压力web
JSON WEB TOKEN - 简单的token认证方式 - 告别session和cookie - Java Demo
JWT简介 jwt非常适合前后分离 和 分布式的应用 不必在服务端存储session,本地也不用存储cookie 直接存两段信息即可 localStorage["jwt"] = jwt; // token localStorage["name"] = json.name; // token中加密的某 ......
怎么解释web api 是无状态
Web API被称为无状态,这主要是指它不会保存客户端的任何数据。每一个请求需要携带所有必要的信息,因为Web API不会记住前一次请求的信息。它的设计是完全无状态的,每一次请求都是一个全新的交互,不依赖于任何历史上的信息或状态。对应的,这种无状态的规范让Web API更易扩展和管理,同时也简化了应 ......
什么是压力测试,在哪里做压力测试,软件压力测试存在哪些问题?
软件压力测试是一种基本的质量保证行为,它是每个重要软件测试工作的一部分。软件压力测试的基本思路很简单: 不是在常规条件下运行手动或自动测试,而是在计算机数量较少或系统资源匮乏的条件下运行测试。 通常要进行软件压力测试的资源包括内部内存、CPU 可用性、磁盘空间和网络带宽。压力测试涵盖,性能测试,负载 ......
【web_逆向06】base64
## 简介 - base64其实很容易理解. 通常被加密后的内容是字节. 而我们的密文是用来传输的(不传输谁加密啊). 但是, 在http协议里想要传输字节是很麻烦的一个事儿. 相对应的. 如果传递的是字符串就好控制的多. 此时base64就应运而生了. 26个大写字母+26个小写字母+10个数字+ ......
【web_逆向05】URLEncode
## 我们这网站中总能看到这样一种url,例如:百度中直接搜索"周杰伦" ``` https://www.baidu.com/sugrec?&prod=pc_his&from=pc_web&json=1&sid=26350&hisdata=%5B%7B%22time%22%3A1691934763% ......
【web_逆向04】MD5摘要算法
## MD5是一个非常常见的摘要(hash)算法,其特点就是小巧. 速度快. 极难被破解。所以, md5依然是国内非常多的互联网公司选择的密码摘要算法 - 1. 这玩意不可逆. 所以. 摘要算法就不是一个加密逻辑. - 2. 相同的内容计算出来的摘要应该是一样的 - 3. 不同的内容(哪怕是一丢丢丢 ......
【web_逆向03】关于字节
## 简介 - 字节是二进制数据的单位。一个字节通常8位长。但是,一些老型号计算机结构使用不同的长度。为了避免混乱,在大多数国际文献中,使用词代替byte。 ## python中转换成字节 - 1个字节是8位二进制. 1111 1111 -> 255 -> FF 两位十六进制刚好最大值是 FF 25 ......
【web_逆向02】某易云逆向注意点
## 加密入口 ![](https://img2023.cnblogs.com/blog/1544134/202308/1544134-20230813174625437-1061896858.png) ## 需要用到a,b,c三个函数 - a,不需要动,直接copy就行 - b,标准的第三方库,直 ......
【web_逆向01】环境安装
## node.js环境安装 - 官网下载,直接下一步就行 ![](https://img2023.cnblogs.com/blog/1544134/202308/1544134-20230813165904433-477629405.png) - 安装后,在cmd环境,测试 ![](https:/ ......
Burp Suite Professional / Community 2023.9 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional / Community 2023.9 (macOS, Linux, Windows) - Web 应用安全、测试和扫描 Burp Suite Professional, Test, find, and exploit vulnerabilities. ......
Web通用漏洞--文件上传
# Web通用漏洞--文件上传 ## 概述 文件上传安全指的是攻击者通过利用上传实现后门的写入连接后门进行权限控制的安全问题,对于如何确保这类安全问题,一般会从原生态功能中的文件内容,文件后缀,文件类型等方面判断,但是漏洞可能不仅在本身的代码验证逻辑中出现安全问题,也会在语言版本,语言函数,中间件, ......
Web通用漏洞--CSRF
# Web通用漏洞--CSRF ## 漏洞简介 CSRF(Cross Site Request Forgery, 跨站请求伪造/客户端请求伪造),即通过伪造访问数据包并制作成网页的形式,使受害者访问伪造网页,同时触发伪造的请求而达到攻击效果的一种手段。 ![在这里插入图片描述](https://im ......
Web通用漏洞--SSRF
# Web通用漏洞--SSRF ## 漏洞简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 一种由攻击者构造形成由服务端发起请求的一个安全漏洞; 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而 ......
Web通用漏洞--RCE
# Web通用漏洞--RCE ## 漏洞简介 RCE远程代码/命令执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 RCE漏洞也分为代码执行漏洞和命令执行漏洞,所谓代码执行即通过漏洞点注入参数而使用源代码进行相应的操作,所谓的命令执行就是通过漏洞点注入参数使用源 ......
Web攻防--xxe实体注入
# web攻防--xxe实体注入 ## 漏洞简介 XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。 在某些情况下,攻击者可以利用 X ......
ctfshow--web入门--XXE
# ctfshow--web入门--XXE ## web373 源码 ```php loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); //解析xml文档 $creds = simplexml_import_dom($dom); $ctfshow = ......
ctfshow--web入门--文件上传
# ctfshow--web入门--文件上传 ## web151(前端校验) 题目中提示前端检验不可靠,应该对前端检验进行绕过 ![在这里插入图片描述](https://img-blog.csdnimg.cn/608e51750ded43f2aefc1c2a66a3e803.png) 检查前端代码进 ......
Web通用漏洞--文件包含
# Web通用漏洞--文件包含 ## 文件包含原理 在项目开发过程中,开发人员通常会将重复使用的函数写入单个文件中,在使用该类函数时,直接调用文件即可,无需重新编写,这种调用文件的过程成为文件包含。在文件包含过程中,如果用户可以控制所包含的文件,则为文件包含漏洞。 ## 文件包含函数 PHP:inc ......
接口压力测试
# 接口压力测试 > 参考博客: > > [[接口压测实践-压力测试常见参数解释说明](https://www.cnblogs.com/phpwechat/p/17043484.html) ### 使用场景 对指定接口进行性能测试时,一些常见参数解释说明。 ### 一键并发 详情详见:Postman ......
Docker配置Web
# Docker配置Web ## 一、安装Docker > 安装步骤详见: > > [Ubuntu 20.04安装Docker](https://www.cnblogs.com/Can-daydayup/p/16472375.html) > > [Docker构建nginx+uwsgi+flask镜 ......
WEB自动化-Allure报告-添加日志内容到Allure报告
如果想把LOG内容输出到Allure报告,步骤如下: 1、创建pytest.ini文件,设置规则 2、创建conftest文件,设置driver和日志封装及截图 # 浏览器驱动 import logging import allure import pytest from selenium impo ......
Web信息收集步骤
# Web信息收集步骤 1. 利用浏览器查看所有页面,并且检查页面源代码,注意备注信息以及可以链接 2. /robots.txt 3. Nikto工具扫描Web技术架构以及可能存在的目录或者文件,并且可能可以直接给出漏洞 4. Gobuster,dirb,dirsearch,并且利用各个主要的wor ......
ctfshow_JWT(Web345-350)
## jwt介绍 对json格式的信息采取的一种编码 JWT:Json web token 由两个点分隔成三个部分,分别为: - Header - Payload - Signature: 如果在Header部分声明的签名算法为HS256,以及服务器约定使用的密钥为secret 那么签名使用的算法一 ......
ctfshow_SSRF(web351-360)
# ctfshow-SSRF #### web351 flag在flag.php下,直接访问没有权限 使用curl_exec访问才有权限 > url = http://127.0.0.1/flag.php #### web352 开始上过滤了 使用`0.0.0.0`访问本机上的服务 > url = ......
DASCTF_2023_07_web赛后复现
# EZFlask ## 总体思路 总体思路是利用python的原型链污染修改`__file__`,实现任意文件读,从而读取到必要信息,构造PIN码解锁console从而RCE ## 解题 ### 代码审计 源代码设计得挺巧的,这个其实是提供了任意读 ```python @app.route('/' ......
WEB实战手册-基于C++(1)
[TOC] # oat++ oat++ 是一个轻量级高性能 Web 服务开发框架,采用纯 C++ 编写而成。 - 特性: 1. 特性快速 2. 零依赖 3. 异步服务器,高性能,在单个服务器上同时处理超过 500 万个 WebSocket 连接 4. 多线程服务器(简单的 API) 5. 连接无感知 ......
Selenium Web 自动化 - Selenium(Java)环境搭建 (new)
Selenium Web 自动化 - Selenium(Java)环境搭建 (new) 2023-08-11 0 背景 开发工具idea 代码管理maven jdk1.8 webdriver chrome 1 chromedriver & chrome chromedriver和chrome要对应上 ......
第三方软件压力测试报告需要哪些资质?大概费用和周期是多少?
第三方软件压力测试报告需要具备以下资质: CMA认证:中国计量认证,是由省级以上人民政府计量行政部门对检测机构的检测能力及可靠性进行的一种全面的认证及评价。 CNAS认可:中国合格评定国家认可委员会的认可,是国际互认的多边承认协议。 此外,第三方软件压力测试机构还需要具备专业的技术团队、测试工具和 ......
go项目实现mysql接入以及web api
本文为博主原创,转载请注明出处: 创建go项目,并在go项目中接入mysql,将mysql的配置项单独整理放到一个胚子和文件中,支持项目启动时,通过加载配置文件中的值,然后创建数据库连接。 之后使用net/http相关的库,创建路由,并在路由中通过不同的http方法,实现mysql连接的test数据 ......
WEB自动化-Allure报告-优化-流程化
可以通过优化把Allure的报告生成具有流程化的样子,如下 1、 创建文件,放封装的一些流程的函数 2、创建测试用例文件,用例中设置前置步骤,所有操作要先登录,然后用with allure.step写步骤: import allure import pytest from Allure_Tec.p0 ......