.安全威胁
2.安全防护策略及方法
3.认证包含实体认证(数字签名)和消息认证(报文摘要 MD5)
4.输入验证包含:XSS攻击(夸站攻击);sql注入;攻击客户端;恶意程序筛选
5.授权包含提权和越权
6.DOS包含:UDP洪水;SYN洪水;畸形消息攻击
7.白盒测试包含:静态测试和动态测试
8.画流程图的基本思路:1)剔除注释语句2)除去未初始化数据3)所有连续的串行语句4)所有的循环次数压缩为1次
9.面向数据流的开发方法,其基本思想是软件工鞥呢的分解和抽象----结构化开发方法
10.架构化开发方法包含:结构化分析(SA),结构化设计(SD),结构化程序设计(sp)
11.结构化开发方法的缺点是:对于规模大,复杂的应用系统不太适用;难维护;难适应
12.面向对象程序设计语言不支持对一个对象的成员变量进行直接访问
13.可移植性包含:适应性,易安装性,共存性,易替换性,可移植依从性
14.概要设计说明书的评测内容包含:可追溯的某一项需求;确认该软件设计是否考虑了方便未来的维护;是否所有界面与跟高级别文档中的需求一致
15.白盒测试是通过对程序内部结构的分析,检测来寻找问题的测试方法
16.需求规格说明书规定测试点
17.界面元素测试包含:窗口测试,文字测试,鼠标测试
18.web应用客户端交易处理性能评估指标包含:并发用户数;交易响应时间;通过率;吞吐量;点击率
19.导致软件缺陷的最大原因是需求规格说明书
20.测试案例说明中内容包含:输入说明;环境要求;特殊要求
21.测试记录包含:测试计划或者测试用例说明;与测试用例相关的所有结果包括在测试期间出现的所有失败;测试中涉及的人员身份
22.web浏览器的计算机与网页所在的计算机要建立TCP连接,采用http协议传输网页文件
23.数据库安全性控制机制包含:视图;密码校验;用户授权
24.CMMI的等级包含:初始级;管理级,定义级,定量管理级,优化级(定量分析不断地改进软件过程)
25.软件容错性的提高,有利于软件可靠性的提高
26.软件程序说明包含:启动,日志,设置
27.按照实施组织分为:开发方测试,用户方测试,第三方测试
28.最适合进行数字加减法运算的数字编码是原码,最适合浮点数阶码的数字码是移码;补码可以数值表示和存储;反码有效表现数字在计算机中的形式
29.计算机系统的I/O接口与主存采用统一编址则输入输出操作是通过访存址完成
30.寻址的情况
立即寻址:操作数包含在指令中
寄存器寻址:操作数在寄存器中
寄存器间接寻址:操作数的地址在寄存器中
直接寻址:操作数在内存的地址
相对寻址:以程序计数器(PC)的当前值为基地址,指令中的地址标号作为偏移号
31.著作权与版权系同一概念
32.由我国信息产业部批准发布,在信息产品部范围统一使用的标准称为:行业标准
33.软件测评标准可分为国际标准,国家标准,行业标准及企业标准,一般情况下,技术要求最高的是企业标准
34.配置管理的四个基本活动包含:配置项变更控制;配置状态报告;配置审计;配置管理标识
35.目前比较热门的软件开发工具,如:VB;PB;Delphi等都是可视化的,这些工具是一种事件驱动程序语言
36.软件质量的意义:度量与评估软件的质量;改进软件开发过程;发现软件错误
37.通用评价过程包括:确立评价需求;规定评价;设计评价;执行评价
38.质量特性包含:内部质量;外部质量;使用质量特性
39.PC机处理人耳能听见的音频信号,其频率范围为20~20KHZ
40.电视系统的颜色空间为:YUV;YIQ;YCbcr
41.双层双面只读DVD盘片的存储容量可以达到17GB
42.可以用于Internet信息服务器远程管理的是Telnet
43.TCP/IP网络中,为各种公共服务保留的端口号范围是1~1023
44.用例图包含:参与者;用例;系统边界;用例间的拓展关系(关联、包含、扩展、泛化)
45.用例规格化包含:用例名称;简要说明;参与者;前置条件;后置条件;触发器;基本事件流描述;扩展事件流描述;补充说明
46.物理地址=页面大小*物理块号+夜内地址
有效地址/页的大小=取整数就是物理块号,余数就是页内地址
47.在程序的执行过程中,cache与主存的地址映射像由专门的硬件自动完成
48.总线复用方式可以减少总线中信号线的数量
49.在CPU的寄存器中,指令寄存器对用户是完全透明
50.标识符在高级语言源程序中作为有:为变量命名;为函数命名;为数据类型命名
51.软件包质量包含:产品描述要去;用户文档要求;程序和数据要求
52.传值方式就是实参(表达式。常量。变量)的值传递给形参
传地址的方式就是将实参的地址传递给形参
53.存储容量=512*磁道数*扇区数*面数
54.1倍速=150KB/S
55.通用串行总线USB的特点包含;由4条信号线组成;2条用于传递数据;2条用于传5V、500MA的电源;可以经过集线器(HUB)连接127个设备;即插即用,支持热插拔
56.总线的物理特性包含:物理连接方式;连接的数量和类型
电器特性包含:每条信号线的信号传递方向;信号的时序特性和电平特性
事件特性包含:每根线的有效时间
功能特性包含:总线的功能层次;资源类型;信息传递的类型;信息传递和控制方式
57.数据库测试包含:数据库安全;用户授权;系统角色;审计;视图
58.连接测试包含:是否连接到该页面;连接页面是否存在;保证不存在孤立页面;测试邮件收发
59.cook包含:是否预定时间保存;刷新对cook影响
60.界面测试包含:各元素布局;界面操作的便利性;动态操作
61.吞吐量=并发用户*请求数*平均数据流
62.XSS防范手段:cook标记为http only;只允许用户输入我们希望的数据;对数据进行Html encode处理;过滤或溢出特殊的HTML标签;过滤JavaScript事件的标签例如:‘onclick=""’等
63.sql注入防范:不要信任用户的输入,要对用户的输入进行校验(正则,限制长度对单引号和和双引号进行转换等);不要动态拼装sql,可以使用参数化或者直接使用存储过程;不要使用管理员权限连接数据库;不要把机密信息明文存放;应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息
64.框架测试包含:是否可以随浏览器窗口的自动调整大小;不能完全显示内容是否提供滚动条功能;能否在正确的目标框架中打开新页面
65.表格测试包含:表格能否随窗体变化;页面变化自动调整大小
66.图形测试包含:颜色饱和度对比度是否合适;需要突出的链接的颜色是否容易识别;是否正确加载所有的图形
67.客户端配置与兼容测试包含:浏览器配置测试(缓存,cookie,显示,安全);平台兼容测试包含(window安全,linux;手机);浏览器兼容(矩阵/平台)
68.负载测试是为了测量web系统在某一负载级别上的性能,以保证web系统在需求范围内能正常工作
69.压力测试是实际破坏一个web系统,测试系统反应;压力测试是测试系统的限制和故障恢复能力也就是测试web系统会不会崩溃,在什么情况下会崩溃
70.压力测试的步骤:确定交易执行响应时间;估计web系统能够承受的最大并发用户数量;模拟用户请求,从较小的负载量开始,逐渐增加模拟量直到系统不能承受负载为止;如果负载没有达到要求则需要进行优化
71.功能测试注意:客户端的选择;客户端浏览器的配置;客户端的显示设置;内容测试
72.易用性测试包含:界面测试(各原色布局,操作便利性,动态操作);辅助功能测试(使用说明、导航、站点地图、帮助);图形测试
73.安全系统设计测试审核和评估
常识性安全策略包含:是否采取了取消不必要协议,严格控制写权限;取消服务器目录浏览器属性;保留日志记录
使用加密技术;公共秘钥加密、数字签名、链接加密、文档加密;SSL;SHTTP
审核采用的加密方式能否满足用户需求
构造防火墙:网络级、应用级、电路级
构建网络防毒体系:验证网络防毒体系设计是否防护全面,多层次和全方位
74.页面设计的测试:页面的一致性如何;在每个页面上是否设计友好的用户界面和直观的导航系统;是否考虑多种浏览器的需要;是否建立了页面文件的命名体系;是否充分考虑了合适的页面布局技术,如层叠样式表、表格和帧结构等
75.信息组织结构设计的测试包含:线性结构设计;分层结构设计;非线性结构设计
76.测试重点是验证设计模式是否适合信息的特点,能否使用户直观快捷地浏览所需信息
77.客户端设计主要面向用户的包括功能设置,信息组织结构设计和页面设计
功能设置包含:信息服务;办公自动化;Internet支持
重点验证功能是否满足用户
信息服务包含:提供多种动静态信息如公共信息、同行信息等
78.办公自动化:提供企业内部通信,工作流控制等方面的功能,以实现企业办公自动化
79.Internet支持:企业内部通过设立防火墙、代理服务器等接入Internet网,使员工享受Internet上提供的各种服务,扩大信息获取渠道,弥补Internet上功能及信息的不足
80.总体架构设计的测试包含:采用瘦客户端和胖客户端是否适合需求,设计中采用的模式是否符合系统需求;确定web架构大的组成部分是否满足客户需求需考虑到成本功能安全容量传输实时性检查各组成部分是否有搭配不兼容的地方;服务器的配置及分布是否满足需求
81.负载压力测试的主要目的是:在真实环境下检测系统性能,评估系统性能以及服务等级的满足情况;预见系统负载压力承受能力;分析系统瓶颈优化系统
82.通信加密的目的是保证数据在传输过程中数据的保密性和一致性
通信加密测试的基本方法是验证和侦听
口令管理包含:口令长度、复杂度、时效
用户登录控制:多次登录延时、账户锁定、验证码
83.应用服务器的关键指标包含:操作系统指标、缓存状况、连接池、执行队列
数据库关键指标:操作系统指标、缓存命中率、数据库进程占用cpu时间、数据库使用内存量、锁资源使用情况
84网页被篡改的途径:操作系统、网络服务、数据库等漏洞获得主机控制权(平台安全)、猜测或者确定解密密码获得管理员密码(数据安全)、通过web漏洞和设计缺陷进行攻击入侵(应用安全)
85.网络被篡改技术层面措施:给服务器打上最新的安全补丁程序;封闭未用但开放的网络服务端口;合理设计网站程序并编写安全代码;设置复杂的管理员密码;设置合适的网站权限;安装专业的网站防火墙和入侵检测系统
86。若某条无条件转移汇编指令采用直接寻址,则该指令的功能是讲指令中的地址码送入PC(尘能够徐计数器)
87.合理使用指可以不经过著作权人许可,不需要支付报酬,使用其作品
88.若程序在运行时陷入死循环,则该情况属于动态的语义错误
89.Java虚拟机采用解释器软件体系结构
90.TCP协议的主要作用是提供可靠的传输数据包
91.交换的三大特征:面向连接、返回通知、使用字节流通信号
风险控制:风险降低、风险管理计划、风险化解
92.在结构化分析模型中,数据字典描述了所有在目标系统中所使用和生成的数据对象
93.若UML类图中包含订单和订单的明细两个类,则这两个类的关系应为组装
94.在结构化分析方法中,一举数据流图来进行接口设计
95.一个优秀的概念设计包括:用客户语言编写、描述系统功能、与需求文档连接
96.系统可维护性的评价指标包含:可理解性、可测试性、可修改性
97.编写测试计划的目的是使测试工作顺利进行、使项目参与人员沟通顺畅、测试工作更加系统化
98.自动化测试工具中测试用例生成是最难自动化的,白盒测试仅与程序的内部结构有关,完全可以不考虑程序的功能要求
99.在GB/T 17544中,软件质量要求包括三部分既产品描述要求、用户文档要求、程序和数据要求
100.软件内部/外部质量模型中,可移植性包括适应性、共存性、易替换性