2012年下半年软件评测师(下午)试题分析与解答

真题三（17分）：阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

说明：某企业想开发一套B2C系统，其主要的目的是在线销售商品和服务，使顾客可以在线浏览和购买商品服务。系统的用户IT技能和访问系统的方式差异较大，因此系统的易用性、安全性、兼容性等当面测试至关重要。

系统要求：

（1）所有链接都要正确；

（2）支持不同移动设备、操作系统和浏览器；

（3）系统需要通过SSL进行访问，没有登录的用户不能访问应用内部的内容。

问题1（5分）：简要叙述链接测试的目的以及测试的主要内容。

问题2（4分）：简要叙述为了达到系统要求（2），要测试哪些方面的兼容性。

问题3（4分）：本系统强调安全性，简要叙述Web应用安全性测试应考虑哪些方面。

问题4（4分）：针对系统要求（3），设计测试用例以测试Web应用的安全性。

解答分析：

本题考考查Web应用测试相关的内容。Web应用测试除了类似传统软件系统测试性能测试、压力测试等之外，还需要测试链接、浏览器和安全性等多个方面。

问题1答案：

链接测试的母的是确保Web应用功能能够成功实现。链接测试主要测试如下3个方面：

（1）链接是否能够链接到该链接到的页面；

（2）被链接的页面存在；

（3）测试是否存在孤立页面。即只有通过特定URL才能访问到的页面。

问题2答案：

浏览器兼容性测试、操作系统兼容性测试、移动终端浏览器测试、打印测试等。

问题3答案：

Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。

问题4答案：

1、SQL注入测试用例：输入正确的用户名，在密码输入框中输入：在密码栏输入' or '1'='1，点击登录。

2、跨站脚本攻击测试用例：执行新增操作时候，要在所有输入框中输入<script>alert(“hello”);</script>，然后执行新增或者保存。

3、测试SSL:某链接的URL的https://换成http://。

4、内容访问：https://domain/foo/bar/content.doc(注域名和路径为应用的域名和路径)。

5、内容URL拷贝：将登录的某URL拷贝出来，关闭浏览器并重启后将URL粘贴在地址访问栏内访问内部内容。