2012年下半年軟體評測師(下午)試題分析與解答

標籤：軟體評測師考試

真題三（17分）：閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應欄內。

說明：某企業想開發一套B2C系統，其主要的目的是線上銷售商品和服務，使顧客可以線上瀏覽和購買商品服務。系統的使用者IT技能和訪問系統的方式差異較大，因此系統的易用性、安全性、相容性等當面測試至關重要。

系統要求：
（1）所有連結都要正確；
（2）支援不同行動裝置、作業系統和瀏覽器；
（3）系統需要通過SSL進行訪問，沒有登入的使用者不能訪問應用內部的內容。


問題1（5分）：簡要敘述連結測試的目的以及測試的主要內容。
問題2（4分）：簡要敘述為了達到系統要求（2），要測試哪些方面的相容性。
問題3（4分）：本系統強調安全性，簡要敘述Web應用安全性測試應考慮哪些方面。
問題4（4分）：針對系統要求（3），設計測試案例以測試Web應用的安全性。


解答分析：
本題考考查Web應用測試相關的內容。Web應用測試除了類似傳統軟體系統測試效能測試、壓力測試等之外，還需要測試連結、瀏覽器和安全性等多個方面。

問題1答案：
連結測試的母的是確保Web應用功能能夠成功實現。連結測試主要測試如下3個方面：
（1）連結是否能夠連結到該連結到的頁面；
（2）被連結的頁面存在；
（3）測試是否存在孤立頁面。即只有通過特定URL才能訪問到的頁面。


問題2答案：
瀏覽器安全色性測試、作業系統相容性測試、移動終端瀏覽器測試、列印測試等。


問題3答案：
Web應用安全體系測試可以從部署與基礎結構、輸入驗證、身分識別驗證、授權、組態管理、敏感性資料、會話管理、加密、參數操作、異常管理、審核和日誌記錄等多個方面進行。


問題4答案：
1、SQL注入測試案例：輸入正確的使用者名稱，在密碼輸入框中輸入：在密碼欄輸入‘ or ‘1‘=‘1，點擊登入。
2、跨站指令碼攻擊測試案例：執行新增操作時候，要在所有輸入框中輸入<script>alert(“hello”);</script>，然後執行新增或者儲存。
3、測試SSL:某連結的URL的https://換成http://。
4、內容訪問：https://domain/foo/bar/content.doc(注網域名稱和路徑為應用的網域名稱和路徑)。
5、內容URL拷貝：將登入的某URL拷貝出來，關閉瀏覽器並重啟後將URL粘貼在地址訪問欄內訪問內部內容。

2012年下半年軟體評測師(下午)試題分析與解答