軟件評測師知識點整理(填空)

1、1. 在計算機系統(tǒng)中，存取速度最快的是 CPU內(nèi)部寄存器2. 外模式 描述數(shù)據(jù)的局部邏輯視圖，是數(shù)據(jù)庫用戶的數(shù)據(jù)視圖，他是與某一種應(yīng)用有關(guān)的數(shù)據(jù)邏輯表示3. 判斷故障是校園內(nèi)網(wǎng)還是外網(wǎng) tracert4. Ping測試網(wǎng)絡(luò)連接，檢查網(wǎng)絡(luò)連通是否順暢或者連接速度。5. Netstat讓用戶得知哪些網(wǎng)絡(luò)連接正在運行。6. Snmp 所采用的傳輸層協(xié)議是 udp7. 漸增是開發(fā)方法有利于 快速開發(fā)軟件V模型的局限性：W 模型：8. H模型 ：測試過程完全是獨立的，貫穿整個產(chǎn)品周期，與其他流程并行進行。9. X模型：針對單獨程序片段進行相互分離的編碼和測試。前置測試模型：10. 規(guī)定評價包括：選擇度量

2、，建立度量評價等級，確定評估準則11. 網(wǎng)絡(luò)延遲：指的從報文開始進入網(wǎng)絡(luò)到它離開網(wǎng)絡(luò)的時間12. 腳本語言屬于動態(tài)語言13. 功能測試：14. 確認測試：驗證軟件功能和性能是否與用戶要求一致（黑盒測試）15. 判定缺陷的準則：1.是否達到了說明書中指明的要求 2.是否出現(xiàn)了產(chǎn)品說明書中指明不會出現(xiàn)的錯誤 3. 軟件功能是否超出了軟件需求說明書中指明的范圍 4. 軟件是否達到了軟件說明書中沒有指明但是應(yīng)該達到 的要求 5 軟件測試人員認為的難以理解的不宜使用的運行速度緩慢的或者最終用戶認為不好的問題16. 需求和設(shè)計是導(dǎo)致缺陷的主要原因17. 軟件測試的關(guān)鍵活動：測試需求分析 制定測試計劃 測試

3、設(shè)計 測試執(zhí)行 測試分析與總結(jié)18. 質(zhì)量保證手段：制定質(zhì)量保證計劃，建立質(zhì)量體系19. 單元測試內(nèi)容：模塊接口測試 局部數(shù)據(jù)結(jié)構(gòu)設(shè)計 路徑測試 錯誤處理測試 邊界測試 20. 集成測試主要依據(jù)：概要設(shè)計說明書 系統(tǒng)測試主要依據(jù) 需求設(shè)計說明書21. 黑盒測試工具一般原理：利用腳本的錄制/回放功能模擬用戶的操作 22. 響應(yīng)時間是指按下傳送建到得到結(jié)果為止所需要的時間23. 處理時間試著從接收一個消息到得到結(jié)果之間計算機歷時的時間24. 周轉(zhuǎn)時間是指從提出要求到得到結(jié)果所需要的時間25. 響應(yīng)時間包括處理時間和周轉(zhuǎn)時間。26. 可恢復(fù)性：易分析性 易修改性 易測試性 一致性27. 評價規(guī)格說明

4、： 分析產(chǎn)品描述 規(guī)定對產(chǎn)品及部件執(zhí)行測量 按照評價需求驗證編制規(guī)格說明軟件編碼規(guī)范評測包括： 28. 概要設(shè)計說明書的評測內(nèi)容如下。可追溯性：分析該軟件的系統(tǒng)結(jié)構(gòu)、子系統(tǒng)結(jié)構(gòu)，確認該軟件設(shè)計是否覆蓋了所有已確定的軟件需求，軟件每一成分是否可追溯到某一項需求。接口：分析軟件各部分之間的聯(lián)系，確認該軟件的內(nèi)部接口與外部接口是否已經(jīng)明確定義，模塊是否滿足高內(nèi)聚和低耦合的要求，模塊作用范圍是否在其控制范圍之內(nèi)。風(fēng)險：確認該軟件設(shè)計在現(xiàn)有技術(shù)條件下和預(yù)算范圍內(nèi)是否能按時實現(xiàn)。實用性：確認該軟件設(shè)計對于需求的解決方案是否實用。技術(shù)清晰度：確認該軟件設(shè)計是否以一種易于翻譯成代碼的形式表達?？删S護性：從軟件

5、維護的角度出發(fā)，確認該軟件設(shè)計是否考慮了方便未來的維護。質(zhì)量：確認該軟件設(shè)計是否表現(xiàn)出良好的質(zhì)量特征。各種選擇方案：看是否考慮過其他方案，比較各種選擇方案的標準是什么。限制：評估對該軟件的限制是否現(xiàn)實，是否與需求一致。其他具體問題：對于文檔、可測試性、設(shè)計過程等進行評估29. 評價需求的主要內(nèi)容是描述評價的目標，特別是描述了產(chǎn)品的質(zhì)量需求。評價規(guī)格說明是確定對軟件及其部件實行的所有分析和測量，標識要分析和測量的軟件部件。評價記錄是評價執(zhí)行計劃時詳細記載的動作組成。評價報告的主要內(nèi)容是執(zhí)行測量和分析的結(jié)果，以及能被重復(fù)和重新評價的必要信息。測試記錄包括：測試計劃 與測試用例相關(guān)的所有結(jié)果 人員和

6、組織1. 安裝測試包括測試安裝代碼和安裝手冊，應(yīng)考慮以下幾方面：1. 當前流行的三種界面風(fēng)格：2. 界面測試應(yīng)該遵守的原則：3. 用戶界面測試包括：幫助測試：1. 文件主要分為三種：4. 用戶文檔的測試要點：5. 用戶文檔測試方法：技術(shù)校對 功能測試，其他輔助方式。6. 并發(fā)用戶： 同一物理時刻同時向系統(tǒng)提交請求的用戶數(shù)。7. 在線用戶：某段時間內(nèi)訪問系統(tǒng)的用戶數(shù)，這些用戶并不一定同時向系統(tǒng)提交請求8. 吞吐量：系統(tǒng)服務(wù)器每秒能夠處理的交易數(shù)9. 交易響應(yīng)時間：系統(tǒng)完成事務(wù)執(zhí)行準備和完成待執(zhí)行事務(wù)后所采集的時間戳之間的時間間隔。10. 隨著負載的增加，當交易吞吐量不再遞增時，交易響應(yīng)時間一般會

7、遞增，當系統(tǒng)達到交易吞吐極限時，客戶端交易會在請求隊列中排隊等待，等待時間將記錄在響應(yīng)時間中。11. 測試過程：12. 測試原則： 盡早和不斷的進行測試 設(shè)計合理的測試用例 程序員避免檢查自己的程序 測試用例應(yīng)包含合理和不合理的輸入條件 注意測試中的群集現(xiàn)象 避免測試的隨意性 對每一個測試結(jié)果做全面的檢查 妥善保管計劃 用例 出錯統(tǒng)計最終分析報告 修改程序后進行回歸測試 測試用例要映射到需求。13. 開發(fā)方測試（阿爾法） 用戶測試（貝塔）14. 功能測試：15. 自頂向下增值的方式的優(yōu)點：能夠盡早的檢驗程序的主要控制和決策機制， 因而能夠較早的發(fā)現(xiàn)上層模塊的接口錯誤 缺點是：在測試高層模塊時，

8、低層模塊采用樁模塊代替 并不能反映真實狀況16. 質(zhì)量保證的手段:制定質(zhì)量保證計劃 建立質(zhì)量體系17. 集成測試主要依賴概要設(shè)計說明書 系統(tǒng)測試主要依據(jù)需求設(shè)計說明書 18. 滿足條件覆蓋不一定滿足判定覆蓋19. 黑盒測試工具分為功能和性能兩類鏈接測試：是否存在鼓勵的頁面 鏈接的頁面是否存在 所有的鏈接是否鏈接到指定頁面20. 表單測試的要點：驗證每一個字段 字段的缺省值 表單的輸入 提交操作的完整性21. Cookies測試：有效性 是否受刷新的影響 是否按預(yù)定時間保存22. 性能測試：連接速度 負載 壓力23. 功能性測試：連接 cookies 表單 設(shè)計語言 數(shù)據(jù)庫測試24. 可用性測試

9、：導(dǎo)航測試 圖形測試 內(nèi)容測試 界面測試25. 客戶端兼容測試： 安全性測試：1. 成熟性測試：檢驗軟件產(chǎn)品是否具備為避免由軟件中錯誤而導(dǎo)致失效的能力2. 易學(xué)性測試：檢驗軟件產(chǎn)品是否具備使用戶能學(xué)習(xí)它的應(yīng)用的能力3. 當WEB內(nèi)部出錯時瀏覽器顯示http5004. 所請求的頁面不存在時 ，瀏覽器返回http4045. 軟件測試信息流輸入包括：軟件配置，測試配置，測試工具6. 集成測試是概要設(shè)計 單元測試是詳細設(shè)計7. 低級語言開發(fā)效率低 運行效率高8. 確認注重結(jié)果，驗證注重過程9. 靜態(tài)測試：代碼檢查法 靜態(tài)結(jié)構(gòu)分析法 靜態(tài)質(zhì)量度量法10. 軟件設(shè)計的基本原則：信息屏蔽 模塊化 抽象11.

10、 軟件質(zhì)量：內(nèi)部質(zhì)量 外部質(zhì)量 使用質(zhì)量12. 軟件質(zhì)量是軟件特性的總和，是軟件滿足規(guī)定的或潛在的用戶需求的能力。13. Ldap:輕量目錄訪問協(xié)議14. 復(fù)合屬性：多個簡單屬性的復(fù)合 多值屬性：包含多個屬性值相同的屬性15. 開發(fā)新領(lǐng)域不適宜采用瀑布模型。16. 入侵檢測系統(tǒng)在防火墻之內(nèi)17. 技術(shù)要求最高的是企業(yè)標準。18. 風(fēng)險管理包括風(fēng)險控制（風(fēng)險降低，風(fēng)險化解，風(fēng)險管理計劃）和風(fēng)險評價（風(fēng)險識別 風(fēng)險分析 風(fēng)險優(yōu)先級分配）19. 條件判定組合：每個判定中條件的各種組合至少出現(xiàn)一次。（a&b）|c1.a t b t c t 2. at bf ct 3.af bt cf 4.af

11、 bf cf a&b 是一個判定20. 靜態(tài)測試：21. 結(jié)構(gòu)化分析是面向數(shù)據(jù)流的分析方法，描述工具有：分層數(shù)據(jù)流圖 數(shù)據(jù)字典 描述加工邏輯的結(jié)構(gòu)化語言。判定樹。判定表。22. 易用性：23. Syn：利用服務(wù)器的連接緩沖區(qū)，利用特殊的程序向服務(wù)器發(fā)送只有syn標志的tcp。24. Udp:通過發(fā)送大量的tcp連接請求以占滿帶寬。以至其他用戶無法正常進行連接服務(wù)。25. 指令寄存器對指令是完全透明的。26. Java虛擬機采用黑板軟件體系結(jié)構(gòu)。27. 安全防護策略：28. 對于一個新興領(lǐng)域的新產(chǎn)品不適合瀑布模型。29. 風(fēng)險評價：30. 風(fēng)險控制：31. 功能內(nèi)聚是指一個模塊每一個部分

12、都是完成某一功能不可少的一部分。32. 邏輯內(nèi)聚是指把幾種相關(guān)功能組合在一起，每次調(diào)用時，根據(jù)傳遞給模塊的參數(shù)判斷該模塊執(zhí)行那一個功能。33. 信息內(nèi)聚是指可以完成多個功能，各個功能在同一個數(shù)據(jù)結(jié)構(gòu)上操作，每一項功能只有唯一的入口點。34. 根據(jù)數(shù)據(jù)流圖進行接口設(shè)計；根據(jù)數(shù)據(jù)字典和實體關(guān)系圖進行數(shù)據(jù)設(shè)計。35. 負載測試：逐步增加負載，在滿足性能指標的情況下系統(tǒng)所能承受的最大負載量。36. 壓力測試：逐步增加負載，測試系統(tǒng)的性能變化，并確定在什么情況下系統(tǒng)會失效，以此獲得系統(tǒng)的最大服務(wù)級別。37. 疲勞強度測試：系統(tǒng)穩(wěn)定運行的情況下支持的最大并發(fā)用戶數(shù)。38. 客戶端交易處理性能指標：39.

13、安全測試方法：40. 8位補碼的范圍：-128-12741. 腳本語言是動態(tài)語言 動態(tài)語言都是解釋性語言42. 有效的功能測試用例：43. 成熟性：軟件是否具備避免由于軟件錯誤而導(dǎo)致失效的能力。44. 易學(xué)性：軟件是否具使備用戶學(xué)習(xí)使用它的能力。45. 使用質(zhì)量特性：46. 執(zhí)行效率：47. 數(shù)據(jù)安全防護技術(shù)：48. 提高口令安全性：49. 操作數(shù)包含在指令中：立即尋址50. 著作權(quán)與版權(quán)是一個概念。51. 軟件測試對軟件質(zhì)量的意義52. 軟件包質(zhì)量包括三部分：53. Tcp/ip為公共服務(wù)保留的端口號是 ：1102354. 評價過程：55. 規(guī)定評價：56. 對參數(shù)配置類的軟件采用正交試驗法

14、。57. 測試用例：58. 評價規(guī)格說明：分析產(chǎn)品的描述 規(guī)定對產(chǎn)品及部件執(zhí)行的測量 按照評價需求驗證產(chǎn)生的規(guī)格說明 59. 前置模型認為 是進行測試計劃和測試設(shè)計的最好階段。60. 界面整體測試：61. 測試案例說明：62. 進行負載壓力測試時應(yīng)選用：63. Cache提高cpu對貯主存的訪問效率。64. 優(yōu)化級：通過定量分析能夠不斷地持續(xù)的改進和管理軟件過程。65. 程序步驟：66. 在回歸測試中，為了滿足測試需求，必須修正測試用例。67. Windows文件名稱的測試：68. 易用性測試：69. 用戶文檔：70. 管理文檔：71. 軟件評價過程的特性：72. 應(yīng)用在客戶端的性能測試主要包

15、括：并發(fā)性能，疲勞強度，大數(shù)據(jù)量測試，速度測試（手工測試）。73. 疲勞強度測試是：74. 滿足條件覆蓋不一定滿足語句覆蓋。75. 廣義的軟件測試：76. 負載測試系統(tǒng)可能存在的瓶頸：77. 負載壓力主要有：78. 負載壓力測試指標：79. 客戶端交易處理性能指標：80. 故障分析: cpu問題 內(nèi)存和高速緩存 磁盤資源問題 配置參數(shù) 應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)置 數(shù)據(jù)庫服務(wù)器故障定位 優(yōu)化調(diào)整設(shè)置： 1.cpu問題： 2.內(nèi)存和高速緩存：1 內(nèi)存的優(yōu)化包括操作系統(tǒng)，數(shù)據(jù)庫，應(yīng)用程序的內(nèi)存優(yōu)化 2 過的分頁和交換可能降低系統(tǒng)的性能 3 內(nèi)存的分配也影響系統(tǒng)性能 4 保證保留列表具有較大的鄰接內(nèi)存塊 5調(diào)整

16、數(shù)據(jù)緩存區(qū)大小 6將最頻繁使用的數(shù)據(jù)保存在存儲區(qū) 3.磁盤資源問題：1 數(shù)據(jù)庫對象在物理設(shè)備上合理分配 2 磁盤鏡像會減慢磁盤寫的速度 3 日志和數(shù)據(jù)庫對象分布在獨立的設(shè)備上 4 不同數(shù)據(jù)庫放在不同硬盤上 數(shù)據(jù)庫 回滾段 日志放在不同設(shè)備上 5 把表放在一塊硬盤上，把非簇的索引放在一塊硬盤上。1. 負載壓力測試主要是別的故障問題: 數(shù)據(jù)庫服務(wù)性能問題： 2. 解決數(shù)據(jù)庫性能的方法 ：3. 索引的主要作用是降低系統(tǒng)處理的數(shù)據(jù)量。4. 鏈接測試的目的：硬件兼容性測試： 5. 軟件兼容性：6. 瀏覽器兼容性測試：方法是創(chuàng)建一個兼容性矩陣 AppletsJavascriptActiveVbscript

17、IE5.xIE6.XNetscape5.xNetscape6.x 7. 與其他軟件的兼容性：8. 數(shù)據(jù)兼容性測試：數(shù)據(jù)兼容是指軟件之間能否正確的交互和共享信息16.用戶權(quán)限控制包含兩方面：18防火墻的測試點：是否支持對日志的統(tǒng)計分析功能，19.入侵檢測的測試點：能否在將測到入侵事件時，自動執(zhí)行切斷服務(wù)，記錄入侵過程，郵件報警等動作。 能否支持攻擊特征信息的集中式發(fā)布和攻擊取證信息的分布式上載。 能否提供多種方式對監(jiān)視引擎和檢測特征的定期更新服務(wù)。 內(nèi)置的網(wǎng)絡(luò)能否使用狀況監(jiān)控工具和網(wǎng)絡(luò)監(jiān)聽工具。 19.病毒防治的測試點：20.安全審計的測試點： 21. web信息防篡改系統(tǒng)： 是否支持多種操作系

18、統(tǒng) 是否具有集成發(fā)布和監(jiān)控功能，使系統(tǒng)能夠區(qū)分合法更新與非法篡改 。 是否可以實時發(fā)布和備份 是否具有自動監(jiān)控，自動恢復(fù)，自動報警的能力。 是否提供日志管理，掃描策略管理和更新管理。22. 軟件測試的目的：23.廣義的軟件可靠性測試：狹義的軟件可靠性測試是指24可靠性是指25軟件和硬件在可靠性方面的不同點：26.規(guī)定時間：自然時間 運行時間 執(zhí)行時間（軟件運行過程中，cpu執(zhí)行程序指令所用的時間總和） 在度量可靠性時，使用執(zhí)行時間最為準確。27.可靠度：軟件系統(tǒng)在規(guī)定條件下，規(guī)定時間內(nèi)不發(fā)生失效的概率。 R(T)=1-F(T) F(T)：是失效概率 28.失效強度：單位時間軟件系統(tǒng)出現(xiàn)失效的概

19、率。f(t)=limF（t+t）/t=F(t)29.失效率：又稱風(fēng)險函數(shù) 30可靠性目標是指客戶對軟件性能滿意程度的期望，通常用可靠度，故障強度，平均無故障時間等指標描述。故障強度：以單位運轉(zhuǎn)時間的軟件故障停機小時表示停機的時間的長短。平均無故障時間系統(tǒng)平均能正常運行多長時間，才發(fā)生一次故障。1. 軟件可靠性管理包括各個階段可靠性活動的目標，計劃，進度，任務(wù)，修正措施等。需求分析階段：確定可靠性目標，影響因素，驗收標準，管理框架，文檔編寫規(guī)范，初步計劃，數(shù)據(jù)收集規(guī)范。概要設(shè)計階段：確定可靠性度量 驗收方案 手機可靠性數(shù)據(jù) 活動計劃 詳細計劃 文檔 詳細設(shè)計階段：可靠性設(shè)計，活動計劃 數(shù)據(jù) 詳細

20、計劃 文檔 編碼階段：可靠性測試 排錯 活動計劃 數(shù)據(jù)詳細句話文檔 測試階段：測試 排錯 建模評價 活動計劃 數(shù)據(jù)詳細計劃文檔 2. 可靠性設(shè)計技術(shù)：3. 軟件可靠性評估和預(yù)測以軟件可靠性模型分析為主，以失效數(shù)據(jù)的圖形分析法，試探性數(shù)據(jù)分析技術(shù)為輔。4. 可靠性數(shù)據(jù)的收集：主要指失效數(shù)據(jù) 貫穿整個軟件生命周期。主要問題： 解決辦法5. 影響軟件可靠性的主要因素：6. 一個好的可靠性模型應(yīng)該具有的特性： 7. 可靠性測試的難點：判斷測試用例的運行是成功還是失敗。測試可分為兩個階段第一階段運用少量的測試用例 第二個階段運行大量的測試用例。、用時間定義的軟件可靠性數(shù)據(jù)可分為四類：8. 安全防護體系分

21、為七個層次：9. SQL注入：防止的方法：10. 通信吞吐量：負載壓力測試的目的：11. 系統(tǒng)功能測試應(yīng)依據(jù)12. 最后發(fā)布的產(chǎn)品應(yīng)從中提取。13. 通信加密的目的：通信加密測試的基本方法：14. 用戶口令管理：15. 用戶登錄控制：16. Cpu的平均交換率應(yīng)該低于 內(nèi)存頁交換率應(yīng)低于17. 應(yīng)用服務(wù)器監(jiān)控指標：數(shù)據(jù)庫服務(wù)器監(jiān)控指標：20軟件測試質(zhì)量管理要素: 21.軟件測試質(zhì)量控制的主要方法：22.測試用例覆蓋率=缺陷修復(fù)率=23.并發(fā)用戶：在線用戶：25.數(shù)據(jù)庫權(quán)限測試：26.安全日志的測試：27.驗收測試根據(jù) 對成品進行驗收測試。生產(chǎn)環(huán)境或者軟硬件配置接近生產(chǎn)環(huán)境的模擬環(huán)境。28.bu

22、g的錯誤類型： 29 負載均衡設(shè)備的作用： 主控臺： 負載生成器：32 漏洞掃描：33 測試實施成本：33.完全依賴：如果X-Y，則X的任意子集都不能推出Y。 部分依賴：如果X-Y，則X的子集也能推出Y. 傳遞依賴：X-Y,Y-Z,則Y-Z.30. 內(nèi)連接：31. 外連接：32. 修改性能和索引性能是矛盾的。33. 交換機在數(shù)據(jù)鏈路層。34. A類地址：從5435. B類地址：從5436. C類地址：從5437. HTTP錯誤類型：1xx消息：請求已被服務(wù)器接收 2X

23、X成功：請求已被服務(wù)器接收 3xx重定向：需要后續(xù)操作才能完成這一請求 4xx 請求錯誤5xx：服務(wù)器錯誤43 中間代碼是44 動態(tài)語義。靜態(tài)語義。45 設(shè)計復(fù)審：46 代碼復(fù)審：。47 螺旋形就是漸增式開發(fā)模型，適合大型開發(fā)項目。48 常見的設(shè)計模式：1抽象工廠模式：提供一個創(chuàng)建一系列相關(guān)或相互依賴對象的接口，而無需指定具體的類。2適配器模式：將一個類的接口轉(zhuǎn)換成客戶希望的另一個接口，使原來不兼容的類能一起工作。3橋梁模式：將抽象部分與現(xiàn)實部分分離。4迭代模式：提供一種方法順序訪問一個聚合對象中的各個元素。5觀察者模式：定義對象間一對多的依賴關(guān)系。49 數(shù)據(jù)流圖的特征：50 軟件可靠性反映軟

24、件在穩(wěn)定狀態(tài)下維持正常的能力。51 可維護性：1初始階段是 的里程碑2精化階段是 的里程碑。3構(gòu)建階段是 的里程碑4交付階段是 的里程碑著作權(quán)和版權(quán)一個概念使用質(zhì)量特性：有效性，生產(chǎn)率，滿意度，安全性?？煽啃缘木窒奘怯捎谛枨?，設(shè)計，和實現(xiàn)中的故障所致。軟件測試過程的關(guān)鍵活動：質(zhì)量保證手段：單元測試的內(nèi)容：集成測試的內(nèi)容：集成測試的依據(jù)：系統(tǒng)測試的依據(jù)：利用因果圖導(dǎo)出測試用例的步驟：當系統(tǒng)性能不滿足需求時的條有措施：身份認證方式：滲透測試： 入侵檢測：入侵檢測系統(tǒng)發(fā)現(xiàn)入侵后采取的措施有：服務(wù)器操作系統(tǒng)的安全評測內(nèi)容：錯誤的分類：1負載壓力測試是指：1性能測試策略：1性能評測包括：大數(shù)據(jù)量測試包括

25、：軟件瓶頸：往往是導(dǎo)致系統(tǒng)性能衰減更快 認為因素更容易導(dǎo)致軟件瓶頸 盲目的增加硬件則無形的增加維護費用負載壓力測試的盲點：并發(fā)性能測試：負載壓力測試計劃的步驟：交易處理性能評估指標：ca服務(wù)器客戶端1典型的web系統(tǒng)：Web服務(wù)器中間件服務(wù)端數(shù)據(jù)庫服務(wù)器防火墻網(wǎng)絡(luò)客戶端3客戶端2網(wǎng)絡(luò)開發(fā)技術(shù)一般指的是采用腳本語言進行編程的技術(shù)。文字分析報告語言PERL超文本預(yù)處理器 PHPWeb應(yīng)用設(shè)計測試：1總體架構(gòu)設(shè)計測試：1采用的胖瘦客戶端是否符合需求 2確定web架構(gòu)的組成部分是否滿足需求 3 服務(wù)器配置以及分布是否滿足需求2 客戶端設(shè)計測試：1功能設(shè)置測試 2信息組織結(jié)構(gòu)設(shè)計的測試3頁面設(shè)計的測試3

26、服務(wù)器端設(shè)計測試：容量規(guī)劃 （點擊率是否滿足要求 估算延遲和流量是否滿足要求 估算web應(yīng)用系統(tǒng)所需服務(wù)器的資源消耗）4安全系統(tǒng)設(shè)計的測試5數(shù)據(jù)庫設(shè)計的測試Web應(yīng)用開發(fā)測試：框架測試：圖形測試：14. web安全體系測試：Web應(yīng)用系統(tǒng)安全：15. 軟件產(chǎn)品的安全測試 16. 1.Web易用性測試： 防病毒技術(shù)：模擬攻擊實驗：淚滴：Udp 洪水：電子郵件炸彈：通信加密技術(shù)：安全系統(tǒng)的構(gòu)成：功能易用性測試項：整體界面： 輔助系統(tǒng)測試： 可靠性模型：用戶文檔的作用：文檔測試應(yīng)該注意的問題：1檔常常得不到重視，文檔開發(fā)缺乏足夠的資金和技術(shù)支持，而文檔的 測試更得不到重視2寫文檔的人可能不是軟件特性

27、方面的專家，對軟件功能的了解可能不夠深3于文檔的印刷需要花費不少時間，可能是幾周，要是要求印刷質(zhì)量可能就是幾個月4檔測試不僅僅是對文字的校對，更可以輔助找到更多的程序錯誤。針對在線幫助的測試:準確性 幫助是文檔編寫和程序編寫的結(jié)合 幫助索引 超鏈接 鏈接的意義 幫助的風(fēng)格 1.數(shù)據(jù)庫管理系統(tǒng)具有高可靠性，高安全性 ，高性能，高可伸縮性能。數(shù)據(jù)庫管理系統(tǒng)測試的1.產(chǎn)品確認測試：重點測試數(shù)據(jù)庫管理系統(tǒng)的擴展性，可靠性，安全性，大數(shù)據(jù)量，管理工具，用戶文檔，系統(tǒng)功能（重點）1系統(tǒng)功能測試的測試點：安裝與配置，數(shù)據(jù)庫存儲管理，模式對象管理，非模式對象管理，交互式查詢工具，性能監(jiān)測與調(diào)優(yōu)，數(shù)據(jù)庫遷移工具

28、，作業(yè)管理。2可靠性測試：數(shù)據(jù)庫備份，故障恢復(fù)，運行穩(wěn)定性，數(shù)據(jù)庫復(fù)制。3安全性測試：用戶及口令管理，授權(quán)和審計管理（數(shù)據(jù)庫審計，授權(quán)管理，支持操作系統(tǒng)用戶驗證方式）4擴展性測試：數(shù)據(jù)庫系統(tǒng)跨平臺支持，CPU加速比2標準符合性測試：SQL符合性測試，odbc符合性測試，JDBC符合性測試2. 基準性能測試：TPC-C 測試 TPC-W測試腳本測試：靜態(tài)測試：用手工活利用工具檢查腳本的源代碼的語法錯誤，邏輯錯誤和其他與語言有關(guān)的編程錯誤動態(tài)測試 ：對java javascript vbscript等腳本的功能進行一一檢查。Asp測試：先做代碼檢查，發(fā)現(xiàn)語法及其他明顯的編碼錯誤，然后在用不同的瀏覽

29、器進行驗證 需注意幾方面：注意瀏覽器的緩存問題，正確設(shè)置超時 性能測試Activex 控件測試：1只能用于windows客戶端2 Activex應(yīng)用是編譯后的應(yīng)用，在用戶瀏覽是需要下載到客戶端運行，測試要保證activex控件的簽名注冊通過驗證。4 測試在activex控件沒有下載時，web系統(tǒng)功能受影響的程度5 專門進行activex控件的安裝于卸載測試6 測試之前要確認測試環(huán)境中有沒有舊版本的控件，如果有要卸載后重新安裝測試。Web功能性測試步驟：創(chuàng)建測試腳本，插入檢查點，運行測試，分析結(jié)果Web安全體系測試：部署與基礎(chǔ)結(jié)構(gòu)：網(wǎng)絡(luò)是否提供安全的通信 部署拓撲結(jié)構(gòu)是否包含內(nèi)部防火墻 部署拓撲

30、結(jié)構(gòu)中是否包含遠程應(yīng)用程序服務(wù)器 基礎(chǔ)結(jié)構(gòu)安全性要求限制什么 目標環(huán)境支持怎樣的信任級別 輸入驗證：漏洞：html輸出流中有未經(jīng)驗證的輸入 用于生成sql查詢的輸入未經(jīng)驗證 依賴客戶端驗證 對惡意用戶僅采用應(yīng)用程序篩選器1如何驗證輸入：是否清楚入口點 是否清楚信任邊界 是否驗證web也輸入 是否將方法集中起來 是否依賴客戶端的驗證2如何處理輸入：應(yīng)用程序是否易受規(guī)范化問題影響 應(yīng)用程序是否易受sql住區(qū)攻擊 是否易受xss 的攻擊身份驗證：身份驗證中的漏洞可能導(dǎo)致應(yīng)用程序受哄騙攻擊 詞典攻擊 會話劫持 漏洞：弱密碼 長會話 賬戶的特權(quán)過強 通過網(wǎng)絡(luò)傳遞銘文憑據(jù) 是否區(qū)分公共訪問和首先訪問 是否

31、明確服務(wù)賬戶要求如何驗證數(shù)據(jù)庫身份 授權(quán)：導(dǎo)致信息泄露，數(shù)據(jù)篡改 特權(quán)提升 漏洞:依賴單個網(wǎng)關(guān)守衛(wèi) 特權(quán)隔離不充分 如何向最終用戶授權(quán) 如何在數(shù)據(jù)庫中授權(quán)應(yīng)用程序配置管理：漏洞：不安全管理界面不安全配置存儲明文配置數(shù)據(jù)管理員太多是否支持遠程管理是否保證配置存儲的安全是否隔離管理員特權(quán)敏感數(shù)據(jù)：漏洞：以明文形式存儲機密信息在代碼中存儲機密數(shù)據(jù)在網(wǎng)絡(luò)中使用明文傳遞敏感數(shù)據(jù)是否存儲機密信息如何存儲敏感數(shù)據(jù)是否記錄敏感數(shù)據(jù)會話管理：漏洞：會話生存期延長會話狀態(tài)存儲不安全查詢字符串中的會話標識符如何交換會話標識符是否限制會話生存期如何保證會話狀態(tài)存儲的安全機密：漏洞：使用自定義加密使用錯誤算法不能確保加

32、密密鑰的安全性為何使用特定算法如何確保加密密鑰的安全性參數(shù)操作：漏洞：無法驗證所有輸入?yún)?shù)視圖狀態(tài)未保護信任頭信息是否驗證所有的輸入?yún)?shù)是否在參數(shù)中傳遞敏感數(shù)據(jù)異常管理：漏洞：無法使用結(jié)構(gòu)化的異常處理向客戶端公開的信息太多審核和日志記錄：漏洞：無法審核失敗的登陸無法確保審核文件的安全無法跨應(yīng)用程序?qū)舆M行審核網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)的檢測的基本技術(shù)指標：吞吐量丟包率延時背靠背性能網(wǎng)絡(luò)測試的類型：可靠性可接受性瓶頸測試容量規(guī)劃升級測試功能測試吞吐量測響應(yīng)時間測試衰減測試網(wǎng)絡(luò)配置規(guī)模測試網(wǎng)絡(luò)設(shè)備評估測試網(wǎng)絡(luò)測試對象：文件服務(wù)器工作站網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用程序路由器集線器網(wǎng)段全局網(wǎng)網(wǎng)絡(luò)應(yīng)用分析的測試點：優(yōu)化應(yīng)用程序的

33、性能預(yù)測響應(yīng)時間確定網(wǎng)絡(luò)帶寬要求關(guān)鍵因素：會話信息包信息負載信息線程信息高峰信窗口測試：是否能正確關(guān)閉是否支持最大化最小化多窗口切換響應(yīng)時間是否過長菜單測試：是否符合要求菜單項措辭是否準確順序是否合理圖形布局是否一致圖標測試：在圖標上是否有標注圖標外形與實際功能是否相似是否具有清晰的輪廓尺寸是否合理鼠標測試：點擊選中而不是滑動停留中選中支持滑輪上下翻動操作沙漏表示系統(tǒng)繁忙無規(guī)則點擊時是否會產(chǎn)生無法預(yù)料的后果用戶口令測試：最大口令時效最小口令時效口令歷史口令復(fù)雜度最小口令長度賬戶復(fù)位口令鎖定密鑰管理系統(tǒng)的測試點：是否制定了密鑰管理策略密鑰庫管理功能是否完善密鑰中心的審計，認證?；謴?fù)，數(shù)據(jù)，人員等

34、系統(tǒng)管理是否具備是否具備密鑰生成，發(fā)送，存儲，查詢，撤銷恢復(fù)等基本功能性能測試點：測試是否支持密鑰年保存期是否具備異地容災(zāi)備份是否具備可伸縮配置及擴展能力密碼服務(wù)系統(tǒng)測試：是否具備基礎(chǔ)加密解密服務(wù)功能能否提供多密碼算法的支持能否為應(yīng)用提供相對穩(wěn)定的統(tǒng)一安全服務(wù)接口性能測試：處理性能具有擴展能力算法密鑰長度能否達到位可信授權(quán)服務(wù)系統(tǒng)測試：集中式：用戶管理，審核管理，資源管理，角色管理分布式：是否具有資源訪問的簽名授權(quán)，授權(quán)管理功能可信時間戳服務(wù)系統(tǒng)測試：能否安全保存時間戳及相關(guān)信息采用公鑰技術(shù)，能否正確簽發(fā)可信時間戳能否從可信時間源獲取時間，校準時間戳服務(wù)器時間性能測試：時間精度能否達到秒驗證系統(tǒng)時間戳并發(fā)請求述能否達到設(shè)計要求相應(yīng)服務(wù)單元是否具備可擴展性網(wǎng)絡(luò)信任域：系統(tǒng)是否具備接入認證交換機，確保只有合法的才能接入網(wǎng)絡(luò)是