1.每个新需求的功能点,全部在jira上一一呈现 2.每个bug也一样在jira上一一呈现 3.任务一个需要优化改进的点也一一在jira上呈现 然后程序员一直开发新功能和修改新bug,测试人员负责bug和新功能点的跟踪. 直到上线,在上线过程中发现bug继续处理,直到最后的封版. 接下来的下一版本新建一个新版本的jira项目,还一样的处理,如果发现上一版本有bug两个jira项目上都要登记,然后程序员分别修改. 为什么要这样处理,只有这样测试才能不漏一点,开发人员也才不会被测试人员拉来拉去.只需…

本文作者:i春秋签约作家——Binghe 致力于书写ichunqiu社区历史上最长篇最细致最真实的技术复现文章. 文章目录: MySQL之UDF提权 MySQL之MOF提权 MySQL之常规写启动项提权 导出木马到启动项提权 反弹端口提权 MySQL提权综合姿势 part1 mysql之UDF提权 首先什么是UDF? UDF为`User Defined Function`-用户自定义函数,也就是支持用户自定义函数的功能.看这个名字应该就理解了一半了. MySQL是最流行的开放源码SQL数据库管理…

ping 域名/ip 测试本机到远端主机是否联通. dig 域名/ip 查看域名解析的详细信息. host -l 域名 dns服务器 传输zone. 扫描 nmap: -sS 半开扫描TCP和SYN扫描. -sT 完全TCP连接扫描. -sU UDP扫描 -PS syn包探测(防火墙探测) -PA ack包探测(防火墙探测) -PN 不ping. -n 不dns解析. -A -O和-sV. -O 操作系统识别. -sV 服务版本信息(banner) -p 端口扫描. -T 设置时间级别(0-5)…

在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,也未找到网站后台,在收集信息的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目标.网络.路由和国家区域进行分析和判断,如果不经思考和判断地去入侵C段服务器,当你费尽心思拿到某台服务器权限时,往往发现毫无半点用处,特别又是在国外,ARP基本上都没什么希望,当然内网渗透中又是另一回事.) 也…

Daniel Knott 用过各种不同编程语言和软件质量保证工具.他在软件开发和测试方面干了七年,自2010年起,他一直在德国汉堡的XING AG公司就职,几个项目里,比如XING调查和XING建议,他负责测试管理,测试自动化和测试执行.Daniel现在是XING移动和XING API团队的质量保证团队负责人.在XING移动团队中,他还负责XING安卓和iPhone Apps的测试管理和测试自动化.Daniel在包括像Robotium, KIF (Keep It Functional), Sel…

注: 本文译自https://www.sqlskills.com/blogs/paul/missing-index-dmvs-bug-that-could-cost-your-sanity/ 原文作者是在SQL Server 2008 SP1下面说的这个文本,本人在SQL Server 2014 SP2下测试仍有有这个问,因此记录了下来 本人原本打算利用missing index的DMV中的信息做创建索引使用,之前就一直怀疑SSMS中提示的索引是否有效, 通过这篇文章,让我们重新认识missin…

本位出处:http://www.cnblogs.com/wy123/p/6770258.html 统计信息写过几篇了相关的文章了,感觉还是不过瘾,关于统计信息的问题,最近又踩坑了,该问题虽然不算很常见,但也比较有意思.相对SQL Server 2012,发现在新的SQL Server版本(2014,2016)中都有一些明显的变化,下文将对此进行粗浅的分析. SQL Server 2012中(包括之前的版本),因表中数据变化,但统计信息尚未更新的情况下,对于直方图中没有覆盖到的谓词过滤时,sqls…

工作总结: 1 这两天由于工作,需要进行抓包,使用了Charles,fidder,发现一个坑点: charles没有抓到返回值的时候,默认是不在列表显示请求信息的,能不能设置,我就不知道了,但是可以在底部时时显示请求信息,一闪而过: fiddler4可以正常抓到没有返回的请求! 2 各类手机使用adb链接不到,1 链接USB时,电脑提示安装失败,点击失败窗口,选择通过windows update安装驱动,正常安装驱动后, 再讲驱动安装选择回不从windows安装驱动,驱动安装成功,再次链接USB…

一说起软件测试,测试员想到肯定是去检查文件,功能,API,性能并确定软件是否安全,以及关于软件特定部分的其他事项.但是对于移动测试,测试员不得不基于用户移动使用模式考虑移动相关的功能. 本文是基于我的工作经验而写的.作为一名敏捷软件开发团队的软件质量保证经理,我一心投入iPhone,Android,WindowsPhone7的移动apps和移动webapps.在XING移动团队的日常工作以及与其他移动测试专家交流的过程中,我深刻了解了移动测试工作的困难.渐渐地,我明确了什么是帮助改进同事们和我的…

直方图是表上某个字段在按照一定百分比和规律采样后的数据分布的一种描述,最重要的作用之一就是根据查询条件,预估符合条件的数据量,为sql执行计划的生成提供重要的依据在MySQL 8.0之前的版本中,MySQL仅有一个简单的统计信息却没有直方图,没有直方图的统计信息可以说是没有任何意义的.MySQL 8.0新特性之一就是开始支持统计信息的直方图,这个概念很早就提出来了,抽空具体尝试了一下使用方法. 之前写过MSSQL相关统计信息的一点东西,在原理上都是一致的,https://www.cnblogs.…

难易程度:★★★ 阅读点:python;web安全; 文章作者:xiaoye 文章来源:i春秋 关键字:网络渗透技术 前言 python是门简单易学的语言,强大的第三方库让我们在编程中事半功倍,今天,我们来谈谈python多线程在渗透测试中的应用,本文,我们将编写一个简易c段存活主机扫描脚本,以及一个python版本的多线程御剑--目录扫描工具 一.python 多线程 python多线程有几种写法 1. thread模块 python的一个多线程模块,小脚本可以用,但是有瑕疵,比如不稳定,线程…

注: 本文译自https://www.sqlskills.com/blogs/paul/missing-index-dmvs-bug-that-could-cost-your-sanity/ 原文作者是在SQL Server 2008 SP1下面说的这个问题,本人在SQL Server 2014 SP2下测试仍有有这个问,因此记录了下来 本人原本打算利用missing index的DMV中的信息做创建索引使用,之前就一直怀疑SSMS中提示的索引是否有效, 通过这篇文章,让我们重新认识missin…

Swagger ui测试中的验证 apikey 我们使用swagger 用来呈现webapi的接口,除了可以看到接口的说明和参数说明,还可以进行测试.但是我们的接口通常是有验证的,不是随便就能调用的,这时候用swagger怎么办呢? 修改SwaggerConfig文件 添加api-key-header-auth.js文件 修改api-key-header-auth.js 文件 测试 1. 修改SwaggerConfig文件 取消这个的注释,使生效. c.BasicAuth("basic"…

1 数据类型 网页中的数据类型可分为结构化数据.半结构化数据.非结构化数据三种 1.1 结构化数据 常见的是MySQL,表现为二维形式的数据 1.2 半结构化数据 是结构化数据的一种形式,并不符合关系型数据库或其他数据表的形式关联起来的数据模型结构,但包含相关标记,用来分隔语义元素以及对记录和字段进行分层.因此,它也被称为自描述的结构.常见的半结构数据有HTML,XML和JSON等,实际上是以树或者图的结构来存储的. <person> <name>A</name> &l…

C#实现在注册表中保存信息 最近做的项目需要在注册表中记录一些用户设置,方便在程序下次启动时读取设置,应用上次用户保存的设置,挺简单的. 写出来,方便记忆,以后要用,可以直接改改就能用. 1 using System; 2 3 namespace Backend 4 { 5 public class RegistryStorage 6 { 7 public static PageVisibility OpenAfterStart() 8 { 9 Microsoft.Win32.RegistryK…

Clso See 测试中,最新的更新信息会显示在这里,欢迎您随时关注新版本动态. 您可以单击这里让程序打开本地帮助文件(新说明.txt) 等程序完成后,会制作专门的帮助页面. 因为采用了键盘Hook技术(源码 度娘百科),会有部分杀毒软件报告为病毒,点信任即可. 有任何疑问及建议请在下方留言. 下一版本发布进度:0.001%目前最新版本:1.9.5.24 (下载地址) 您的程序版本:网页端无法检测版本 来自拖延症末期患者的抱歉!(╥﹏╥)来一个不大不小的优化更新,添加一些小功能.至于加载RAR和…

0x00 前言 许多朋友在渗透测试中因为遇到WAF而束手无策,本人应邀,与godkiller一同写下此文,希望能够对许多朋友的问题有所帮助. 此系列一共分为五篇文章,分别如下: 一.架构层绕过WAF l CDN WAF绕过 l 白名单应用 二.匹配资源大小限制 l 服务器端配置(Data MAX Length) 三.协议未正确解析 l HTTP不同的请求方法污染 l GET与POST的区别 l 文件上传 l HTTP参数污染(HPP) 四.发现WAF缺陷过程 l 绕过某WAF上传 l 绕过某WA…

一.微信小程序 易出Bug的点: 小程序的分享转发功能 背景:小程序项目开发基本完毕也都已经测过几轮,功能上基本没有什么问题,但是上线后却被客户发现通过分享转发小程序给别人,别人无法正常打开的情况 原因: 基本功能已经经过完整的测试,但是却遗漏了这个转发功能的测试 小程序分享转发是常用功能,忽略了从用户角度的操作 与其他小程序对比,小程序的菜单中有些有转发功能有些没有 小程序的页面连续的上滑和下滑 背景:小程序在体验版上已经随开发进度测试完毕,但是在客户现场的正式版上却发现做连续上滑和下滑的操作…

certutil在渗透测测试中的使用技巧                                    0x01 前言 最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧.本文将结合自己的一些经验,介绍certutil在渗透测试中的应用,对cmd下downloader的实现方法作补充. 0x02 certutil简介 用于备份证书服务管理,支持xp-win10 更多操作说明见https://technet.microsoft.com/…

一说起软件测试,测试员想到肯定是去检查文件,功能,API,性能并确定软件是否安全,以及关于软件特定部分的其他事项.但是对于移动测试,测试员不得不基于用户移动使用模式考虑移动相关的功能. 本文是基于我的工作经验而写的.作为一名敏捷软件开发团队的软件质量保证经理,我一心投入iPhone,Android,WindowsPhone7的移动apps和移动webapps.在XING移动团队的日常工作以及与其他移动测试专家交流的过程中,我深刻了解了移动测试工作的困难.渐渐地,我明确了什么是帮助改进同事们和我的…

测试是一种思维,包括情感思维和智力思维,情感思维主要体现在一句俗语:思想决定行动上(要怀疑一切),智力思维主要体现在测试用例的设计上.具有了这样的思想,就会找出更多的bug.   一.输入框 1.字符型输入框: (1)字符型输入框:英文全角.英文半角.数字.空或者空格.特殊字符“~!@#￥%……&*?[]{}”特别要注意单引号和&符号.禁止直接输入特殊字符时,使用“粘贴.拷贝”功能尝试输入. (2)长度检查:最小长度.最大长度.最小长度-1.最大长度+1.输入超工字符比如把整个文章拷贝过去…

0x01 关于WMI WMI可以描述为一组管理Windows系统的方法和功能.我们可以把它当作API来与Windows系统进行相互交流.WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能.而且整个运行过程都在计算机内存中发生,不会留下任何痕迹.这一点是其它渗透测试工具所不能相比的. 0x02 WMI信息收集 1. 检索系统已安装的软件 wmic product list brief |more 2.  搜索系统运行服务 wmic service list b…

脚本运行的过程中,大量request抛error,但没有地方能够查看request是因为什么error的. 原因:Jmeter默认禁掉了运行过程中每个request的具体response信息收集,只保留了status.解决方法:修改jmeter.properties文件中Results file configuration.把所有和response相关False的项改为True.运行后将输出保存.jtl文件中.添加tree监听器,过滤只显示error request,可以查看到request和r…

现代生活中,我们很难不与excel表打交道,excel表有着易学易用的优点,只是当表中数据量很大,我们又需要从其他表册中复制粘贴一些数据(比如身份证号)的时候,我们会越来越倦怠,毕竟我们不是机器,没法长时间做某种重复性的枯燥操作.想象这样一个场景,我们有个几千行的表要填,需要根据姓名输入其对应的身份证号,但之前我们已经做过一个类似的表,同样的一些人的姓名跟身份证号是完整的,那么我们就需要通过一个个查找姓名,然后把身份证号码复制到我们当前要做的表里去. 当我日复一日重复着这些操作的时候,我都很想有…

Web安全测试中常见逻辑漏洞解析(实战篇) 简要: 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,导致用户A可以操作其他人的信息.​ 逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题.相比SQL注入.XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,…

最近又学到了很多新知识,感谢优锐课老师细致地讲解,这篇博客记录下自己所学所想. 想更多地了解Spring Boot项目中的功能测试吗?这篇文章带你了解有关在测试中使用Docker容器的更多信息. 本文重点介绍在Spring Boot应用程序的功能测试期间应用一些最佳实践.我们将演示一种高级方法,该方法如何在不设置登台环境的情况下将服务作为黑盒进行测试. 理论 让我们从定义功能测试的含义开始: 功能测试是在软件开发中使用的软件测试过程,其中对软件进行测试以确保其符合所有要求.功能测试是一种检查软件…

ASP.NET Core 5.0 中读取Request中Body信息 记录一下如何读取Request中Body信息 public class ValuesController : ControllerBase { [HttpPost] [Route("Data")] public async Task<string> RequestData() { string body; //获取body Request.EnableBuffering();//可以实现多次读取Body…

中化信息技术有限公司,简称"中化信息",是世界 500 强企业中国中化控股有限责任公司(简称"中国中化")的全资直属公司,依托于中国中化的信息化建设实践,建立起从咨询.设计到研发.交付及运维的服务价值链,形成涵盖生命科学.材料科学.基础化工.环境科学.轮胎橡胶.机械装备.城市运营.产业金融等行业业务应用及创新应用的 17 条产品线及解决方案,致力于通过发挥信息科技的驱动与赋能作用,助力中国中化成为世界一流的综合性化工企业. "线上中化"战略推进,…

     Web测试中,由于开发通常指注重完成H5页面的逻辑功能,对各种系统.浏览器等考虑不周,同时Android端各类机型碎片化,容易产生兼容性问题,这其中以分享类型为最. 本文简单分析总结一些测试中发现的问题. 首先考虑,对于H5页面,分为PC端和移动端,移动端又有iOS与Android.同时,Android又因为系统的碎片化,最易产生各种适配性问题. 兼容性需要考虑的主要有操作系统.机型以及不同浏览器,同时考虑到微信.微博.QQ都可以域内打开链接,这也是需要考虑的点. Android.iO…

汇总起来分为:    1.浏览器自身的一些操作,后退键,刷新键,样式兼容,多浏览器之间的一些操作 2.键盘快捷键的一些支持 3.所有前端校验,必须也在后端代码进行校验,验证后端是否校验可越过前端校验进行 4.模拟用户的操作,可能因为网络问题,多一些内容多次点击或手动中断后,系统如何表现 5.依赖三方的一些内容,如果在三方出现问题时,自身系统如何表现?-健壮性的考虑 6.并发性考虑,多中户同时对一个资源进行操作,是否会虚增资源内容 7.安全性考虑,参数输入js脚本,或者将内容进行编码后提交 8.某…