问题 问答题

阅读下列说明,回答问题1至问题4,-将解答填入答题纸的对应栏内。【说明】某企业想开发一套B2C系统,其主要目的是在线销售商品和服务,使顾客可以在线浏览和购买商品和服务。系统的用户的IT技能、访问系统的方式差异较大,因此系统的易用性、安全性、兼容性等方面的测试至关重要。系统要求:(1)所有链接都要正确;(2)支持不同移动设备、操作系统和浏览器;(3)系统需通过SSL进行访问,没有登录的用户不能访问应用内部的内容。

【问题1】简要叙述链接测试的目的以及测试的主要内容。

【问题2】简要叙述为了达到系统要求(2),要测试哪些方面的兼容性。

【问题3】本系统强调安全性,简要叙述Web应用安全性测试应考虑哪些方面。

【问题4】针对系统要求(3),设计测试用例以测试Web应用的安全性。

答案

参考答案:

【问题1】链接测试的目的是确保Web应用功能够成功实现。链接测试主要测试如下3个方面:(1)链接是否能够链接到该链接到的目标页面;(2)被链接的页面存在;(3)测试是否存在孤立页面。即只有通过特定URL才能访问到的页面。 

【问题2】览器兼容性测试、操作系统兼容性测试、移动终端浏览测试、打印测试等。

【问题3】Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。 

【问题4】SQL注入测试用例:用户名:name'or'a'='a,密码:password'or'a'='a;或者用户名:name'--,密码:password(name为系统内有或者无的用户名)。测试SSL:某链接URL的https://换成http://。内容访问:https://domain/foo/bar/content.doc(注:域名和路径为应用的域名和路径)。内部URL拷贝:将登录后的某URL拷贝出来,关闭浏览器并重启后将URL粘贴在地址栏访问内部内容。

解析:

本题考查Web应用测试相关内容。Web应用测试除了类似传统软件系统测试性能测试、压力测试等之外,还需要测试链接、浏览器和安全性等多个方面。

【问题1】本题考查链接测试的主要内容。链接是使用户从一个页面浏览到另一个页面的重要手段,其质量决定着功能是否能够成功实现。链接测试是Web应用功能测试的重要内容,测试时需要测试所有页面的外向链接、内部链接、页面中链接跳转、发送Email等功能性链接、是否存在孤立页面、链接的目标是否存在等等。

链接测试主要测试如下3个方面:1)链接是否能够链接到该链接到的目标页面;2)被链接的页面存在:3)测试是否存在孤立页面。即只有通过特定URL才能访问到的页面。

【问题2】本题考查Web应用对不同环境的兼容性测试。Web应用的兼容性是测试的重要方面,主要包括:浏览器兼容性测试、操作系统兼容性测试、移动终端浏览测试、打印测试等。本系统用户可以通过不同的移动配置进行访问,测试显示速度和流量等。不同的浏览器有不同的配置需要Web应用兼容。Web应用中的代码应该跨浏览器平台兼容。Web应用中如果使用JavaScript或AJAX调用UI功能,完成安全检查或验证,那么就需要在浏览器兼容性方面进行更多测试,如,InternetExplorer、Firefox、NetscapeNavigator、AOL、Safari和Opera等各种浏览器及其不同版本。Web应用的有些功能可能并非兼容所有的操作系统,Web应用开发中用到的图形设计、API接口等技术可能并非在所有操作系统平台上支持。因此需要在如Windows、Unix、Mac、Linux和Solaris等不同操作系统上对Web应用进行测试。移动设备越来越普及,新技术层出不穷,不同移动设备上的不同浏览器的兼容性也需要进行测试。如果Web应用支持打印功能,需要测试字体、页面布局、页面图片和页面大小等是否正常打印。

【问题3】Web应用的安全性测试的体系结构和设计可以想出很多与设计有关的漏洞,从而提高应用程序的整体安全性。设计时修复漏洞要比在开发后期解决问题更为简单,也更经济,因为开发后期可能要进行大量的再工程处理。开发时如果考虑一些与目标部署环境相关的设计以及该环境定义的安全策略,可确保应用程序的部署更加平稳和安全。如果应用程序已创建完毕,安全测试可修复漏洞并完善未来的设计。一个完整的Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。

【问题4】本题考查Web应用安全性测试方面。Web应用的安全性测试是一项重要而庞大的工作,需要测试内部和外部的安全性威胁。Web应用的安全性测试需要很好地进行规划。SQL注入测试用例:用户名:name'or'a'='a,密码:password'or'a'='a;或者用户名:name'--,密码:password(name为系统内有或者无的用户名)。如果登录是采用SQL拼接而没有正常进行转义处理,则会出现将SQL语句篡改成并非达到预定目标,并不管用户名密码是否正确,均可正常登录,造成安全隐患。测试SSL:某链接URL,的https://换成http://。内容访问:https://domain/foo/bar/content.doc(注:域名和路径为应用的域名和路径)。内部URL拷贝:将登录后的某URL拷贝出来,关闭浏览器并重启后将URL粘贴在地址栏访问内部内容。

材料分析题
单项选择题