECT * FROM Us

14、ers WHERE User_Name=Zhang- AND Password=San; 】 参考用例 2： strUserName：Zhangora=a strPassword：Sanora=a 【注：上述用例将使得该 SQL 语句变为： SELECT * FROM Users WHERE User_Name=Zhangora=a AND Password=Sanor a=a; 】 防止 SQL 注入的方法主要有：拼接 SQL 之前对特殊符号进行转义，使其不作为 SQL 语句的功能符号。(2 分)【如果回答：页面输入域验证(1 分)】)解析：解析：本问题考查 Web 应用安全性方面。SQL

15、注入是 Web 应用安全性测试的重要方面。 许多 Web应用系统采用某种数据库，接收用户从 Web 页面中的输入，完成展示相关存储的数据(如，检查用户登录信息)、将输入数据存储到数据库(如，用户输入表单中数据域并点击提交后，系统将用户名密码等注册信息存入数据库)等操作。在有些情况下，将用户输入的数据和设计好的 SQL 框架拼接后提交给数据库执行，就可能存在用户输入的数据并非设计的正确格式，就给恶意用户提供了破坏的机会，即 SQL 注入。恶意用户输入不期望的数据，拼接后提交给数据库执行，造成可能使用其他用户身份、查看其他用户的私密信息，还可能修改数据库的结构，甚至是删除应用的数据库表等严重后果。

16、因此需要在测试阶段进行认真严格的测试。 本系统实现时，对用户的登录判断所用的动态 SQL 语句是： “SELECT*FROM Users WHERE User_Name=“+strUserName+“AND Password=“+ strPassword+“;“ 采用拼接字符串方式，无法防止SQL 注入。 例如 strUserName：Zhang-，strPassword:San，则该 SQL 变为： SELECT*FROM Users WHERE User_ Name=Zhang-AND Password=San; “-”是 SQL 中注释符号，其后的内容为注释，这样上述语句中“-”之后的内

17、容变为注释，只要用户表中有用户名为 Zhang，系统就允许用户以 Zhang 的身份登录，并以 Zhang 的身份做任何可做的操作。 再比如strUserName:Zhangora=a，strPassword:Sanora=a，则该 SQL 变为： SELECT*FROM Users WHERE User_Name=Zhangora=aAND Password=Sanora=a； 因为a=a条件总是成立，因此，SQL执行结果包括用户表中所有行，系统就允许以第一行的身份进行登录。 更为严重的情况下，如果用户输入 strUserName:Zhang;DROP table users_details

18、;-以及任何字符串作为 strPassword，该 SQL 就变为： SELECT*FROM Users WHERE User=Name=John;DROP table users_details;-AND Password=San; 这就造成数据库中 users_details 表被永久删除。 防止 SQL 注入的方法主要有：拼接 SQL 之前对特殊符号进行转义，使其不作为 SQL 语句的功能符号。 SQL 注入在使用 SSL 的应用中仍然存在，甚至是防火墙也无法防止 SQL 注入。因此，在测试 Web 应用时，需要认真仔细设计测试用例，采用 Web 漏洞扫描工具等进行检查，以保证不存在 S

19、QL 注入机会（分数：15.00）(1). （分数：3.75）_正确答案：(3 分，每个 1 分) 1)在真实环境下检测系统性能，评估系统性能以及服务等级的满足情况 2)预见系统负载压力承受力，在应用实际部署之前，评估系统性能 3)分析系统瓶颈、优化系统)解析：解析：本问题考查负载压力测试的测试目的。 负载压力测试的目的包括：在真实环境下检测系统性能，评估系统性能以及服务等级的满足情况；预见系统负载压力承受力，在应用实际部署之前，评估系统性能；分析系统瓶颈、优化系统。(2). （分数：3.75）_正确答案：(3 分，每个 1 分) 1)并发用户数 2)响应时间 3)资源利用率)解析：解析：本问

20、题考查性能测试的性能指标。性能测试指标包括并发用户数、响应时间、吞吐量、资源利用率等。 该系统涉及的性能指标包括：并发用户数，响应时间和资源利用率。(3). （分数：3.75）_正确答案：(6 分) 数据接收模块的测试结果不满足性能指标。(1 分)当接收间隔为 200ms 时，存数据库交易成功率为 80%，不满足交易成功率 100%的要求；(1 分)当接收间隔为 200ms 时，CPU 利用率为43.8%，不满足不超过 40%的要求。(1 分) 数据查询模块的测试结果满足性能指标。(1 分)要求至少支持10 个并发用户，所以在 15 个并发用户的时候响应时间超出 3s 不能算作不满足。(2 分

21、)解析：解析：本问题考查能否正确判断测试指标是否合理。 对数据接收模块来说，当接收频率为 200ms时，存数据库交易成功率为 80%，不满足交易成功率 100%的要求；当接收频率为 200ms 时，CPU 利用率为43.8%，不满足不超过 40%的要求。因此数据接收模块的测试结果不满足性能指标。 对数据查询模块来说，要求至少支持 10 个并发用户的情况下响应时间在 3 秒以内，这样在 15 个并发用户的时候响应时间超出 3秒不能算作不满足。数据查询模块的测试结果满足性能指标。(4). （分数：3.75）_正确答案：(3 分，每个 1 分) 1)数据接收模块软件没有采用合适的并发/并行策略 2)服务器 CPU 性能不足 3)数据库设计不足或者优化不够)解析：解析：本问题考查工程师对系统瓶颈的初步判断。 根据问题 3 可以看出，当接收频率过高时，存数据库交易成功率和 CPU 剩用率均不满足需求。存数据库交易成功率问题的可能原因有两个，一是该模块程序没有采用合适的并发/并行策略，二是数据库本身的设计或者优化不够；而 CPU 利用率的问题则是因为服务器 CPU 本身性能不够。 因此，可能瓶颈为：数据接收模块软件没有采用合适的并发/并行策略；服务器 CPU 性能不足；数据库设计不足或者优化不够。