韩凯-忠义孝信

摘要： 本地环境 JDK1.8 Burp Suite 1.7.26 Python2.7 64位安装包 sqlmap zip包 安装python及sqlmap python下载下来默认安装即可，配置系统环境变量 sqlmap下载下来解压并配置进系统环境变量 burpsuite集成sqlmapjar包下载 配置 阅读全文

摘要： 文件上传的攻击方式 一、JS检测绕过 1、使用浏览器插件，删除检测文件后缀的js代码，然后上传文件即可绕过 2、先把需要上传的文件后缀改成允许上传的格式，通过js校验，抓包把后缀名改为可执行文件的后缀上传实现绕过 二、文件后缀绕过 Apache的解析顺序是从右到左解析文件后缀的，如果最右侧的扩展名不 阅读全文

摘要： 以前安全测试最爱挖的就是任意用户密码重置，今天看了carry_your师傅在ichunqiu上的视频文字总结一下任意用户密码重置的10种姿势： 1，短信验证码可爆破； 视频案例中输入手机号码、图片验证码就可以获取短信验证码，并且新密码也是在一个页面中，但是输入短信验证码之后，后端有个请求会判断短信验 阅读全文

摘要： 在进行爬取网上东西的时候一般网站都做了UA的过滤，解决办法就是在代码中加入。 所以才有了本篇提取header头信息单独写成一个模块或者说是函数/类的想法，直接上示例 1、把UA头信息在浏览器中复制出来，并存在一个txt文档中，如下是我提取的示例： 2、编写python代码，如下是我编写的python 阅读全文

摘要： XSS攻击原理 反射型 发出请求时，xss代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，xss代码随响应内容一起传回浏览器，最后浏览器解析执行xss代码。这个过程像一次反射，故叫反射型xss。 存储型 存储型xss和反射型xss的差别仅在于，提交的代码会存储在服务器端（数据库，内存 阅读全文

摘要： 具体需求： 有一个登陆页面， 上面有2个textbox, 一个提交按钮。 请针对这个页面设计30个以上的测试用例。 此题的考察目的： 面试者是否熟悉各种测试方法，是否有丰富的Web测试经验， 是否了解Web开发，以及设计Test case的能力 这个题目还是相当有难度的。 功能测试(Function 阅读全文

摘要： 本地环境JDK1.8Burp Suite 1.7.26 Firefox 59.0.2 一、burp介绍请自行谷歌，这里不过多介绍 二、配置HTTPS抓包方法【以Firefox为例】通常情况下burp默认只抓HTTP的包，HTTPS因为含有证书，因而无法正常抓取，抓HTTPS数据包就需要设置可信证书。 阅读全文

摘要： 平时在查看日志的时候打开满屏的日志，看上去有点凌乱。于是写个Python脚本过滤出想要看的错误的日志。直接上脚本 脚本示例 以上的脚本只是剥离出错误的日志行，具体显示如下 阅读全文

摘要： 写在最前 平时在工作中尤其是在做压测的时候难免需要一些用户名和密码，写个简单的Python小脚本批量生成一些 代码示例 阅读全文

摘要： 网络搜集而来，留着备用，方便自己也方便他人。感谢总结的人！ 1.contexts contexts(self): Returns the contexts within the current session. 返回当前会话中的上下文，使用后可以识别H5页面的控件 :Usage: driver.co 阅读全文