1茄菊、測試質(zhì)量包括哪些管理要素祖屏?
①測試過程,例如:管理過程买羞、技術(shù)過程、支持過程
②測試人員及組織
③測試工作文檔雹食,例如:測試計劃畜普、測試說明、測試用例群叶、測試報告吃挑、問題報告
2、軟件測試質(zhì)量控制的主要方法街立?
①測試文檔評審 ②測試活動審核 ③制定質(zhì)量保證計劃 ④采取背靠背測試
3舶衬、測試用例覆蓋率=測試需求對應(yīng)的數(shù)目/測試需求數(shù)目
4、缺陷覆蓋率=累計關(guān)閉的缺陷數(shù)/累計打開的缺陷數(shù)
5赎离、針對取消的5個問題:
(1)不對開發(fā)組提出取消的5個問題進行回歸測試是錯誤的逛犹。
(2)測試組應(yīng)該就開發(fā)組提出的用戶需求作為補充說明由用戶確認,測試組在回歸測試中應(yīng)對這5個問題與開發(fā)組進行溝通梁剔,并由用戶或項目經(jīng)理確認5個問題是否可以取消虽画,對于不能取消的問題仍需開發(fā)組進行修改并進行回歸測試。
針對測試的15個問題:只使用發(fā)現(xiàn)問題提的36個用例進行回歸測試是錯誤的荣病,在修改這15個問題時码撰,可能引入新的問題,所以應(yīng)該使用全部的60個用例个盆,進行回歸測試脖岛。
6朵栖、并發(fā)用戶屬于并發(fā)執(zhí)行負載;系統(tǒng)持續(xù)運行12小時屬于疲勞強度負載柴梆;大量稿件查詢屬于大數(shù)據(jù)量負載
7陨溅、并發(fā)用戶數(shù):在某一物理時刻,同時向系統(tǒng)提交請求的用戶數(shù)轩性。
8声登、事務(wù)執(zhí)行響應(yīng)時間:是系統(tǒng)完成事務(wù)執(zhí)行準(zhǔn)備后所采集的時間戳和系統(tǒng)完成待執(zhí)行事務(wù)后所采集的時間戳之間的時間間隔,標(biāo)志了用戶執(zhí)行一項操作大致需要多長時間揣苏。
9悯嗓、交易吞吐量:每秒鐘執(zhí)行的業(yè)務(wù)數(shù)。
10卸察、漏洞掃描器的功能是:自動檢測遠程或本機主機安全性漏洞脯厨,以便于及時修補漏洞。
11坑质、漏洞掃描器的分類:①主機漏洞掃描器:在本地運行檢測系統(tǒng)漏洞合武。②網(wǎng)絡(luò)漏洞掃描器:基于網(wǎng)絡(luò)遠程檢測目標(biāo)網(wǎng)絡(luò)和主機系統(tǒng)漏洞。
12涡扼、針對系統(tǒng)的網(wǎng)絡(luò)邊界和各區(qū)域設(shè)備的情況稼跳,在系統(tǒng)及其邊界中設(shè)備A到C,3個工具接入點:
①A接入點(互聯(lián)網(wǎng)接入):設(shè)在Internet中吃沪,探測目標(biāo)系統(tǒng)的防火墻1汤善、防火墻2、web服務(wù)器票彪、web數(shù)據(jù)庫红淡、測試其對該點暴露出的安全漏洞情況。
②B接入點(web服務(wù)器區(qū)):接在交換機1上降铸,探測目標(biāo)系統(tǒng)的web服務(wù)器在旱、web數(shù)據(jù)庫、防火墻2推掸、數(shù)據(jù)庫服務(wù)器桶蝎、應(yīng)用系統(tǒng)服務(wù)器和備份服務(wù)器,測試其對該點暴露出的安全漏洞情況终佛。
③C接入點(后臺信息系統(tǒng)區(qū)):接在交換機2上俊嗽,探測目標(biāo)系統(tǒng)的數(shù)據(jù)庫服務(wù)器、應(yīng)用系統(tǒng)服務(wù)器铃彰、備份服務(wù)器绍豁,測試其對該點暴露出的安全漏洞情況。
13牙捉、黑盒測試用例設(shè)計方法包含:因果圖法竹揍、正交試驗法敬飒、功能圖法、錯誤推測法芬位、邊界值分析法无拗、等價類劃分法。
14昧碉、XSS跨站點腳本攻擊:是一種注入式攻擊英染,主要通過惡意腳本進行攻擊,任何腳本如<SCRIPT>都不該被接受被饿。例如:<script>alert(‘Wufff四康!’)</script>? <b onmouseover=alert('Wufff!')>click me!</b>
防止的主要手段是對功能符號進行編碼(轉(zhuǎn)義)。
15狭握、圖形測試的主要檢查點:
①顏色飽和度和對比度是否合適
②是否正確加載所有的圖形
③需要突出的鏈接顏色是否容易識別
16闪金、簡述頁面測試的主要方面?
①頁面的一致性
②是否考慮多種瀏覽器的需要
③是否建立了頁面文件的命名體系
④在每個頁面上是否涉及友好的用戶界面和直觀的導(dǎo)航系統(tǒng)
⑤是否充分考慮了合適的頁面布局技術(shù)论颅,如層疊樣式表哎垦、表格和幀結(jié)構(gòu)等
17、設(shè)計SQL測試語句:status:‘fulfilled’ --恃疯,OrderID:‘2014’ OR ‘1’=‘1’
采用傳遞參數(shù)的形式漏设,Java的JDBC驅(qū)動自動會將其按照相應(yīng)的類型處理,功能符號會進行轉(zhuǎn)義今妄,因為愿题,該SQL語句是安全的。
18蛙奖、從口令強度、傳輸存儲及管理等方面杆兵,可采取哪些安全防護措施雁仲?
(1)口令強度:可設(shè)置最小口令長度,同時可采取要求用戶在口令中使用非數(shù)字琐脏、字母的字符等增加口令復(fù)雜度的手段來提高口令強度攒砖。
(2)口令傳輸存儲:可采用加密或Hashing手段,系統(tǒng)服務(wù)端存儲的用戶口令可加密或Hashing后存儲日裙,網(wǎng)絡(luò)傳輸?shù)挠脩艨诹羁杉用芑騂ashing后進行傳輸吹艇。
(3)口令管理:可設(shè)置最大口令時效,強制用戶定期更新口令昂拂,引入口令鎖定機會以應(yīng)對口令猜測攻擊受神,引入口令歷史強制用戶設(shè)置新口令等。
19格侯、對口令認證機制測試應(yīng)包含的基本測試點鼻听?
(1)對用戶名稱測試的主要測試點在于測試用戶名稱的唯一性财著,即測試同時存在的用戶名稱在不考慮大小寫的情況下,不能夠同名撑碴。
(2)對用戶口令測試應(yīng)主要測試用戶口令是否滿足當(dāng)前流行的控制模式撑教。主要測試點應(yīng)包括最大、最小口令時效醉拓、口令歷史伟姐、最小口令長度、口令復(fù)雜度亿卤、加密選項及口令鎖定等愤兵。
20、客戶端USB Key測試的基本測試點怠噪?
(1)功能測試
①是否支持AES恐似、RSA等常用加解密算法? ②是否提供外部接口以支持用戶證書及私鑰的導(dǎo)入
③是否提供外部接口支持將數(shù)據(jù)傳入Key內(nèi),經(jīng)過公鑰傍念、私鑰計算后導(dǎo)出矫夷。? ④是否能實現(xiàn)USB Key插入狀態(tài)實時監(jiān)測,當(dāng)USB Key意外拔出時是否能自動鎖定用戶狀態(tài)憋槐。? ⑤是否使用口令進行保護双藕。
(2)性能測試
①是否具備私鑰不能導(dǎo)出的基本安全特性。? ②Key內(nèi)加解密算法的執(zhí)行效率是否滿足系統(tǒng)最低要求阳仔。
21忧陪、證書服務(wù)器測試的基本測試點?
(1)功能測試
①系統(tǒng)是否提供證書的申請近范、審核嘶摊、簽發(fā)與管理功能
②系統(tǒng)是否提供證書撤銷列表的發(fā)布和管理等功能。
③系統(tǒng)是否提供證書政策策略及操作管理策略评矩、自身證書安全管理等管理服務(wù)叶堆。
④是否可以提供加密證書和簽名證書
⑤證書格式是否采用標(biāo)準(zhǔn)X.509格式。
(2)性能測試
①檢查證書服務(wù)器的處理性能是否具備可伸縮配置及擴展能力斥杜。
②關(guān)鍵部分是否采用雙機熱備和磁盤鏡像等安全機制虱颗。
③是否滿足系統(tǒng)的不間斷運行、在線故障恢復(fù)和在線系統(tǒng)升級的需要
④是否滿足需求中預(yù)測的最大數(shù)數(shù)目用戶正常訪問需求蔗喂,且是否具備3~4倍冗余忘渔,并根據(jù)需要測試證書服務(wù)器的并發(fā)處理能力。
23缰儿、軟件串行輸入接口測試的測試策略以及測試內(nèi)容畦粮?
測試策略包括:測試正常和異常指令的響應(yīng)。
測試內(nèi)容包括:讀取剎車次數(shù)和清除剎車次數(shù)兩種指令。
24锈玉、讀取剎車次數(shù)指令的魯棒性測試時應(yīng)考慮輸入接口幀頭錯誤爪飘、指令碼錯誤、幀長錯誤拉背、幀尾錯誤以及整個指令長度超過4B情況师崎。
25、在負載壓力測試中沒有進行功能校驗椅棺,忽略了負載壓力情況下的功能不穩(wěn)定問題犁罩。沒有正確的功能保證,負載壓力性能測試就失去了意義两疚。
在測試過程中進行功能校驗床估,需要記錄業(yè)務(wù)操作結(jié)果,會導(dǎo)致資源消耗诱渤、操作行為增加以及產(chǎn)生大量日志等問題丐巫。
26、用戶權(quán)限的控制應(yīng)包含哪兩個方面勺美?每個方面具體的測試內(nèi)容有哪些递胧?
(1)評價用戶權(quán)限控制的體系合理性,是否采用三層的管理模式即系統(tǒng)管理員赡茸,業(yè)務(wù)領(lǐng)導(dǎo)和操作人員三級分離缎脾。
(2)用戶名稱基本采用中文和英文兩種,對于用戶名稱的測試關(guān)鍵在于測試用戶名稱的唯一性占卧。
用戶名稱的唯一性體現(xiàn)在哪些方面遗菠?
①同時存在的用戶名稱在不考慮大小寫的情況下,不能同名华蜒。
②對于關(guān)鍵領(lǐng)域的軟件產(chǎn)品和安全要求較高的軟件辙纬,同時應(yīng)當(dāng)保證使用過的用戶在用戶刪除或者停用后,保留該用戶記錄叭喜, 并且新用戶不能與之同名牲平。
27、模擬攻擊實驗:
對于安全測試來說域滥,模擬攻擊實驗是一組特別的黑盒測試案例,我們以模擬攻擊驗證軟件或信息的安全防護能力蜈抓∑舸拢可采用冒充、重演沟使,消息篡改委可,服務(wù)拒絕,內(nèi)部攻擊,外部攻擊陷阱門着倾、特洛伊木馬方法進行測試拾酝。
淚滴:淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息實現(xiàn)自己的攻擊】ㄕ撸————————防御措施有:服務(wù)器應(yīng)用最新的服務(wù)包蒿囤、或者在設(shè)置防火墻時對分段進行重組而不是轉(zhuǎn)發(fā)他們。
口令猜測:一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于Telnet或NFS這樣的服務(wù)的可利用的用戶賬號崇决,然后因為設(shè)置了簡單的密碼或沒有設(shè)置密碼材诽,導(dǎo)致黑客能夠很快的將口令猜出。=————防御措施有:要采用難以猜測的口令恒傻,比如詞和標(biāo)點符號的組合脸侥。
偽造電子郵件:由于SMTP并不對郵件的發(fā)送者的身份進行鑒定,因此黑客可以對你的內(nèi)部客戶偽造電子郵件盈厘,聲稱是來自某個客戶認識并相信的人睁枕,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網(wǎng)站的鏈接沸手⊥庥觯——————防御措施有:使用PGP等安全工具并安裝電子郵件證書。
28罐氨、系統(tǒng)安全審計功能設(shè)計的測試點有哪些臀规?
①能否進行系統(tǒng)數(shù)據(jù)收集、統(tǒng)一存儲栅隐,集中進行安全審計
②是否支持基于PKI的應(yīng)用審計
③是否支持基于XML的審計數(shù)據(jù)采集協(xié)議
④是否提供靈活的自定義審計規(guī)則塔嬉。
29、軟件可行性測試:
確定可靠性目標(biāo)
可靠性數(shù)據(jù)
分析影響可靠性的因素
可靠性模型
可靠性評價
30租悄、可靠性測試的目的谨究?
①發(fā)現(xiàn)軟件系統(tǒng)在需求、設(shè)計泣棋、編碼胶哲、測試、實施等各方面的缺陷
②為軟件的使用和維護提供可靠性數(shù)據(jù)
③確認軟件是否達到可靠性定量要求
31潭辈、采用決策表進行測試用例設(shè)計的主要步驟鸯屿?
①確定規(guī)則的個數(shù),假如有n個條件把敢,每個條件有兩個取值(0寄摆,1),則有2的n次方種規(guī)則修赞。
②列出所有的條件樁和動作樁
③填入條件項
④填入動作項:制定初始判定表
⑤簡化:合并相似規(guī)則(相同動作)
32婶恼、基本路徑測試法:是在程序控制流程圖的基礎(chǔ)上,通過分析控制構(gòu)造的環(huán)路復(fù)雜性,導(dǎo)出基本可執(zhí)行的路徑集合勾邦,從而設(shè)計測試用例的方法蚣录。
33、嵌入式軟件一般要求扇出數(shù)不大于7和注釋率不小于20%眷篇,所以此函數(shù)的扇出數(shù)和注釋率滿足要求萎河。
34、設(shè)備1铅歼、2公壤、3、4是什么設(shè)備
交換機是內(nèi)網(wǎng)設(shè)備椎椰。
設(shè)備1的防火墻是用來隔離內(nèi)外網(wǎng)的設(shè)備厦幅。
設(shè)備3的防火墻是隔離web前端和后臺數(shù)據(jù)庫的設(shè)備。
設(shè)備1是防火墻慨飘;
設(shè)備2是交換機(集線器)
設(shè)備3是防火墻
設(shè)備4是交換機(集線器)
35确憨、通信加密的目的?通信加密測試的基本方法有哪些瓤的?
通信加密的目的是:保證數(shù)據(jù)在傳輸過程中數(shù)據(jù)的保密性和一致性休弃。基本方法是:驗證和偵聽圈膏。
36塔猾、口令管理和網(wǎng)站登錄控制的基本措施:
用戶口令管理的基本措施:口令長度、復(fù)雜度(特殊字符)稽坤、時效(定期更改)
用戶登錄控制:多次登錄延時丈甸、賬戶鎖定、驗證碼尿褪。
37睦擂、什么情況下采用因果圖法?
應(yīng)用的輸出結(jié)果依賴于各種輸入條件的組合或各種輸入條件之間有某種相互制約關(guān)系杖玲。
38顿仇、分層架構(gòu)的好處?
①復(fù)用性強 ②利于合作開發(fā)? ③分層獨立? ④維護方便
39摆马、分層架構(gòu)表示層移動端涉及的三個質(zhì)量特性臼闻?
①可移植性:體現(xiàn)為不同的設(shè)備機型、分辨率的適應(yīng)情況
②易用性:體現(xiàn)為軟件產(chǎn)品被理解囤采、學(xué)習(xí)述呐、使用和吸引用戶的能力
③性能效率:針對原生、體現(xiàn)為CPU斑唬、內(nèi)存、耗電量流量、流暢度等性能參數(shù)
④功能性:針對原生恕刘,體現(xiàn)為控件操作缤谎、安裝、卸載褐着、升級坷澡、切換網(wǎng)絡(luò)等功能情況
⑤安全性:針對原生,體現(xiàn)為APP源文件含蓉、本地存儲频敛、權(quán)限控制、配置等安全馅扣。
