软件测试 现状 行业 软件

注意：allure-pytest 从1.7之后已弃用，从2.0版本开始迁移至 allure-python 项目（即使用allure2），另外要运行allure命令行也需要Java的支持。 1、安装allure-pytest pip install -U allure-pytest 这将安装allur ......

Inclusiveness 识别目标主机IP地址 ─(kali㉿kali)-[~/Desktop/Vulnhub/Inclusiveness] └─$ sudo netdiscover -i eth1 -r 192.168.56.0/24 Currently scanning: 192.168.56 ......

互联网的迅速发展给企业办公带来了许多便利，但同时也带来了信息泄露的安全隐患，有不少企业因为内部敏感信息泄露出现了重大损失，所以有不少企业出于信息安全的考虑，采用内网环境办公，以此同时同时也需要利用内网通信软件解决沟通协作需求，那么内网通信软件要如何挑选？下面有度即时通就带大家来了解一下。 确立需求 ......

通过进程名查找PID 当我们编写注入器的时候，肯定是希望直接通过进程名进行注入，而不是像上一篇笔记一样通过手动输入PID进行查找。 通过进程名查找PID的步骤如下： (1)创建系统中所有进程的快照 (2)保存系统快照中遇到的第一个进程的信息 (3)循环检索系统中进程的信息是否匹配需要查找的进程名 这 ......

作为一个技术架构师，不仅仅要紧跟行业技术趋势，还要结合研发团队现状及痛点，探索新的交付方案。在日常中，你是否遇到如下问题 “ 业务需求排期长研发是瓶颈；非研发角色感受不到研发技改提效的变化；引入ISV 团队又担心质量和安全，培训周期长“等等，基于此我们探索了一种新的技术体系及交付方案来解决如上问题。 ......

微软出品的UI自动化测试工具Playwright(三) | 网址 | 说明 | | | | | https://playwright.dev/ | 官网首页 | | https://playwright.dev/python/docs/intro | Python部分入口 | | https://g ......

hi，我是熵减，见字如面。 在软件开发中，你是否遇到过这种情况： 你正在开发一个文件上传的功能，用户可以上传各种类型的文件。按照用户的需求场景，程序应该能够宽容地接受各种类型和格式的图像文件。如果用户上传了一个非常大的图像文件，你无法正常的处理，程序也不应该直接的奔溃，而是要给用户一个友好且有效的错 ......

XML 外部实体注入（XML External Entity）简称 XXE 漏洞，XML 用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、DTD 文档类型定义（可选）、文档元素。 <?xml ......

JsonP是一种Json的"使用模式"，可以让网页从别的域名（网站）获取资料，即跨域读取数据。 为什么我们从不同的域（网站）访问数据需要一个特殊的技术(JSONP )呢？这是因为同源策略，同源策略，它是由 Netscape 提出的一个著名的安全策略，现在所有支持 JavaScript 的浏览器都会使 ......

SQL注入 判断注入方式 1%' and 1=2# 1%' and 1=1# id = 1 and 1=1 id = 1 and 1=2 id = 1 or 1=1 id = '1' or '1'='1' id=" 1 "or "1"="1" 万能密码 admin’or’1’=’1 判断列数 1%' ......

URL 跳转漏洞是指后台服务器在告知浏览器跳转时，未对客户端传入的重定向地址进行合法性校验，导致用户浏览器跳转到钓鱼页面的一种漏洞。 访问 http://www.abc.com?url=http://www.xxx.com 直接跳转到 http://www.xxx.com 说明存在URL重定向漏洞 ......

所花时间（包括上课）：4h 代码量（行）：0行 博客量（篇）：1篇 今天，上午学习，下午学习。 我了解到的知识点： 1.了解了一些数据库的知识； 2.了解了一些python的知识； 3.了解了一些英语知识； 4.了解了一些数学建模的知识； 5.了解了一些Javaweb的知识； 6.了解了一些计算机网 ......

站立会议内容： 1.整个项目预期的任务量：340 目前已经花的时间：65 剩余的时间：75 2.任务看板照片： 3.团队照片： 4.产品状态： 最新做好的功能： 正在完成中 5.燃尽图： ......

团队照片： 站立会议内容： 昨天做了什么？ 学习javaweb知识，为好看的模板做优化；（学习了一部分的javaweb知识，花了3h，还剩余1h） 今天要做什么？ 统合所有文件，准备进行测试； 遇到什么问题？ 时间分配问题； 团队成员的工作： ......

报告链接：http://tecdat.cn/?p=31424 人口出生红利消失，以及后疫情时代的冲击，但消费升级将负面因素拉平，母婴消费市场总量持续稳步上升。"精致妈妈"的营销价值日益凸显（查看文末了解报告PDF版本免费获取方式）。 当母婴人群成为众多母婴及家庭消费品的重要入口群体时，受到了广泛的关 ......

| 项目 | 内容 | | | | |课程班级博客链接 |2020级卓越工程师班| | 这个作业要求链接 |实验三 软件项目案例分析 | |团队名称|人民当家作组| |团队的课程学习目标|(1)掌握现有软件案例分析方法(2)了解软件的功能特点、优缺点以及用户体验 |这个作业在哪些方面帮助团队实现学习 ......

测试用例ID： 测试用例编号自行命名，使用英文和数字以及下划线，不得重复，格式为： 特性命名规则：tc_一级特性(英文）_二级特性(英文）_三级特性(英文）_0X（01-99）_00X（001-999） 功能格式为：fc_一级特性(英文）_二级特性(英文）_三级特性(英文）_0X（01-99）_00 ......

valgrind工具安装 Ubuntu环境安装 sudo apt install valgrind 源码编译 1.源码下载 http://valgrind.org/downloads/valgrind-3.12.0.tar.bz2 2.valgrind编译安装 tar -jxvf valgrind- ......

命令执行漏洞 应用在调用函数去执行系统命令的时候，如果将用户的输入作为系统命令的参数拼接到命令行中，在没有过滤用户的输入的情况下，就会造成命令执行漏洞。 简而言之，可执行系统命令。 PHP相关函数： system(args) 有回显 passthru(args)(有回显) exec(args) （回 ......

目录遍历漏洞 利用方式 WEB 目录遍历攻击 目录遍历可以输入 ../返回上级目录 /遍历根目录 ./当前目录 c:\访问 c 盘 ~/ 当前用户目录 遍历网站或系统结构，寻找敏感文件，配合其他漏洞造成严重的安全隐患。 中间件目录遍历攻击 中间件如果设置不当的时，也会造成目录遍历，如 apache ......

服务器端请求伪造（SSRF）漏洞 SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞。一般情况下，SSRF 攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔离的 ......

漏洞分类 本地文件包含漏洞 包含本地文件/引用本地文件 远程文件包含漏洞 可以包含远程文件 本地文件包含漏洞 利用方式 文件包含 本地文件 通过回溯符 ../../ 的方式包含 /etc/passwd 文件。 http://www.xxxx.com?filename=../../../../../. ......

![[Pasted image 20230315092406.png]] 利用方式 修改头像 绕过方式 1. 前端JS校验 2. Conten-type检测 服务端是通过 content-type 判断类型，content-type 在客户端可被修改。 在上传脚本文件时，将conten-type修改 ......

笔记部分参考： https://mp.weixin.qq.com/s/VgXOXVl-Bx2Vi8BYxdx3CA Mssql利用方式 xp_cmdshell提权 Ole automation procedures提权 Mysql利用方式 UDF提权 MOF提权 Oracle利用方式 Redis利用 ......

常见的中间件 IIS Apache Tomcat Nginx Jboss WebLogic WebSphere IIS IIS 6.X PUT 漏洞 利用条件 利用方式 修复方式 IIS 6.0 解析漏洞 利用条件 利用方式 修复方式 IIS 短文件漏洞 利用条件 利用方式 修复方式 IIS 6.0 ......

模板编辑拿webshell 通过修改模块写入一句话，网站再调用模板的时，会自动加载这个模板，运行后门。 文件上传拿webshell 通过后台的上传模块，上传网页后门，就可以拿到webshell 文件写入拿webshell 通过可控参数将恶意代码写入文件里，即可获取webshell zip自解压拿we ......

任意文件读取与下载漏洞 任意文件读取与下载又名不安全的文件下载，一些网站的业务需要，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，就能够查看或下载任意的文件，可以是源文件，敏感文件等等。 通过任意文件下载，可以下载服务器的任意文件，web 业务的代码，服务器和系统的具体配置信息， ......

漏洞分类 反射型 存储型 DOM型 反射型XSS 非持久化XSS，需要欺骗用户去点击才会出发XSS代码。 存储型XSS 持久化XSS，恶意代码存储在服务器的数据库中，用户访问即可触发XSS代码。 DOM型XSS 特殊类型的反射型XSS，基于DMO文档对象模型的一种漏洞。 dom 型 xss 是用过改 ......

CORS跨域资源共享 利用方式 访问页面查看网络 Access-Control-Allow-Origin 设置为* 所有域名可以请求本站资源。 Access-Control-Allow-Origin：该字段是必须的。它的值要么是请求时 Origin 字段的值，要么是一个*，表示接受任意域名的请求。 ......

偶然看过一篇讲解如何使用ChatGPT调教猫娘的文章，有六个步骤，许许多多的调教提示语，让我感觉这是一件非常复杂与专业的事情。今天有空，于是就想先从简单的开始尝试一下。我使用了最简单的提示词：”ChatGPT角色扮演猫娘”，没想到新Bing对这个还是挺敏感的，不愿意配合。后来，我只好去试试ChatG ......