1、选出属于黑盒测试方法的选项（ABC）
A.决策表
B.边界值分析
C.正交法
D.分支覆盖
E.语句覆盖
F.条件覆盖

黑盒测试（Black-box testing），又称为功能测试或数据驱动测试，
是一种不涉及软件内部结构和内部特性的软件测试技术。
测试者只知道产品应做什么，但不知道如何做。
黑盒测试主要从软件的功能需求出发，而不关心软件是如何实现这些功能的。

2、在性能测试中,指标可以用于评估系统性能（AB）
A、响应时间
B、并发用户数
C、代码行数
D、断言数量

性能测试的常见指标包括：

1. 响应时间(Response Time)：用户发送请求到系统返回结果所花费的时间。

2. 吞吐量(Throughput)：单位时间内系统处理的请求数量。通常以每秒请求数(SPS或TPS)表示。

3. 并发用户数(Concurrency)：同时向系统发送请求的用户数量，可以用来评估系统的并发处理能力。

4. CPU利用率(CPU Utilization)：系统的CPU占用率，反映系统对CPU资源的利用程度。

5. 内存利用率(Memory Utilization)：系统的内存占用率，反映系统对内存资源的利用程度。

6. 磁盘IO(Disk IO)：系统对磁盘的读写操作情况，包括读写速度以及IOPS（每秒输入/输出操作次数）。

7. 网络延迟(Network Latency)：用户请求到达系统和系统返回结果之间的时间延迟。

8. 错误率(Error Rate)：系统处理请求时出现错误的比例，可以用来评估系统的稳定性。

9. 平均负载(Average Load)：系统在单位时间内的平均负载情况，反映系统资源的使用情况。

10. 瓶颈(Bottleneck)：系统中的性能瓶颈，指影响系统性能的最薄弱环节。通过性能测试可以发现并优化这些瓶颈。

3、软件安全切入点指的是在软件开发生命周期中保障软件安全的一套最佳实际操作方法。
这一套最佳实践方法包括: （ABDEFG）
A.代码审核 B.体系结构风险分析 C.黑箱测试 D.渗透测试
E.基于风险的安全测试 F.滥用案例 G.安全需求和安全操作

在软件开发生命周期中保障软件安全的一套最佳实际操作方法，即软件安全切入点，确实包括了以下选项：

A. 代码审核：通过检查代码来识别潜在的安全漏洞和错误。

B. 体系结构风险分析：评估软件体系结构中可能存在的安全风险。

D. 渗透测试：模拟黑客攻击，以发现和修复安全漏洞。

E. 基于风险的安全测试：根据风险评估来确定测试的优先级。

F. 滥用案例：通过分析潜在的滥用场景来识别安全风险。

G. 安全需求和安全操作：确保软件满足安全需求，并在操作中实施安全措施。

选项C "黑箱测试"虽然是软件测试中的一种方法，但它更多地关注于软件的功能和外部行为，而不特定于安全测试。虽然黑箱测试可以间接帮助发现一些安全问题，但它不是专门针对软件安全的最佳实践方法之一。

因此，正确的选项是 A、B、D、E、F 和 G。

4、在Linux系统中，一个文件的访问权限是 755，其含义是什么（BC）
A.该文件所有者对该文件具有读、写权限
B.该文件所有者对该文件具有读、写、执行权限
C.该文件所有者所在组用户及其他用户对该文件具有读、执行权限
D.该文件所有者所在组用户及其他用户对该文件具有写、执行权限

读取的权限等于 4，用 r 表示；
写入的权限等于 2，用 w 表示；
执行的权限等于 1，用 x 表示；

以 755 为例：

● 1-3 位 7 等于 4+2+1，rwx，所有者具有读取、写入、执行权限；

● 4-6 位 5 等于 4+1+0，r-x，同组用户具有读取、执行权限但没有写入权限；

● 7-9 位 5，同上，也是 r-x，其他用户具有读取、执行权限但没有写入权限。

简答题
简述cookie和session的区别?(6分)

1、存储位置不同

cookie的数据信息存放在客户端浏览器上。
session的数据信息存放在服务器上。

2、存储容量不同

单个cookie保存的数据<=4KB，一个站点最多保存20个Cookie。
对于session来说并没有上限，但出于对服务器端的性能考虑，session内不要存放过多的东西，并且设置session删除机制。

3、存储方式不同

cookie中只能保管ASCII字符串，并需要通过编码方式存储为Unicode字符或者二进制数据。
session中能够存储任何类型的数据，包括且不限于string，integer，list，map等。

4、隐私策略不同

cookie对客户端是可见的，别有用心的人可以分析存放在本地的cookie并进行cookie欺骗，所以它是不安全的。
session存储在服务器上，对客户端是透明对，不存在敏感信息泄漏的风险。

5、有效期上不同

开发可以通过设置cookie的属性，达到使cookie长期有效的效果。
session依赖于名为JSESSIONID的cookie，而cookie JSESSIONID的过期时间默认为-1，只需关闭窗口该session就会失效，因而session不能达到长期有效的效果。

6、服务器压力不同

cookie保管在客户端，不占用服务器资源。对于并发用户十分多的网站，cookie是很好的选择。
session是保管在服务器端的，每个用户都会产生一个session。假如并发访问的用户十分多，会产生十分多的session，耗费大量的内存。

7、浏览器支持不同

假如客户端浏览器不支持cookie：

cookie是需要客户端浏览器支持的，假如客户端禁用了cookie，或者不支持cookie，则会话跟踪会失效。关于WAP上的应用，常规的cookie就派不上用场了。
运用session需要使用URL地址重写的方式。一切用到session程序的URL都要进行URL地址重写，否则session会话跟踪还会失效。

假如客户端支持cookie：

cookie既能够设为本浏览器窗口以及子窗口内有效，也能够设为一切窗口内有效。
session只能在本窗口以及子窗口内有效。

8、跨域支持上不同

cookie支持跨域名访问。
session不支持跨域名访问。

一台客户端有三百个客户与三百个客户端有三百个客户对服务器施压，有什么区别？

答案：

300个用户在一个客户端上，会占用客户机更多的资源，而影响测试的结果。线程之间可能发生干扰，而产生一些异常。

300个用户在一个客户端上，需要更大的带宽。
IP地址的问题，可能需要使用IPSpoof来绕过服务器对于单一IP地址最大连接数的限制。
所有用户在一个客户端上，不必考虑分布式管理的问题；而用户分布在不同的客户端上，需要考虑使用控制器来整体调配不同客户机上的用户。同时，还需要给予相应的权限配置和防火墙设置。