问答の知识

1、软件测试质量包含哪些管理因素？

答：

①测试过程，例如：技术过程、管理过程、支持过程

②测试人员及组织

③测试工作文档，例如：测试计划、测试说明、测试用例、测试报告、问题报告。

2、软件测试质量控制的主要方法包括：

①测试文档评审 ②测试活动审核 ③制定质量保证计划 ④采取背靠背测试

3、测试用例覆盖率概念：=测试需求对应数目/测试需求数目

4、缺陷修复率概念：=累计关闭的缺陷数/累计打开的缺陷数

5、缺陷探测率 = 测试人员发现的缺陷数 / 测试人员发现的缺陷数+用户发现的缺陷数

6、验收测试的依据：根据合同、《需求规格说明书》或《验收测试计划》对成品进行验收测试。对环境要求：生产环境或软硬件配置接近生产环境的模拟环境。

7、软件产品的功能性测试关注的子特性有：

答：①适应性：软件为指定的任务和用户目标提供一组合适功能的能力

②准确性：软件提供所需精确度的正确或相符合效果及效果的能力

③保密安全性：软件产品保护信息和数据的能力

④互操作性、互用性：软件产品与一个或更多规定系统进行交互的能力

⑤功能依从性：软件依从同功能性相关的标准、约定或法规的能力

8、Bug的错误类型：功能性错误、可靠性错误、易用性错误、效率错误、维护性错误、可移植性错误

9、Bug的严重层级：致命的、严重的、一般的、建议的

10、Bug管理从发现到关闭的状态：

答：

①发现 （new。测试中发现新的软件bug）

②打开（open，被确认并分配给相关开发人员处理）

③修正（fixed，开发人员已修正，等测试人员验证）

④延期（referred，不在当前版本修复，下一版本修复）

⑤拒绝（declined，拒绝修改bug）

⑥关闭（closed，Bug已被修复，测试人员验证通过，关闭bug）

11、可靠性的含义：在规定的条件下，在规定的时间内，软件不引起系统失效的概率。

12、影响可靠性的因素有：

①运行剖面 ②软件规模 ③软件内部结构 ④软件的开发方法和开发环境 ⑤软件的可靠性投入等。

13、可靠性评价：失效概率、可靠度、平均无失效时间

失效概率：是软件从运行开始到某一时刻t为止，出现失效的概率

可靠度：是软件系统在规定的条件下，规定的时间内不发生失效的概率

平均无失效时间（平均无故障时间 MTTF）：指软件运行后，到下一次出现失效的平均时间，系统可靠性越高，平均无故障时间越长。

失效严重程度：就是对用户具有相同程序影响的失效集合。

故障强度：以单位运转时间的软件故障停机小时表示停机诗词的长短，公式为：软件故障强度率 = 100% × 软件故障停机小时/软件实际运转时间

14、软件可靠度R(t) 和软件失效概率之间的关系为：R（t）= 1 - F（t），最后结果是百分比%。（不符合可靠度要求）

15、软件可靠性测试的目的：

①发现软件系统在需求、设计、编码、测试、实施等方面的各种缺陷。

②为软件的使用和维护提供可靠性数据

③确认软件是否达到可靠性的定量要求

16、完整的软件可行性测试如下图所示：

图1

17、广义的软件可靠性测试：为了最终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系统实施的一种测试。

18、狭义的软件可靠性测试：为了获取可靠性数据，按预先确定的测试用例，在软件的预期使用环境中，对软件实施的一种测试。

19、通过入侵进行网页纂改的途径有：以及对应的安全系统防护体系层次为：

通过操作系统、网络服务、数据库等漏洞获得主机控制权 ====对应：平台安全

通过猜测或破解密码获得管理员密码 ====对应：数据安全

通过web漏洞和设计缺陷进行攻击入侵 ====对应：应用安全

20、针对网页被纂改的问题，从技术层面的防范措施：

①给服务器打上最新的安全补丁

②封闭未用但开放的网络服务端口

③合理设备网站程序并编写安全代码

④设备复杂的管理员密码

⑤设置合理的网站权限

⑥安装专业的网站防火墙和入侵检测系统

21、防纂改系统的基本功能：

①自动监控

②自动备份和恢复

③自动报警

④区分合法更新 与 非法纂改

22、安全防护体系层级分为7层：（简述系统的安全防护体系包括的层次？）

①实体安全

②平台安全

③数据安全

④通信安全

⑤应用安全

⑥运行安全

⑦管理安全

23、对于服务器操作系统安全，从哪些方面进行测评？

1、是否关闭或下载了不必要的服务和程序；

2、是否存在不必要的账；

3、权限设置是否合理；

4、安装相应的安全补丁程序的情况

5、操作系统日志管理等。

24、软件的安全日志应当记录哪些信息？在安全测试中应当检查安全日志的哪些方面？

日志应当记录所有用户访问系统的操作内容，包括登录用户名称、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间和登录机器的IP等测试报告应对日志的完整性、正确性做出评价，以及系统是否提供了安全日志的智能分析能力，是否按照各种特征项进行日志统计。

23、系统的通信吞吐量：P=N（并发用户的数量）× T（每单位时间的在线事务数量） × D（事务服务器每次处理的数据负载）    最终单位：KB/s

24、负载压力测试的主要目的：

①在真实环境下检测系统性能，评估系统性能以及服务等级的满足情况

②预见系统负载压力承受力，在应用实际部署之前，评估系统性能

③分析系统瓶颈、优化系统

25、系统可能存在的瓶颈：

①服务器CPU性能不足

②数据库设备不足或优化不够

③软件系统设计不足或优化不够

④系统没用采用合适的并发/并行策略

⑤服务器网络带宽不足

26、链接测试的目的：链接测试的主要方面：

确保Web应用功能能够成功实现。

①链接是否能够正确链接到目标页面

②被链接的目标页面是否存在

③是否存在孤立页面，即需要通过特定的url才能访问到的页面

27、Web应用安全性测试考虑哪些方面？

Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。

28、通过SSL访问，Web应用的安全性测试用例有：

①SQL注入测试用例：用户名：name'or'a'＝'a，密码：password'or'a'＝'a；或者用户名：name'-，密码：password。（name为系统内有或者无的用户名）；

②测试SSL：某链接URL的https://换成http://；

③内容访问：https://domain/f00/bar/content.doc（注：域名和路径为应用的域名和路径）；

④内部URL拷贝：将登录后的某URL拷贝出来，关闭浏览器并重启后将URL粘贴在地址栏访问内部内容。

29、用户权限控制体系合理性评价的测试内容包含：

①是否采用系统管理员、业务领导、操作人员三级分离的管理模式；

②用户名称是否具有唯一性，口令的强度及口令存储的位置和加密强度等；

①用户权限系统本身权限分配的细致程度

②特定权限用户访问系统功能的能力测试

30、冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。

31、重演攻击（或重放攻击）：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业资源的访问。

32、服务拒绝攻击：攻击者通过向认证服务或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。

33、内部攻击：不具有相应权限的系统合法用户以非授权方式进行动作，如截获并存储其他业务部门的网络数据流，或对系统访问控制管理信息进行攻击以获得他人权限等。

34、系统安全审计功能设计的测试点包括：

①能否进行系统数据收集，统一存储，集中进行安全审计；

②是否支持基于PKI的应用审计；

③是否支持基于XML等的审计数据采集协议；

④是否提供灵活的自定义审计规则；

35、测试用例设计原则：

设计测试用例时，应该考虑到合法的输入和不合法的输入，以及各种边界条件；制定严格的测试计划，并把测试时间安排得尽量宽松；穷举测试是不能实现的；程序员应该避免检查自己的程序，测试工作应该由独立的专业的软件测试机构来完成。

36、疲劳强度测试是采用系统稳定运行情况下能够支持的最大并发用户数，或者日常运行用户数，持续执行一段时间业务，确定系统处理最大工作量强度性能的过程。

37、负载压力测试是在一定约束条件下测试系统所能承受的并发用户量、运行时间、数据量，以确定系统所能承受的最大负载压力，是性能测试的重要组成部分。负载压力测试有助于确认被测系统是否能够支持性能需求，以及预期的负载增长等。通过测试可以发现在不同负载场景下会出现的，例如速度变慢、内存泄漏等问题的原因。

38、安全性测试与评估是软件安全性测试的重要内容，其测试与评估的基本内容包括：①用户认证机制；②加密机制；③安全防护策略；④数据备份与恢复手段；⑤防病毒系统等。

39、在负载压力测试中没有进行功能校验，忽略了负载压力情况下的功能不稳定问题。没有正确的功能保证，负载压力性能测试就失去了意义。在测试过程中进行功能校验，需要记录业务操作结果，会导致资源消耗、操作行为增加以及产生大量日志等问题。

40、表单测试是Web应用功能测试，方面：

①每个字段的验证

②字段的缺省值

③表单中的输入验证

④表单操作的完整性

41、防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义或者等价方式，使其不作为SQL语句的功能符号。

42、故障恢复：测试整个ERP系统是否存在单点故障，任何一台设备失效时，能否按照预定义的规则实现快速切换；是否采用磁盘镜像技术，实现主机系统到磁盘系统的高速连接。

43、数据备份：ERP系统关键业务是否具备必要的双机热备或磁盘镜像等热备份机制；对于整个ERP业务，是否提供外部存储器备份和恢复机制，保证系统能够根据备份策略恢复到指定时间的状态。

44、容灾备份：ERP系统是否建立异地容灾备份中心，当主中心发生灾难性事件时，可由备份中心接管所有业务；备份中心是否有足够的带宽确保与主中心的数据同步，是否有足够处理能力来接管主中心的业务，能否确保快速可靠的与主中心的应用切换。

45、敏感数据加密保护和数据库访问方式的测试内容为：

①敏感数据的加密保护：由于ERP系统的用户权限和口令存储在数据库中，因此需要测试相应敏感数据是否采用加密算法进行加密保护。

②数据库访问方式测试：是否为不同应用系统或业务设置不同的专门用户用于数据库访问，应杜绝在代码中使用超级用户及默认密码对数据库进行访问。

46、常见的安全防护策略有以下四种：

①安全日志：安全日志用于记录非法用户的登录名称、操作时间及内容等信息，以便发现问题并提出解决措施；安全日志仅记录相关信息，不对非法行为做出主动反应，属于被动防护的策略。

②入侵检测系统：入侵检测系统是一种主动的网络安全防护措施，从系统内部或各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击，通常入侵检测系统还应对入侵行为做出紧急响应；

③漏洞扫描：漏洞扫描是对软件系统及网络系统进行与安全相关的检测，以找出安全隐患和可被黑客利用的漏洞；

④隔离防护：隔离防护是将系统中的安全部分与非安全部份进行隔离的措施，主要的技术手段有防火墙和隔离网闸等，其中防火墙主要用于内网和外网的逻辑隔离，而网闸则主要用于实现内网和外网的物理隔离。

47、针对防火墙的测试点：

①是否支持交换和路由两种工作模式；

②是否支持对FTP、HTTP、SMTP等服务类型的访问控制；

③是否考虑防火墙的冗余设计；

④是否支持对日志的统计分析功能，日志是否可存储在本地或网络数据库中；

⑤对防火墙或受保护内网的非法攻击，是否提供多种告警方式和多种级别的告警。

48、针对入侵检测系统的测试点：

①能否在检测到入侵事件时，自动执行切断服务、记录入侵过程、报警等动作；

②是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载；

③能否提供多种方式对监视引擎和检测特征进行定期更新；

④内置的网络能否使用状态监控工具或网络监听工具。

49、测试工作的开展：

测试工作开展得太晚。

测试工作应该覆盖需求分析、概要设计、详细设计、编码等前期阶段，而不应该在系统开发初步完成后才开始。

50、功能测试的依据，正确的依据应该是需求规格说明书，而不是用户界面，因为界面实现的功能是否正确的理解和表达了用户需求为不可知。

测试人员功能测试的方法不正确

系统功能测试应该追溯到用户需求，针对界面进行功能测试是错误的。

51、本题考查两个知识点:

(1)缺陷管理的流程和职责

(2)回归测试的概念

答案要点如下:

(1)开发工程师无权决定是否延期或者暂停修改某一缺陷;

(2)测试工程师认可暂停修复缺陷的决定是不合理的;

(3)测试工程师应该跟踪缺陷状态，直至确定修改后关闭缺陷，才是完成了测试任务;

(4)回归测试应该执行所有的用例，不是仅仅执行与该缺陷有关的用例;

(5)产品发布前，应该对发现的缺陷进行评审;

(6)应该分析缺陷修复情况之后才可以发布产品。

52、本题考查配置管理的知识点

产品最后由开发人员直接发布不合理(基线库中的产品应该是最后经过测试的。)实际最后发布的产品应该从产品库中提取。

53、自动化测试的五个优势

(1)提高测试质量;

(2)提高测试效率，缩短测试工作时间;

(3)提高测试覆盖率;

(4)执行手工测试不易完成的测试任务;

(5)更好地重现软件缺陷的能力;

(6)更好地利用资源;

(7)增进测试人员与开发人员之间的合作伙伴关系;

(8)能执行测试步骤更长，综合性更强的测试用例;

(9)更快地反馈软件质量情况;

53、请简述本软件串行输入接口测试的测试策略及测试内容。针对表1中"读取刹车次数指令"进行鲁棒性测试时应考虑哪些情况?

测试策略包括测试正常和异常指令的响应

测试内容包括读取刹车次数和清除刹车次数两种指团

对"读取刹车次数指令"鲁棒性测试时应考虑输入接口帧头错误、指令码错误、帧长错误、帧尾错误以及整个指令长度超过4B的情况。

54、安全测试的方法主要包括以下四类

(1)功能验证:采用软件测试当中的黑盒测试方法对涉及安全的软件功能，如用户管理模块、权限管理模块、加密系统、认证系统等进行测试，主要是验证上述功能是否有效。

(2)漏洞扫描:通常都是借助于特定的漏洞扫描器完成的。

(3)模拟攻击试验:对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击来验证软件或信息系统的安全防护能力。(4)侦听技术:实际上是在数据通信或数据交互过程，对数据进行截取分析的过程。

55、简要叙述“网站稿件管理发布系统”的性能测试中应测试的关键指标？

（1）并发用户的操作属于并发执行负载

（2）连续持续运行12小时属于疲劳强度负载

（3）大量稿件的查询操作属于大数据量负载

56、上述性能测试中应测试的关键指标包括：

（1）并发用户数：某一物理时刻同时向系统提交请求的用户数。

（2）事务执行响应时间。是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔，是衡量特定类型应用事务性能的重要指标，标志了用户执行一项操作大致需要多长时间

（3）交易执行吞吐量(trans/s)。每秒钟执行的业务数或系统服务器每秒钟能够处理的交易数。

57、并发用户 与 在线用户的区别

并发用户:指某一物理时刻同时向系统提交请求的用户。

在线用户:指在某段时间内访问系统的用户，这些用户并不一定同时向系统提交请求

58、系统连续运行12小时完成的总业务量为1000笔。系统能够提供的最大交易执行吞吐量为200笔/小时，因此系统吞吐量在极限情况下，完成1000笔业务需要的时间就是测试周期，即1000/200=5小时。

原因:在增加单位时间的负载情况下，需要缩短测试周期，保证系统在12小时内的总业务量。

59、（1）交易执行响应时间平均值为10.936秒，与需求“主要功能操作在5秒钟内完成”不符合，不满足测试需求。

交易执行吞吐量(trans/s)平均值为3.75，与需求“稿件管理的主要功能在50用户并发的高峰期，性能最低达到8trans/s”不符合，不满足测试需求。

从服务器资源的使用情况来看，CPU、内存、硬盘的资源利用率都比较低，无硬件方面的瓶颈

（2）二者都是体现系统的交易执行效率

在系统性能比较稳定的情况下，随着负载增加Transactions per Second会基本保持不变，而Average Transaction Response Time会递增.

60、安全测试的方法主要包括以下四类

(1)功能验证:采用软件测试当中的黑盒测试方法对涉及安全的软件功能，如用户管理模块、权限管理模块、加密系统、认证系统等进行测试，主要是验证上述功能是否有效。

(2)漏洞扫描:通常都是借助于特定的漏洞扫描器完成的。

(3)模拟攻击试验:对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击来验证软件或信息系统的安全防护能力。(4)侦听技术:实际上是在数据通信或数据交互过程，对数据进行截取分析的过程