1、测试质量包括哪些管理要素?
①测试过程,例如:管理过程、技术过程、支持过程
②测试人员及组织
③测试工作文档,例如:测试计划、测试说明、测试用例、测试报告、问题报告
2、软件测试质量控制的主要方法?
①测试文档评审 ②测试活动审核 ③制定质量保证计划 ④采取背靠背测试
3、测试用例覆盖率=测试需求对应的数目/测试需求数目
4、缺陷覆盖率=累计关闭的缺陷数/累计打开的缺陷数
5、针对取消的5个问题:
(1)不对开发组提出取消的5个问题进行回归测试是错误的。
(2)测试组应该就开发组提出的用户需求作为补充说明由用户确认,测试组在回归测试中应对这5个问题与开发组进行沟通,并由用户或项目经理确认5个问题是否可以取消,对于不能取消的问题仍需开发组进行修改并进行回归测试。
针对测试的15个问题:只使用发现问题提的36个用例进行回归测试是错误的,在修改这15个问题时,可能引入新的问题,所以应该使用全部的60个用例,进行回归测试。
6、并发用户属于并发执行负载;系统持续运行12小时属于疲劳强度负载;大量稿件查询属于大数据量负载
7、并发用户数:在某一物理时刻,同时向系统提交请求的用户数。
8、事务执行响应时间:是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔,标志了用户执行一项操作大致需要多长时间。
9、交易吞吐量:每秒钟执行的业务数。
10、漏洞扫描器的功能是:自动检测远程或本机主机安全性漏洞,以便于及时修补漏洞。
11、漏洞扫描器的分类:①主机漏洞扫描器:在本地运行检测系统漏洞。②网络漏洞扫描器:基于网络远程检测目标网络和主机系统漏洞。
12、针对系统的网络边界和各区域设备的情况,在系统及其边界中设备A到C,3个工具接入点:
①A接入点(互联网接入):设在Internet中,探测目标系统的防火墙1、防火墙2、web服务器、web数据库、测试其对该点暴露出的安全漏洞情况。
②B接入点(web服务器区):接在交换机1上,探测目标系统的web服务器、web数据库、防火墙2、数据库服务器、应用系统服务器和备份服务器,测试其对该点暴露出的安全漏洞情况。
③C接入点(后台信息系统区):接在交换机2上,探测目标系统的数据库服务器、应用系统服务器、备份服务器,测试其对该点暴露出的安全漏洞情况。
13、黑盒测试用例设计方法包含:因果图法、正交试验法、功能图法、错误推测法、边界值分析法、等价类划分法。
14、XSS跨站点脚本攻击:是一种注入式攻击,主要通过恶意脚本进行攻击,任何脚本如 click me!
防止的主要手段是对功能符号进行编码(转义)。
15、图形测试的主要检查点:
①颜色饱和度和对比度是否合适
②是否正确加载所有的图形
③需要突出的链接颜色是否容易识别
16、简述页面测试的主要方面?
①页面的一致性
②是否考虑多种浏览器的需要
③是否建立了页面文件的命名体系
④在每个页面上是否涉及友好的用户界面和直观的导航系统
⑤是否充分考虑了合适的页面布局技术,如层叠样式表、表格和帧结构等
17、设计SQL测试语句:status:‘fulfilled’ --,OrderID:‘2014’ OR ‘1’=‘1’
采用传递参数的形式,Java的JDBC驱动自动会将其按照相应的类型处理,功能符号会进行转义,因为,该SQL语句是安全的。
18、从口令强度、传输存储及管理等方面,可采取哪些安全防护措施?
(1)口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字、字母的字符等增加口令复杂度的手段来提高口令强度。
(2)口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
(3)口令管理:可设置最大口令时效,强制用户定期更新口令,引入口令锁定机会以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
19、对口令认证机制测试应包含的基本测试点?
(1)对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
(2)对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大、最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
20、客户端USB Key测试的基本测试点?
(1)功能测试
①是否支持AES、RSA等常用加解密算法 ②是否提供外部接口以支持用户证书及私钥的导入
③是否提供外部接口支持将数据传入Key内,经过公钥、私钥计算后导出。 ④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。 ⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。 ②Key内加解密算法的执行效率是否满足系统最低要求。
21、证书服务器测试的基本测试点?
(1)功能测试
①系统是否提供证书的申请、审核、签发与管理功能
②系统是否提供证书撤销列表的发布和管理等功能。
③系统是否提供证书政策策略及操作管理策略、自身证书安全管理等管理服务。
④是否可以提供加密证书和签名证书
⑤证书格式是否采用标准X.509格式。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。
②关键部分是否采用双机热备和磁盘镜像等安全机制。
③是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要
④是否满足需求中预测的最大数数目用户正常访问需求,且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力。
23、软件串行输入接口测试的测试策略以及测试内容?
测试策略包括:测试正常和异常指令的响应。
测试内容包括:读取刹车次数和清除刹车次数两种指令。
24、读取刹车次数指令的鲁棒性测试时应考虑输入接口帧头错误、指令码错误、帧长错误、帧尾错误以及整个指令长度超过4B情况。
25、在负载压力测试中没有进行功能校验,忽略了负载压力情况下的功能不稳定问题。没有正确的功能保证,负载压力性能测试就失去了意义。
在测试过程中进行功能校验,需要记录业务操作结果,会导致资源消耗、操作行为增加以及产生大量日志等问题。
26、用户权限的控制应包含哪两个方面?每个方面具体的测试内容有哪些?
(1)评价用户权限控制的体系合理性,是否采用三层的管理模式即系统管理员,业务领导和操作人员三级分离。
(2)用户名称基本采用中文和英文两种,对于用户名称的测试关键在于测试用户名称的唯一性。
用户名称的唯一性体现在哪些方面?
①同时存在的用户名称在不考虑大小写的情况下,不能同名。
②对于关键领域的软件产品和安全要求较高的软件,同时应当保证使用过的用户在用户删除或者停用后,保留该用户记录, 并且新用户不能与之同名。
27、模拟攻击实验:
对于安全测试来说,模拟攻击实验是一组特别的黑盒测试案例,我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演,消息篡改,服务拒绝,内部攻击,外部攻击陷阱门、特洛伊木马方法进行测试。
泪滴:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。————————防御措施有:服务器应用最新的服务包、或者在设置防火墙时对分段进行重组而不是转发他们。
口令猜测:一旦黑客识别了一台主机而且发现了基于Telnet或NFS这样的服务的可利用的用户账号,然后因为设置了简单的密码或没有设置密码,导致黑客能够很快的将口令猜出。=————防御措施有:要采用难以猜测的口令,比如词和标点符号的组合。
伪造电子邮件:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的链接。——————防御措施有:使用PGP等安全工具并安装电子邮件证书。
28、系统安全审计功能设计的测试点有哪些?
①能否进行系统数据收集、统一存储,集中进行安全审计
②是否支持基于PKI的应用审计
③是否支持基于XML的审计数据采集协议
④是否提供灵活的自定义审计规则。
29、软件可行性测试:
确定可靠性目标
可靠性数据
分析影响可靠性的因素
可靠性模型
可靠性评价
30、可靠性测试的目的?
①发现软件系统在需求、设计、编码、测试、实施等各方面的缺陷
②为软件的使用和维护提供可靠性数据
③确认软件是否达到可靠性定量要求
31、采用决策表进行测试用例设计的主要步骤?
①确定规则的个数,假如有n个条件,每个条件有两个取值(0,1),则有2的n次方种规则。
②列出所有的条件桩和动作桩
③填入条件项
④填入动作项:制定初始判定表
⑤简化:合并相似规则(相同动作)
32、基本路径测试法:是在程序控制流程图的基础上,通过分析控制构造的环路复杂性,导出基本可执行的路径集合,从而设计测试用例的方法。
33、嵌入式软件一般要求扇出数不大于7和注释率不小于20%,所以此函数的扇出数和注释率满足要求。
34、设备1、2、3、4是什么设备
交换机是内网设备。
设备1的防火墙是用来隔离内外网的设备。
设备3的防火墙是隔离web前端和后台数据库的设备。
设备1是防火墙;
设备2是交换机(集线器)
设备3是防火墙
设备4是交换机(集线器)
35、通信加密的目的?通信加密测试的基本方法有哪些?
通信加密的目的是:保证数据在传输过程中数据的保密性和一致性。基本方法是:验证和侦听。
36、口令管理和网站登录控制的基本措施:
用户口令管理的基本措施:口令长度、复杂度(特殊字符)、时效(定期更改)
用户登录控制:多次登录延时、账户锁定、验证码。
37、什么情况下采用因果图法?
应用的输出结果依赖于各种输入条件的组合或各种输入条件之间有某种相互制约关系。
38、分层架构的好处?
①复用性强 ②利于合作开发 ③分层独立 ④维护方便
39、分层架构表示层移动端涉及的三个质量特性?
①可移植性:体现为不同的设备机型、分辨率的适应情况
②易用性:体现为软件产品被理解、学习、使用和吸引用户的能力
③性能效率:针对原生、体现为CPU、内存、耗电量流量、流畅度等性能参数
④功能性:针对原生,体现为控件操作、安装、卸载、升级、切换网络等功能情况
⑤安全性:针对原生,体现为APP源文件、本地存储、权限控制、配置等安全。