试题四（共12分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业为防止自身信息资源的非授权访问，建立了如图4-1所示的访问控制系统。

 

该系统提供的主要安全机制包括：

(1) 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

(2) 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

(3) 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

【问题1】 (6分)

对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

【问题2】（3分）

测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

【问题3】（3分）

对该系统安全审计功能设计的测试点应包括哪些？

试题五（共12分）

阅读以下说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

现代软件的飞速发展，使得系统对软件的依赖越来越强，对软件可靠性的要求也越来越高，因此发展以发现软件可靠性缺陷为目的的可靠性测试技术也日益迫切。

【问题1】（5分）

 一个完整的软件可靠性测试如图5-1所示。

请填写图中的空缺(1)～(5)。

【问题2】（5分）

 解释说明软件可靠性测试的目的，并说明狭义和广义软件可靠性测试的区别。

【问题3】（2分）

可靠性目标是指客户对软件性能满意程度的期望。通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来描述。请分别解释其含义。

试题三（共17分）

 阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

某企业想开发一套B2C系统，其主要目的是在线销售商品和服务，使顾客可以在线浏览和购买商品和服务。系统的用户的IT技能、访问系统的方式差异较大，因此系统的易用性、安全性、兼容性等方面的测试至关重要。

系统要求：

(1)所有链接都要正确；

(2)支持不同移动设备、操作系统和浏览器；

(3)系统需通过SSL进行访问，没有登录的用户不能访问应用内部的内容。

【问题1】（5分）

简要叙述链接测试的目的以及测试的主要内容。

【问题2】（4分）

简要叙述为了达到系统要求(2)，要测试哪些方面的兼容性。

【问题3】（4分）

本系统强调安全性，简要叙述Web应用安全性测试应考虑哪些方面。

【问题4】（4分）

针对系统要求(3)，设计测试用例以测试Web应用的安全性。

试题四（共12分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业为防止自身信息资源的非授权访问，建立了如图4-1所示的访问控制系统。

该系统提供的主要安全机制包括：

(1) 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

(2) 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

(3) 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

【问题1】 (6分)

对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

【问题2】（3分）

测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

【问题3】（3分）

对该系统安全审计功能设计的测试点应包括哪些？

试题二（共15分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

逻辑覆盖法是设计白盒测试用例的主要方法之一，它是通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。

struct _ProtobufCIntRange{

 int start_value;

 unsigned orig_index;

}；

typedef struct _ProtobufCIntRange ProtobufCIntRange;

int int_range_lookup (unsigned n_ranges, const ProtobufCIntRange *ranges, int value){

 unsigned start,n；                                    ∥1

 start=0；

 n=n_ranges;

 while(n>1){                                          //2

   unsigned mid= start+ n/2;

   if(value< ranges[mid].start_value){                     //3

   n=mid-start;                                       //4

   }

   else if(value>=ranges[mid].start value+

                (int)(ranges[mid+1].orig_index-ranges[mid].orig_index){ //5

   unsigned new_start= mid+1;                          //6

   n=start+n-new_start,

        start = new_start;

   }

   else                                              //7

    return (value - ranges[mid].start_value)+ ranges[mid],orig_index;

 }

 if(n>0){                                             //8

   unsigned start_orig_index= ranges[start].orig_index;

   unsigned range_size=ranges[start+1].orig_index - start_orig_index;

   if (ranges[start].start_value<=value

    && value< (int)(ranges[start].start_value+ range_size》       //9, 10

    return (value - ranges[start].start_value)+start_orig_index;    //11

  }

  retum -1,                                              //12

}                                                       //13

【问题1】（5分）

请给出满足100%DC（判定覆盖）所需的逻辑条件。

【问题2】 (7分)

请画出上述程序的控制流图，并计算其控制流图的环路复杂度V(G)。

【问题3】（3分）

请给出【问题2】中控制流图的线性无关路径。

试题一（共19分）

 阅读下列说明，回答问题l至问题4，将解答填入答题纸的对应栏内。

【说明】

某酒店预订系统有两个重要功能：检索功能和预订功能。检索功能根据用户提供的关键字检索出符合条件的酒店列表；预订功能是对选定的某一酒店进行预订。现需要对该系统执行负载压力测试。

该酒店预订系统的性能要求为：

(1)交易执行成功率100%;

(2)检索响应时间在3s以内；

(3)检索功能支持900个并发用户：

(4)预订功能支持100个并发用户；

(5) CPU利用率不超过85%;

(6)系统要连续稳定运行72小时。

【问题1】（3分）

简述该酒店预订系统在生产环境下承受的主要负载类型。

【问题2】（5分）

对该系统检索功能执行负载压力测试，测试结果如表1-1所示，请指出响应时间和交易执行成功率的测试结果是否满足性能需求并说明原因。

【问题3】（5分）

对该系统执行负载压力测试，测试结果如表1-2所示，请指出CPU占用率的测试结果是否满足性能需求并说明原因。

【问题4】（6分）

根据【问题2】和【问题3】的测试结果，试分析该系统的可能瓶颈。