51CTO博客开发vagabond1的blogHolmos自动化测试论坛鸡蛋'S MEMORY小强软件测试博客安大叔测试技术联盟
配置HTTPS抓包方法【以Firefox为例】通常情况下burp默认只抓HTTP的包,HTTPS因为含有证书,因而无法正常抓取,抓HTTPS数据包就需要设置可信证书。官方配置方法:https://portswigger.net/burp/help/proxy_options_installingCAcert.html我的配置方法第一步、访问http://burp,下载burp的内置证书保存证书到本
Besttest安全测试公开课:由简单登录模块引发的安全危机,我自己写了个简单的登录模块来给大家演示下简单的web安全漏洞,风落独家为大家提供:
上次提到的是sql注入,算是较大的安全隐患,今天我们来介绍另外一种较为严重的安全隐患--XSS跨站脚本攻击。 首先咱们来说什么是跨站脚本攻击。它的英文叫“CrossSite Scripting”,通俗点说就是攻击者向
注入往往是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入,OS Shell,LDAP,Xpath,Hibernate等等,而其中SQL注入尤为常见。这种攻击所造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入,攻击者甚至能够获得更多的包括管理员的权限。
安全性测试都有什么?简单的就包括跳过权限验证啊,修改提交信息啊,复杂的呢,就有sql盲注、跨站点脚本等等。这些咱们暂时不一一细表,只说说我们为什么要进行安全性测试。、 其实网上关于安全性测试的资料并不是非常多,即使有人关注已只是很浅显的谈到部门安全性因素。当然,据我了解部分大公司都有自己的安全性测试团队,这部分工作并不由测试人员进
对每个系统/网络管理员来说,每天监测Linux系统性能是一项非常艰巨的任务。在IT业从事5年的Linux系统管理员后,我发现监控和保持系统正常运行真不是件容易的事,为此,我总结了8个非常实用的命令行工具给Linux/Unix系统管理员。这些命令支持所有的Linux系统,不仅可以用于监控系统,还可以发现导致性能问题的原因所在。下面提供的8个命令足够你选择其中一个用于你的场景中。 1
0×00 题外话 最近迷上了burp suite 这个安全工具,百度了关于这个工具的教程还卖900rmb。。。ohno。本来准备买滴,但是大牛太高傲了,所以没买了。所以就有了今天这个文章。感谢帮助我的几个朋友:Mickey、安天的Sunge。 0×01 介绍 安装要求: Java 的V1.5 + 安装( 推荐使用最新的JRE ), 可从这里免费 http://ja
cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post方式提交,get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式,get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。 相对po
(本文转自淘宝QA博客,原文地址:http://www.taobaotest.com/blogs/2175) 目前网上关于前端js测试框架jasmine功能介绍的文章少之又少,由于笔者最近接触js的测试,将选用jasmine作为测试框架,这里简单介绍一下jasmine在测试中的使用,后续还将对测试中遇到的问题和框架的使用经验进行分享。文章内容主
出错情况如下: 用VU Generator录制某网站某功能脚本后,在一开始回放脚本时,在Run-Time Viewer中总是看到网站刚开始加载首页就先弹出提示框“当前安全设置禁止运行该页中的ActiveX控件。因此,该页可能无法正常显示”,点击确定后页面才能正常下载,在日志中能看到运行到该处(弹出提示框),有Warning
最近在研究自动化测试框架,也和网上的很多朋友聊了很多各种自动化框架的实现,我对其总结归纳比较下。当然,一家之言,仅供参考: 1. 以QTP为核心的框架 QTP是大家最常用的测试工具。而现在很多公司用的自动化测试框架都是以此为核心的。我在触自动化测试之初最先上手的也是QTP。 以QTP为核心
我们暂且不去评析软件测试在当今it公司中的地位,只说大家对软件测试的认识。基于我短暂的经验,我总结出软件测试几个最常见的误区,供大家研究: 一大误区:测试简单,对技术要求不高 这是对测试最通常的评价,如果一个开发人员转做测试,那么别人通常认为,他是不是开发能力不够,或者是他是不是不愿意吃苦之类。我们先引用Google的 Patrick
初次读Paul M.Duvall的《持续集成软件质量改进和风险降低之道》(以下简称《持续集成》)是在大约一年前,刚涉足敏捷开发的时候。那时候对敏捷、对持续集成还是一知半解的状态--当然,现在也未必了了--通过对全文的阅读,也只是对敏捷开发有了大致的印象和了解,或者说,觉得敏捷和持续集成在国内是更合适的项目开发模式。通过这一年多的实践和逐步理解,再读此书,对C
测试是个非常特殊的职业,随着工作经历的增长,相信很多人都能体会到业务和经验积累的重要性,但是随之也会产生一个让人苦恼的问题,相信这问题也困扰过不少充满激情的测试工程师们:我们是要专注于技术还是业务呢?在内心恢复平静之后,有时候我觉得选择在很多情况下是一个很多余的事情,重要的不是选择,而是心境。 不妨看一下测试工作者zhen面临的或者可能面临的主要问题: 1)技术感不强
工作两年有余了,尽管中间做过开发,管过服务器,当过BA,不过大多数时间都在专业测试或者测试管理,接触了国内外大小项目七八个,当然,其中不乏并行。从普通人员到管理,对于自己的成长和职业发展,都还算是满意的。最近准备带团队进行自动化测试框架的开发,不乏在下一阶段努力之前,总结一下过去,比较一下国内外软件测试行业。 很多国内客户甚至项目经理都觉得
注:本文中的观点仅代表个人意见,如有不妥之处还请海涵。 上上篇博客说私有云和公有云的对比,谈到了一点私有云的安全问题,今天我们来详细说说私有云的安全。 公有云私有云的交锋焦点无疑指向了数据安全问题。HyperStratus咨询公司首席执行官伯纳德·戈尔登(Bernard Golden)撰文指出,一个接一个的调查表明,对于公有云计算,安全是潜
上篇博文我就说过了我是测试人员的,现在的工作也更多的与测试管理相关。很长时间以来,IT行业对测试都有一种误解。比如说测试很清闲,没有前途;或者说测试就是跟班的,连打杂的都算不上。且不忙着辩解,因为这些话正是我所在的一个测试群中"经验丰富"的测试人员说的。 恰好刚看到两篇博文,一篇叫"所谓经验,半数扯淡"
首先声明,我不是开发出身,和很多51cto上的朋友不同,但是作为测试的我一样关注各种技术,或许呢,还更敏锐些。对于测试和开发的比较呢,我们容后再议,先来谈谈最近很火的私有云。 偶然看了下国内某网站上一个“您是否看好私有云”的调查,有60%的投票者认为说不好,只有25的人认为其是“中国真正可落地的
本人新入驻51cto啊,望大家多多帮助!
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
