评测师下午题总结

Posted 2020-10-11

1、满足100%DC（判定覆盖）所需的逻辑条件

if、while里面的条件，使得每个判定结果的真假值都出现1次。比如if和while的条件有5个，不管有没有//和&&符号，那么逻辑条件应该有10条。

2、环路复杂度V(G)=判断条件+1

判断条件=if、while、（条件内//和&&算两个条件）加起来的节点

3、基本路径测试法的概念：

基本路径测试法是在程序控制流图的基础上，通过分析控制构造的环路复杂性，导出基本可执行路径集合，从而设计测试用例的方法。 

 

4、采用决策法进行测试用例设计的步骤：

(1) 确定规则的个数。
(2) 列出所有的条件桩和动作粧。
(3) 填入条件项和动作项。
(4) 合并相似规则，化简决策表。

5、通信吞吐量：P=N(并发用户的数量=300)×T(每单位时间的在线事务数量=16)×D(事务服务器每次处理的数据负载=16kB/S)

本系统满足条件(1)时的通信吞吐量为：300×16×16=76800kB/S(75MB/S)。

6、进行非功能测试时，需要测试哪些方面？（性能测试、安全性测试、兼容性测试、易用性测试）

问：进行链接测试时，需要测试哪些方面？（内部链接测试、外部链接测试、邮件链接测试、断链测试）

7、（嵌入式）

嵌入式软件一般要求扇出数不大于7和注释率不小于20%，所以此函数扇出数和注释率均符合要求。

调用多少个函数就是多少个扇出数；

注释率指代码中注释的行数与代码总行数的比率，即注释行数/代码总行数×100%所得的结果；

8、100%语句覆盖、100%分支覆盖、100%MC/DC覆盖 所需用例的个数；

9、《安全测试》

安全攻击手段：

（1）网络侦听、（2）冒充攻击（3）拒绝服务攻击（4）WEB安全攻击

(1) 网络侦听：指在数据通信或数据交互的过程中，攻击者对数据进行截取分析，从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2) 冒充攻击：攻击者采用口令猜测、消息重演与篡改等方式，伪装成另一个实体，欺骗安全中心的认证及授权服务，从而登录系统，获取对系统的非授权访问。
(3) 拒绝服务攻击：攻击者通过对网络协议的实现缺陷进行故意攻击，或通过野蛮手段耗尽被攻击对象的资源，使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃，从而使系统无法提供正常的服务或资源访问。
(4) Web安全攻击：攻击者通过跨站脚本或SQL注入等攻击手段，在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令，从而旁路系统正常访问控制或恶意盗取用户信息。

安全性测试方法：

(1) 功能验证 (2) 漏洞扫描(3) 模拟攻击试验(4) 侦听测试

(1) 功能验证：采用软件测试中的黑盒测试方法，对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试，验证所提供的相应功能是否有效。
(2) 漏洞扫描：借助于特定的漏洞扫描工具，对安全中心本地主机、网络及相应功能模块进行扫描，发现系统中存在的安全性弱点及安全漏洞，从而在安全漏洞造成严重危害之前，发现并加以防范。
(3) 模拟攻击试验：模拟攻击试验是一组特殊的黑盒测试案例，通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4) 侦听测试：通过典型的网络数据包获取技术，在系统数据通信或数据交互的过程中，对数据进行截取分析，从而发现系统在防止敏感数据被窃取方面的安全防护能力。 

10、

密钥管理功能的基本测试点：
(1) 功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能；
②密钥库管理功能是否完善；
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密；
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备；
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2) 性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求；
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能；
③是否支持密钥用户要求年限的保存期；
④是否具备异地容灾备份；
⑤是否具备可伸缩配置及扩展能力；
⑥关键部分是否采用双机热备和磁盘镜像。

加解密服务功能的基本测试点：
(1)功能测试
①系统是否具备基础加解密功能；
②能否为应用提供相对稳定的统一安全服务接口；
③能否提供对多密码算法的支持；
④随着业务量的逐渐增加，是否可以灵活增加密码服务模块，实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度；
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求；
③处理性能如公钥密码算法签名等是否具备可扩展能力。