2023年软件评测师真题含答案

年软件评测师真题（含答案）2023共分20阅读下列程序，回答问题至问题将解答填入答题纸的对应栏内C13,【程序】C；int GetMaxDayint year,int month{int maxday=0//Iif month=lmonth=12{//2,3ifmonth==2{//4if year%4==0{//5ifyear0==0{//6if year®0==0//7maxday=29;//8else//9maxday=28;}else//10maxday=29;}elsemaxday=28;//ll}else{//12if month=4||month=6||month=9||month=11//13,14,15,16maxday=30;//17else//18maxday=31;}}return maxday;//19}【问题］（分）16设计测试用例以测试注入，并阐明该实现与否能防止SQL SQL注入参照答案【问题】1用例用例；1IMG SRC=2IMG SRC=\\\nt:alertXSS\防御袭击措施验证所有输入数据，有效检测袭击；对所有输出XSS数据进行合适的编码，以防止任何已成功注入的脚本在浏览器端运行防御规则不要在容许位置插入不可信数据

1.在向元素内容插入不可信数据前对解码在向

2.HTML HTML

3.HTML常见属性插入不可信数据前进行属性解码在向插入不可信数据前，进行

4.HTML JavaScriptDATA Values解码在像样式属性插入不可信数据前，进行解码JavaScript5,HTML CSS

6.在向属性插入不可信数据前，进行解码【问HTML URLURL题】2图形测试重要检查点:颜色饱和度和对比度与否合适需要突出的链接的颜色与否轻易识别与否对时加载所有的图像【问题】页面的一致性怎样3在每个页面上与否设计友好的顾客界面和直观的导航系统与否考虑多种浏览器的需要与否建立了页面文献的命名体系与否充足考虑了合适的页面布局技术，如层叠样式表、表格和帧构造等【问题］能防止注入4SQL二Pstmt.setString Clor1’1,status Pstmt.setString2or二T I,orderlD试题分析【问题】1袭击跨站脚本袭击是一种常常出目前XSS CrossSite Scriptingweb应用中的计算机安全漏洞，它容许恶意顾客将代码植入到web提供应其他顾客使用日勺页面中例如这些代码包括代码和客户HTML端脚本用例用例1IMGSRC=XSS;\2IMGSRC=\\\nt:alert CXSS;\防御袭击措施验证所有输入数据，有效检测袭击；对所有输出XSS数据进行合适日勺编码，以防止任何已成功注入的脚本在浏览器端运行防御规则不要在容许位置插入不可信数据在向元素内容插入不可信数据前对解码在向常见HTML HTMLHTML属性插入不可信数据前进行属性解码在向插入不可信数据前，进行HTML JavaScriptDATA Values解码在像样式属性插入不可信数据前，进行解码在JavaScript HTMLCSS向属性插入不可信数据前，进行解码【问题21HTML URLURL图形测试，重要检查点如下颜色饱和度和对比度与否合适需要突出日勺链接颜色与否轻易识别与否对日勺加载所有日勺图形【问题】3页面是信息日勺载体，直接体现沾点的设计水平，一种好欧页WEB J面因信息层次清晰而让顾客一目了然；因波及巧妙、精致美观而让顾客流连忘返；因恰当使用多种元素能完毕许多功能而不显拥挤对页面设计的测试可以从如下几种方面进行页面的一致性怎样在每个页面上与否设计友好的顾客界面和直观的导航系统与否考虑多种浏览器的需要与否建立了页面文献日勺命名体系与否充足考虑了合适日勺页面布局技术，如层叠样式表、表格和帧构造等【问题】4注入是黑客袭击数据库的一种常用措施，其实就是通过把命SQL SQL令插入到表单或页面祈求的查询字符串中提交，最终到达欺骗服务器Web执行恶意的命令，来到达袭击的目的SQL本题中给出的语句不能防止注入，设置的这个测试用例只要SQL SQL包括功能符号，然后使得语句不符合原设计意图即可例如，包SQL SQL括了“一”或”等，那么整个语句为将为intClientSubmitScore85；为DELETE FROMscore--strStudentID1000这样语句执行就变成SQL UPDATEStudentScore SETscore=85防止注入时有些DELETE FROMscore--WHERE Stuent_ID=1000;SQL措施重要有拼接之前先对特殊符合进行转义，使其不作为日勺SQL SQL功能符合即可对于本题由于将语句中的输入值，使用参数方式传送，并且SQL ISQL语句进行预编译，这样由于防止注入式袭击，测试用例设计可参昭./、、、•，二，Pstmt.setString Clor1=1status Pstmt.setString2or T’1orderlD试题四共分20阅读下列阐明，回答问题至问题将解答填入答题纸的对应栏内I3,某大型教育培训机构近期上线了在线网络学校系统，该系统拓扑构造如图所示4-1企业信息中心目前拟对该系统顾客认证机制进行详细的安全性测试，系统注册顾客分为网校学员、教师及管理员三类，其中网校学员采用顾客名/口令机制进行认证，教师及管理员采用基于公钥的认证机制【问题】（分）18为防止针对网校学员的口令袭击，请从口令的强度、传播存储及管理等方面，阐明可采用哪些安全防护措施对应地，对于网校学员所采用的口令认证机制进行测试时，请阐明从顾客名称及顾客口令两个方面开展测试时应包括哪些基本的测试点【问题】（分）26为提高系统认证环节安全性，系统在网校教师及管理员登录认证时引入了请阐明对公钥认证客户端进行安全测试时，的功能与USB Key,USB Key性能测试应包括哪些基本的测试点【问题（分）3]6系统证书服务器重要提供证书审核注册管理及证书认证两项功能，根据系统实际状况，目前只设置人员证书，请阐明针对证书服务器的功能与性能测试应包括哪些基本的测试点参照答案【问题】1通过安全方略设置密码的最小长度，设置口令锁定，使用通信加密技J术，对存储在数据库中的数据进行加密、设置访问控制等对于顾客名称的测试关键在于测试顾客名称的惟一性同步存在的顾客名称在不考虑大小写的状态下，不能同名

1.对于关键领域的软件产品和安全性规定较高的软件，应当同步保证使

2.用过时日勺顾客在顾客删除或停用后，保留该顾客记录，并且新顾客不得与该顾客同名测试顾客口令日勺强度和口令存储的位置和加密强度最大口令时效最小口令时效口令历史最小口令长度口令复

1.

2.

3.

4.

5.杂度加密选项口令锁定账户复位【问题】功能测试

6.

7.

8.2•9999・・・・・・与否具有基础加/解密服务功能能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持I伴随业务量的逐渐增长，与否可以灵活地增长密码服务模块，实现性能平滑扩展，且不影响上层的应用系统性能测试算法密钥长度能否到达位，算法密钥长度能否到RSA1024-2048ECC达位192假如有必要进行系统速度测试，对应用层的客户端密码设备测试项公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度，验证与否满足需求处理性能如公钥密码算法签名等与否具有扩展能力【问题】3对证书业务服务系统的功能测试证书认证系统与否采用国际密码主管部门审批的签名算法完毕签名

1.操作，与否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表日勺公布以及证书审核注册中心日勺设置、审核及管理等功能.按使用对象分类，系统与否能提供人员证书、设备证书、2机构证书三种类型的证书与否可以提供加密证书和签名证书数字证书格

3.

4.式与否采用X.509V4系统与否提供证书申请、身份审核、证书下载等服务功能

5..证书申请、身份审核、证书下载等服务与否都可采用在线或离6线两种方式系统与否提供证书认证方略及操作方略管理、自身证书安全管

7.理等证书管理服务证书业务服务系统性能测试检查证书业务服务系统设计的处理性能与否具有可伸缩配置及扩展的

1.能力关键部分与否采用双机热备份和磁盘镜像

2.与否满足系统日勺不间断运行、在线故障修复和在线系统升级

3.与否满足需求阐明中预测的最大数量顾客正常访问的需求，

4.并且，与否有3〜4倍的冗余，如有必要，需要测试系统时并发压力承受能力试题分析【问题】1口令袭击目前常见的方式有社会工程学；暴力破解；弱口令扫描；密码监听等，对于网校网站针对社会工程学方面仅能友善提醒有关人员保护密码；对于密码监听，可以采用通信加密的方式来从技术方面进行一定的保护；对于弱口令扫描，可以通过配置安全方略让顾客设置一种安全密码，防止设置弱密码，增长口令破解日勺难度，同步设置密码锁定方略，可以有效的方式密码扫描和暴力破解；对于存储在数据库服务器中的顾客密码则可以通过加密方式和数据库的访问控制来保证密码存储的安全对于顾客名称的测试关键在于测试顾客名称的唯一性唯一性的体现基本基于如下两个方面）1同步存在的顾客在不考虑大小写的状态下，不可以同名I）对于关键领域的软件产品和安全性规定较高的软件，应当同步保证2使用过时顾客在顾客删除或停用后，保留该顾客记录，并且新顾客不得与该顾客同名顾客口令应当满足目前流行的控制模式，注意测试顾客口令的强度和口令存储日勺位置和加密强度最大口令时效最小口令时效口令历史最小口令长度口令复杂度加密选项口令锁定账户复位【问题】2本题引入认证方式，该认证采用时是认证方式，测试是USB-Key PKI对有关的公钥客户进行日勺功能和性能测试，对于公钥功能和性USB-Key能进行测试重要包括如下内容功能测试与否具有基础加/解密服务功能请针对上述程序给出满足（鉴C100CI定覆盖）所需的逻辑条件【问题】（分）29请画出上述程序日勺控制流图，并计算其环路复杂度（）V G【问题】（分）35请给出问题中控制流图日勺线性无关途径2参照答案【问题】1Month=lmonth=12Month==2Year%4==0Year0==0二二【问Year@0==0Month==2Month==4Month==6Month==9Month11题】2（）【问题】、、、V G=

11312123、、、、、、、、、、、、、、

1234121317191234121314、、、、、、、、、、、、、、、、

171912341213141517191234121314、、、、、、、、、、、、、、、

1516171912341213141516181912、、、、3451119能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持伴随业务量的逐渐增长，与否可以灵活地增长密码服务模块，实现性能平滑扩展，且不影响上层的应用系统性能测试算法密钥长度能否到达位，算法密钥长度能否到RSA1024~2048ECC达位192假如有必要进行系统速度测试，对应用层的客户端密码设备测试项公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度，验证与否满足需求处理性能如公钥密码算法签名等与否具有扩展能力【问题3]对证书业务服务系统日勺功能测试证书认证系统与否采用国际密码主管部门审批日勺签名算法完毕签名操作，与否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表日勺公布以及证书审核注册中心的设置、审核及管理等功能按I使用对象分类，系统与否能提供人员证书与否可以提供加密证书和签名证书数字证书格式与否采用X.509V4系统与否提供证书申请、身份审核、证书下载等服务功能证书申请、身份审核、证书下载等服务与否都可采用在线或离线两种方式系统与否提供证书认证方略及操作方略管理、自身证书安全管理等证书管理服务证书业务服务系统性能测试检查证书业务服务系统设计的处理性能与否具有可伸缩配置及扩展的能力关键部分与否采用双机热备份和磁盘镜像与否满足系统的不间断运行、在线故障修复和在线系统升级与否满足需求阐明中预测的最大数量顾客正常访问日勺需求，并且,与I否有3〜4倍的冗余，如有必要，需要测试系统时并发压力承受能力试题五（共分）20阅读下列阐明，回答问题至问题将解答填入答题纸的对应栏内14,某嵌入式刹车控制软件，应用于汽车刹车控制器，该软件需求如下:.模式选择采集模式控制离散量信号并通过模式识别信号灯显1In-Dl示软件目前工作模式在信号为低电平时进入正常工In-Dl作模式（模式识别信号灯为绿色），为高电平时进入维护模式（模式识别信号灯为红色）软件在正常工作模式下仅进行刹车控制和记录刹车次数，在维护模式下仅进行中央控制器指令响应刹车控制采用定期中断机制，以为周期采集来自驻车器发出

2.5ms的模拟量信号以及来自刹车踏板发出的模拟量信号并向刹车执行In-Al ln-A2,组件发送模拟量信号进行刹车控制Out-Al模拟量信号阐明）、以及信号范围均为1In-Al ln-A2Out-Al[

0.0V,

10.0V],信号精度均为）信号的计算措施为

0.1V;2Out-Al Out-AI=ln-AI+

0.3*ln-A2,在计算完毕后需要在满足信号精度的规定下进行四舍五入及限幅处理记录刹车次数；在不小于时，读出非易失存储器

3.Out-Al4V NVRAM中保留时刹车次数记录进行加操作，然后保留至非易失存1储器申NVRAM.响应中央控制器指令；接受来自中央控制器日勺串行口指令字4回送串行口响应字当接受的指令字错误时，软件直接丢弃该命In-Sl,Out-Slo令字，不进行任何响应指令字及响应字阐明如表所示5-1【问题】（分）14在不考虑测量误差日勺状况下，根据所设计日勺输入填写表中日勺5-2空⑴⑷〜【问题】（分）28请简述本软件串行输入接口测试的测试方略及测试内容针对表中5-1“读取刹车次数指令”进行鲁棒性测试时应考虑哪些状况？【问题】（分）36某测试人员设计了如表所示的操作环节，对模式选择功能进行测试5-3（表中表达用例到此结束）END为深入提高刹车控制软件的安全性，在需求中增长了设计约束:软件在单次运行过程中，若进入正常工作模式，则不得再进入维护模式请参照表的测试用例完毕表用于测试该设计约束5-35-4,【问题】分42本项目在开发过程中通过测试发现了个错误，后期独立测试发现了17个软件错误，在实际使用中顾客反馈了个错误请计算缺陷探测率312DDP参照答案【问题】【问题】应进行错误数

114.

627.33104102据处理，异常状况处理和非法操作处理三类测试9••••错误数据处理的测试措施是向指定模块人为输入非法数据，检查终端软件的反应和提醒信息与否正常异常状况处理是测试非人为原因导致时异常，检查测试终端对异常的状况处理与否正常I终端软件异常重要测试低电的状况，使用电量左右的电池进入各15%个模块进行测试，检查电量局限性状况下模块日勺工作状况，低电提醒不应当对正在进行的操作产生不良影响I非法操作处理是在模块基本功能操作的同步进行人为原因导致的终端I软件异常操作，包括拔电池，同步还包括在执行中进行非法时操作，如同步时修改删除同步数据，大容量数据传播时修改删除数据，终端软件升级被外界原因干扰检查下次终端软件升级等对于非法的操作终端软件不应当产生垃圾数据，并且能保留已经编辑的数据，保证没有数据丢失根据测试规范和需求，分析终端软件轻易产生异常数据的状况，根据

1.错误数据分析成果设计测试用例考虑测试环境中非人为原因异常状况设计测试用例客户端应处理

2.对欧并且终端软件应根据规范规定给出明确错误原因，I,有些模块在异常状况消失后启动自动重试和恢复机制终端软件异常操作，包括拔电池，同步还包括在执行中进行非法的操

3.作【问题】3【问题4117+31/17+31+2=96%试题分析【问题】1本题根据公式进行计算，注意取值范围为[0,10]1ln-Al=3ln-A2=

5.2Out-Al=3+5,2*0,3=4,62ln-Al=

5.3ln-A2=

6.8Out-Al=

5.3+6,8*0,3=

7.3范围为到3ln-Al=

7.1ln-A2=10Out-Al=

7.1+10*

0.3=100104范围为到【问题】ln-Al=10ln-A2=10Out-Al=10+10*

0.3=100102应进行错误数据处理，异常状况处理和非法操作处理三类测试错误数据处理的测试措施是向指定模块人为输入非法数据，检查终端软件的反应和提醒信息与否正常异常状况处理是测试非人为原因导致时异常，检查测试终端对异常的状况处理与否正常终端软件异常重要测试低电的状况，使用电量左右日勺电池进入I15%各个模块进行测试，检查电量局限性状况下模块的工作状况，低电提醒不应当对正在进行时操作产生不良影响非法操作处理是在模块基本功能操作的同步进行人为原因导致的终端软件异常操作，包括拔电池，同步还包括在执行中进行非法欧操作，如同J步时修改删除同步数据，大容量数据传播时修改删除数据，终端软件升级被外界原因干扰检查下次终端软件升级等对于非法的操作终端软件不应当产生垃圾数据，并且能保留已经编辑时数据，保证没有数据丢失根据测试规范和需求，分析终端软件轻易产生异常数据的状况，根据错误数据分析成果设计测试用例考虑测试环境中非人为原因异常状况设计测试用例客户端应处理对时，并且终端软件应根据规范规定给出明确错误原因，有些模块在异常状况消失后启动自动重试和恢复机制终端软件异常操作，包括拔电池，同步还包括在执行中进行非法的操J作【问题】3根据题干中“软件在单次运行过程中，若进入正常工作模式，则不得再进入维护模式”规定，结合表得出5-3【问题41计算公式二测试发现的缺陷/（测试和客户发现错误数之和），DDP DDP本题测试发现错误为（）；客户发现错误为因此17+312DDP=17+31/17+31+2=96%、、、、、、、234567819试题分析判断覆盖设计足够的测试用例，使得程序中的每个鉴定至少都获得一次“真值”或“假值”，或者说使得程序中的每一种取“真”分支和取“假”分支至少经历一次，因此鉴定覆盖又称分支覆盖对于本题中鉴定的I条件有Month=lmonth=12Month==2Year%4==0Year0==0二二二二二二Year@0==0Month2Month4Month6【问题】Month==9Month==ll2控制流图是描述程序控制流的一种图示措施其基本符号有圆圈和箭线圆圈为控制流图中的一种结点，表达一种或多种无分支的语句；带箭头的线段称为边或连接，表达控制流基本构造如下所示:控制流程图的环路复杂性等于控制流程图中的区域个数VG12边数-结点数鉴定数二【问+23+1V G11题】3线性无关途径是指包括一组此前没有处理的语句或条件的一条途径I从控制流图来看，一条线性无关途径是至少包具有一条在其他线性无关途径中从未有过时边的途径、、、

1122123、、、、、、、、、、、、、、、

31234121317194123412131417、、、、、、、、、、、、、、、

1951234121314151719612341213、、、、、、、、、、、、、、、

1415161719712341213141516181981、、、、、、、、、、、、、、、、

2345111991234561019101234、、、、、、、、、、、、567919111234567819试题二共分15阅读希埃尔阐明，回答问题至问题将解答填入答题纸的对应栏内.13,某商店为购置不一样数量商品的顾客报出不一样的价格,其报价规则如表所示.2-1如买件需要支付元，买件需要支付1110*30+1*27=32735元目前该商家开发一种软件输入为10*30+10*27+10*25+5*22=930商品数（）输出为因付的价钱【问题一】（分）C1=0100,P6请采用等价类划分法为该软件设计测试用例（不考虑为非整数的状C况）.【问题二】（分）6请采用边界值分析法为该软件设计测试用例（不考虑强健性测试,既不考虑不在到之间或者是非整数的状况）.【问题三】（分）C11003列举除了等价类划分法和边界值分析法以外的三种常见的黑盒测试用j例测试反法.参照答案【问题）1测试用例131〜100中任意一种数测试用例2101测试用例30测试用例中任意一种数测试用例中任意一41-10511-20种数测试用例621〜30中任意一种数【问题2】错误推测法、因果图法、判断表法、正交试验法、功能图法、场景法试题分析【问题】1划分等价类的条原则6（）在输入条件规定了取值范围或值日勺个数日勺状况下，可以确1立一种有效等价类和两个无效等价类（）在输入条件规定了输入值的集合或者规定了“必须怎样”2的条件的状况下，可以确立一种有效等价类和一种无效等价类（）在输入3条件是一种布尔量的状况下，可确定一种有效等价类和一种无效等价类（）在规定了输入数据的一组值（假定个），并且程序要对每一4n种输入值分别处理日勺状况下，可确立个有效等价类和一种无效等价类n（）在规定了输入数据必须遵守的规则的状况下，可确立一种5I有效等价类（符合规则）和若干个无效等价类（从不一样角度违反规则）（）6在确知已划分日勺等价类中，各元素在程序处理中的方式不一样的状况下，则再将该等价类深入地划分为更小时等价类本题中重要范围限制为即可以划分为两个无效和一种有效1=C=1OO,等价，但由于每一种小时等价类是单独处理的，因此需要再深入日勺划分测试用例中任意一种数测试用例测试用例131~100210130测试用例41-10中任意一种数测试用例511〜20中任意一种数测试用例中任意一种数【问题】621~302边界值设计测试用例，应遵照的原则）假如输入条件规定了值得范围，则应取刚到达这个范围日勺边界值，1以及刚刚超过这个范围边界时值作为测试输入数据）假如输入条件规定了2值得个数，则用最大个数、最小个数、比最小个数少、比最大个数多时数作为测试数据）根据规格阐明日勺每个输出条件，使13用前面的原则）根据规格阐明的每个输出条件，应用前面的原则142）假如程序的规格阐明给出的输入域或输出域是有序集合，则应选5I用集合的第一种元素和最终一种元素作为测试用例）假如程序中使用了一6种内部数据构造，则应当选择这个内部数据构造边界上的值作为测试用例）7分析规格阐明，找出其他也许的边界条件根据边界值设计测试用例的原则，本题测试用例应选择、、

01、、、、、、、【问题】1011202130311001013黑盒测试的措施有等价类划分、边界值分析、因果图法、鉴定表法、正交试验法、功能图法、场景法、错误推测法等因此本题可选错误推测法、因果图法、判断表法、正交试验法、功能图法、场景法中的种I3试题三（共分）阅读下列阐明，回答问题至问题将解答填入答20I4,题纸的对应栏内I某大型披萨加工和销售商为了有效管理披萨的生产和销售状况,欲开发一套基于的信息系统其重要功能为销售、生产控制、采购、运送、Web存储和财务管理等系统采用平台开发，页面中采用表单实现数Java EE据的提交与交互，使用图形（）以提高展示效果【问题】（Graphics16分）设计两个表单项输入测试用例，以测试（跨站点脚本）袭击系XSS统设计时可以采用哪些技术手段防止此类袭击【问题】（分）23简述图形测试日勺重要检查点【问题（分）3]5简述页面测试的重要方面【问题（分）4]6系统实现时，对销售订单的更新所用的语句如下SQLPreparedStatement pStmt=（二？connection,prepareStatementC UPDATESalesOrder SETstatus二？「）；WHERE OrderlD然后通过）；日勺方式设置参数值后加以执行setStringJ。