试题三（共15分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

在CNCERT/CC（国家计算机网络应急技术处理协调中心）处理的安全事件中，国内政府机构和重要信息系统部门的网页篡改类事件数量增长迅速。2011年6月的某一周，中国境内仅网页被篡改的网站就有660个，其中政府网站105个。网站内容复制容易，转载速度快，后果难以预料，网页如果被篡改，将直接危害该网站的利益，尤其是门户网站作为政府发布重要新闻、重大方针政策、法规和企业信息等的重要渠道，一旦被黑客篡改，将严重损害政府和企业形象。

从网站页面被篡改的角度来看，存在两种攻击的可能，一种是网站被入侵，也就是说网站页面确实被篡改了，另外一种是网站被劫持，这种情况下网站的页面实际上并没有被篡改，但是攻击者劫持了网络访问并发送欺骗页面给来访者，进而造成页面被篡改的表象。

【问题1】（6分）

通过入侵从而进行网页篡改的可能途径有哪些？这些途径各对应安全系统防护体系的哪个层次？

【问题4】（3分）

根据问题3的测试结果，试分析该系统的可能瓶颈。

【问题3】（6分）

该系统数据接收模块和数据查询模块的测试结果如表5-1、5-2所示，请分别指出测试结果是否满足性能需求并说明原因。

表5-1数据接收模块测试结果

【问题2】（3分）

对该数据管理系统进行性能测试时，主要关注哪些性能指标？

【问题4】（5分）

系统实现时，对用户的登录判断所用的动态SQL语句如下：

“SELECT* FROM Users WHERE User_Name=‘”+strUserName+“‘AND Password=‘”+ strPassword+“’；”

该SQL语句是否能防止SQL注入？请设计一个测试用例，以测试SQL注入，并说明防止SQL注入的方法。

试题五（共15分）

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

某数据管理系统有两个重要模块：数据接收模块和数据查询模块。数据接收模块按照一定的时间间隔从多个不同数据源接收数据进行一定的预处理后存入数据库中；数据查询模块根据用户请求从数据库中查询相应的数据并返回给用户。现需要对该系统执行负载压力测试。

该数据管理系统的性能要求为：

    （1）交易执行成功率100%;

    （2）接收间隔最小为200ms;

    （3）查询响应时间在3s以内；

    （4）查询功能支持至少10个并发用户；

    （5）数据接收模块CPU利用率不超过40%;

    （6）数据查询模块CPU利用率不超过20%。

【问题1】（3分） 

简述负载压力测试的主要目的。

【问题3】（3分）

在满足系统要支持的（1）时，计算系统的通信吞吐量。

试题四（共15分）

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

某公司开发基于Web的招聘系统，采用Java EE系统架构。系统提供用户注册、职位设置、接受应聘者的申请和评估录取应聘者等功能。接受申请主要是验证应聘者提交的姓名、地址、照片、简历和预申请职位等信息的完整性，并发送给应聘者相关通知；评估应聘者主要是根据部门经理设置所需职位，对已经受理的申请进行资格审查，发送给应聘者录用与否的相关决策信息。

系统要支持：

    （1）在50个用户并发时，主要功能的处理能力至少要达到5个请求/秒，平均数据量12KB/请求；

    （2）用户可以通过PC、移动设备上的不同操作系统和浏览器进行访问。

【问题1】（3分）

简要叙述招聘系统链接测试的主要测试内容。

【问题2】（4分）

简要叙述为了达到系统要支持的（2），需要进行哪些兼容性测试，并设计一个兼容性测试矩阵实例。

【问题2】（6分）

针对网页被篡改的问题，从技术层面看有哪些防范措施？

【问题3】（3分）

现在出现了一些基于监测与恢复的页面防篡改系统，这类防篡改系统应具备哪些基本功能？