1、满足100%DC(判定覆盖)所需的逻辑条件
if、while里面的条件,使得每个判定结果的真假值都出现1次。比如if和while的条件有5个,不管有没有//和&&符号,那么逻辑条件应该有10条。
2、环路复杂度V(G)=判断条件+1
判断条件=if、while、(条件内//和&&算两个条件)加起来的节点
3、基本路径测试法的概念:
基本路径测试法是在程序控制流图的基础上,通过分析控制构造的环路复杂性,导出基本可执行路径集合,从而设计测试用例的方法。
4、采用决策法进行测试用例设计的步骤:
(1) 确定规则的个数。
(2) 列出所有的条件桩和动作粧。
(3) 填入条件项和动作项。
(4) 合并相似规则,化简决策表。
5、通信吞吐量:P=N(并发用户的数量=300)×T(每单位时间的在线事务数量=16)×D(事务服务器每次处理的数据负载=16kB/S)
本系统满足条件(1)时的通信吞吐量为:300×16×16=76800kB/S(75MB/S)。
6、进行非功能测试时,需要测试哪些方面?(性能测试、安全性测试、兼容性测试、易用性测试)
问:进行链接测试时,需要测试哪些方面?(内部链接测试、外部链接测试、邮件链接测试、断链测试)
7、(嵌入式)
嵌入式软件一般要求扇出数不大于7和注释率不小于20%,所以此函数扇出数和注释率均符合要求。
调用多少个函数就是多少个扇出数;
注释率指代码中注释的行数与代码总行数的比率,即注释行数/代码总行数×100%所得的结果;
8、100%语句覆盖、100%分支覆盖、100%MC/DC覆盖 所需用例的个数;
9、《安全测试》
安全攻击手段:
(1)网络侦听、(2)冒充攻击(3)拒绝服务攻击(4)WEB安全攻击
(1) 网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2) 冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3) 拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4) Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
安全性测试方法:
(1) 功能验证 (2) 漏洞扫描(3) 模拟攻击试验(4) 侦听测试
(1) 功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2) 漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3) 模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4) 侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
10、
密钥管理功能的基本测试点:
(1) 功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;
②密钥库管理功能是否完善;
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密;
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2) 性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;
③是否支持密钥用户要求年限的保存期;
④是否具备异地容灾备份;
⑤是否具备可伸缩配置及扩展能力;
⑥关键部分是否采用双机热备和磁盘镜像。
加解密服务功能的基本测试点:
(1)功能测试
①系统是否具备基础加解密功能;
②能否为应用提供相对稳定的统一安全服务接口;
③能否提供对多密码算法的支持;
④随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度;
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;
③处理性能如公钥密码算法签名等是否具备可扩展能力。
黑盒测试方法:
等价类划分法,边界值分析法,错误推测法,因果图法,判定表驱动法,正交试验法,功能图法
白盒测试方法:
代码检查法、静态结构分析法、静态质量度量法、逻辑覆盖法、基本路径测试法
跨站脚本攻击:
图形测试的主要检查点如下:
(1)颜色饱和度和对比度是否合适;
(2)需要突出的链接的颜色是否容易识别;
(3)是否正确加载所有的图形。
页面测试可以从以下几个方面进行:
(1)页面的一致性;
(2)在每个页面上是否设计友好的用户界面和直观的导航系统;
(3)是否考虑多种浏览器的需要;
(4)是否建立了页面文件的命名体系:
(5)是否充分考虑了合适的页面布局技术,如层叠样式表、表格和帧结构等。
主要负载类型:①并发执行负载 ②疲劳强度负载 ③ 大数据量负载(09年、12年、13年)
该酒店预订系统在生产环境下承受的主要负载类型有:
1)并发用户数属于并发执行负载。
2)连续稳定运行72小时属于疲劳强度负载。
3)大量检索操作属于大数据量负载。
负载测试是通过逐步增加系统负载,测试系统性能的变化,并最终确定在满足性能指标的情况下,系统所能承受的最大负载量所进行的测试。
压力测试是通过逐步增加系统负载,测试系统性能的变化,并最终确定在什么负载条件下,系统性能处于失效状态,以此来获得系统能提供的最大服务级别的测试。
13年
该软件公司的做法是错误的。
该软件公司在负载压力测试中没有进行功能校验,忽略了负载压力情况下的功能不稳定问题。没有正确的功能保证,负载压力性能测试就失去了意义。
在测试过程中进行功能校验,需要记录业务操作结果,会导致资源消耗、操作行为增加以及产生大量日志等问题。
表单测试的主要内容:
①每个字段的验证;
②字段的缺省值;
③表单中的输入;
④提交操作的完整性。
兼容性矩阵:
①平台兼容性和浏览器兼容性。
②兼容性测试矩阵如下:
设计如下测试:
(1)intClientSubmitScore:100--,strStudentID:20130002,则该SQL变为:
UPDATE StudentScore SET score = 100--WHERE Stuent_ID=‘20130002’
(2)intClientSubmitScore:100,strStudentID:20130002’;DROPTABLEStudentScore--’
则该SQL语句变为:
UPDATE StudentScore SET score=100 WHERE Stuent_ID=‘20130002’;DROPTABLEStudentScore--’;
试用例所拼接处的SQL可以看出,该SQL语句不安全,容易造成SQL注入。防止SQL注入的方法主要有:拼接SQL之前对特殊符号进行转义,使其不作为SQL语句的功能符号。
Transactions per Second(交易执行吞吐量)
Average Transaction Response Time(交易执行响应时间平均值)
在系统性能比较稳定的情况下,随着负载增加Transactions per Second会基本保持不变,而Average Transaction Response Time会递增
