05 2020 档案
摘要:前言 如今很多中小型互联网公司对安全需求不高,安全资源贫乏,领导只重视业务忽略安全,在这种情况下可能安全人员很难立足,推动公司做好安全,从而进入了进退两难的窘境,目前从事国内某车联网公司,公司团队在300人左右,生产服务器数量在千余台级别,业务线冗长,以下给各位介绍一下个人的工作经验: 一、熟悉环境
阅读全文
摘要:孔浩老师 jUnit 视频教程 http://www.icoolxue.com/album/show/44 JUnit5 快速指南 https://www.cnblogs.com/jingmoxukong/ JUnit 5 新特性 https://www.ibm.com/developerworks
阅读全文
摘要:一、负责测试组的工作组织和管理 1.参加软件产品开发前的需求调研和分析; 2.根据需求,概要设计和开发计划编写项目总体测试计划,详细测试计划,测试大纲和测试文档结构表(测试计划 a.已上线产品维护以及需求变更 b.后期新项目的开发); 3.测试流程、测试工作规范、工作流程标准的制定(测试流程 a.
阅读全文
摘要:一、SDL简介 SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,起重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。自2004年起,SDL一直都是微软在全公司实施的强制性
阅读全文
摘要:在RSA大会中,“下一代应用及IT基础设施的安全管理模式”,被提升到了前所未有的高度,大会甚至专门为这个概念和方向设置议题和讨论会,一个新晋热词“DevSecOps”出现在大家的视野中。 什么是DevSecOps “DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,
阅读全文
摘要:安全测试方法论开放式Web 应用程序安全项目(Open Web Application Security Project,OWASP)通用缺陷列表(Common Weakness Enumeration,CWE)通用漏洞与披露(Common Vulnerabilities and Exposures
阅读全文
摘要:1 API 接口介绍 1.1 RPC(远程过程调用) 远程过程调用(英语:Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用
阅读全文
摘要:CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。 我们先来看看CSRF和XSS的工作原理,先让大家把这两个分开来。 XSS:攻击者
阅读全文
摘要:写在前面 在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Session,如何缓存认证和授权数据应对高并发
阅读全文
摘要:如何用allpairs工具自动生成正交实验法测试用例 https://www.satisfice.com/blog/archives/downloads/tools PICT工具一键生成正交试验用
阅读全文
摘要:电视剧《天道》改编于畅销小说《遥远的救世主》,由张前执导,王志文、左小青、曾红生及石爻领衔主演。 《天道》是一部中国电视剧史上难得一见的奇剧。毫不夸张的说,没点中国传统文化打底的老外是很难理解丁元英这个人的,尤其他那些奇特的思想。 丁元英未出场,就被评价为“可以是魔,是鬼,但绝对不是人”。有些夸大其
阅读全文
摘要:前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入
阅读全文
摘要:一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? 1. cookie安全策略 2. X-XSS-Protection设置 3. XSS防御HTML编码 4. XSS 防御HTML Attribute编码 5. XSS防御
阅读全文
摘要:http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍)http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道创宇研发技能表v3.0安全编程方面的不太清楚,问问安全编程的表哥们吧QAQ 综合学习平台:http:/
阅读全文
摘要:https://www.cnblogs.com/-chenxs/p/11739883.html 1 DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常
阅读全文
摘要:Junit5 系列索引junit5 入门系列教程-01-junit5 简单入门例子 junit5 入门系列教程-02-junit5 注解详解 junit5 入门系列教程-03-junit5 测试类和方法 {@Test、@RepeatedTest、@ParameterizedTest、@TestFac
阅读全文
摘要:JUnit 5 由三个不同的模块组成。第一个模块是 JUnit 平台,其主要作用是在 JVM 上启动测试框架。它定义了一个抽象的 TestEngine API 来定义运行在平台上的测试框架,同时还支持通过命令行、Gradle 和 Maven 来运行平台。第二个模块是 JUnit Jupiter,包含
阅读全文
摘要:本文将为大家介绍8款超好用的Java测试工具和框架。 Java入门 如果你才刚开始接触Java世界,那么要做的第一件事情是,安装JDK——Java Development Kit(Java开发工具包),它自带有Java Runtime Environment(JRE)和JVM(Java运行时环境)。
阅读全文
摘要:一、背景 最近写文章需要了解和对比一些函数的性能差异,因此在网上找到了一个简单易用的 Java 性能测试框架 junitperf。 官方介绍它的优势是: 可以和 Junit5 完美契合。 使用简单,便于项目开发过程中的测试实用。 提供拓展,用户可进行自定义开发。 二、范例 2.1 依赖 <!-- h
阅读全文
摘要:第 1 部分: JUnit 5 Jupiter API 第 2 部分: JUnit 5 Vintage 和 JUnit Jupiter 扩展模型 本教程介绍 JUnit 5。我们首先介绍如何在您的计算机上安装并设置 JUnit 5。我将简要介绍 JUnit 5 的架构和组件,然后展示如何使用 JUn
阅读全文
摘要:这几天做新课时,忽然发现Junit在Junit4这个版本上停留了十几年之后,原来已经出到5了(后知后觉),花了些时间研究了下,发现还真是不简单,我们一起来看看JUnit5上出现了哪些让人激动的新变化 1. 架构 不像之前的Junit版本所有的组件都包含在Junit这一个包中,新的Junit5准确的说
阅读全文
摘要:一直在关注 JUnit 5 的演进,自两年前首个 ALPHA 版后,经历了 6 的 Milestone, 3 个 RC 终于在 2017/09/10 正式发布了。其实还从未对其深究过,今天算是正式开始体验。 不像以往的版本,JUnit 5 现在是三个模块的合体 JUnit 5 = JUnit Pla
阅读全文
摘要:目录 JUnit5 快速指南 1. 安装 2. JUnit 注解 3. 编写单元测试 4. 引用和引申 JUnit5 快速指南 version: junit5 1. 安装 2. JUnit 注解 3. 编写单元测试 3.1. 基本的单元测试类和方法 3.2. 定制测试类和方法的显示名称 3.3. 断
阅读全文
摘要:推荐:避免被淘汰:这10项技能软件测试人员必须拿下 一、自动化测试落地状况 如果让两个相互不认识的、来自于不同公司的测试工程师自由讨论,我猜他俩寒暄的第一个问题会是:你们公司的自动化是怎么做的?如果你去问一个来自于大厂的质量部门的测试架构师:你家的测试平台有什么功能?你能听各种天花乱坠的功能、自动化
阅读全文
摘要:在 PHP 7.0 发布之初,就有不少 PHP 开发人员对其性能提升方面非常关注。在引入 OPcache 后,PHP的性能的确有了很大的提升,之后,很多开发人员都开始采用 OPcache 作为 PHP 应用的加速器。OPcache 带来良好性能的同时也带来了新的安全隐患,下面的内容是 GoSecur
阅读全文
摘要:单元测试是软件开发质量内建活动中必不可少的一环,但是在平常开发中往往因为项目周期紧,工作量大而被选择忽略,这样往往导致软件问题层出不穷。线上出现的不少问题其实在有单元测试的情况下就可以及时发现和处理,因此培养自己在日常开发中写单元测试的能力是很有必要的。无论是对自己的编码能力的提高,还是项目质量的提
阅读全文
摘要:ThoughtWorks资深软件质量咨询师 十余年的质量保障相关工作经历,积累了丰富的企业级应用和大型产品应用的测试和管理经验,尤其擅长敏捷开发过程中的质量分析和保障工作。个人公众号:BY林子。 第一期:敏捷测试的核心(4月8日) 什么是敏捷测试 敏捷测试的核心是什么 敏捷测试的流程是怎样的 质量内
阅读全文
摘要:爬取乌云的最后日期大概是16年2月,十个压缩包,图文并茂,唯一的缺点就是少个目录,于是写了个按照漏洞标题生成目录的脚本 import os f0= open('index.html', 'w') cnt=1 list=os.listdir('bugs'); for i in range(0,len(
阅读全文
摘要:https://martinfowler.com/testing/ https://martinfowler.com/articles/microservice-testing/ https://martinfowler.com/articles/practical-test-pyramid.htm
阅读全文
摘要:0X01 环境: kali 2019.4 64 bit 0X02 下载: 按 Ctrl+C 复制代码 按 Ctrl+C 复制代码 0X03 安装: 1 dpkg -i Nessus-8.8.0-debian6_amd64.deb 安装 2 service nessusd start 启动服务 3 浏
阅读全文
摘要:软件测试是软件工程中的一个重要部分,它贯穿于整个软件开发生命周期,是软件质量保证的关键手段。随着软件产业高速发展,从事软件测试的技术人员也愈来愈多。 软件测试工程师在工作环境、自身能力和价值创造等方面的提升,对企业软件开发组织和个人成长之路都有重要意义。在通往软件测试的成长之路上,涉及测试能力培养、
阅读全文
摘要:测试技术在新环境下产生一种奇妙的变革:出现了三种分支,可能有些人清楚,有些人糊涂,而另有些人投入,那就是根据业务驱动的测试执行,根据行业的通性的测试服务及他山之石可以攻玉的产品评测。 我们说明解释一下这三种的概念: 第一种场景其实是一个部门或者一个团队,在被划分到现有新创产品线后,投入的人力,团队整
阅读全文
摘要:今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用,很可能会给企业造成经济损失,带来负面声誉影响的同时,还可能被起诉遭到罚款等等,细思极恐。其中的一部分原因是企业本身安
阅读全文
摘要:此方法基于 deepin-wine 实现1、管理员权限打开 /usr/share/applications/2、新建文本文件 wine.desktop ,并输入以下内容: [Desktop Entry] Name=Deepin-wine Exec=deepin-wine %F Type=Applic
阅读全文
摘要:一个测试工程师走进一家酒吧,要了一杯啤酒; 一个测试工程师走进一家酒吧,要了一杯咖啡; 一个测试工程师走进一家酒吧,要了0.7杯啤酒; 一个测试工程师走进一家酒吧,要了-1杯啤酒; 一个测试工程师走进一家酒吧,要了232杯啤酒; 一个测试工程师走进一家酒吧,要了一杯洗脚水; 一个测试工程师走进一家酒
阅读全文
摘要:大体介绍 APP的键盘测试 抓包分析APP交互数据 业务功能测试 合规性测试 1、大纲 APP的键盘测试(可选) 抓包分析APP交互数据 业务功能测试(大体方向) 合规性测试(可变) 2、app的键盘测试( 可选) 其实这个很简单,可以做为可选项目,因为有些APP不重视这部分,或者不需要这部分。 但
阅读全文
摘要:基于 Android APP APK解包与逆向 安全测试流程 客户端程序安全、敏感信息安全 1. 大纲 APK 解包与逆向 客户端程序安全 敏感信息安全 部分测试会用到 jdk Eclipse+ADT+Android SDK 这开发平台弄会比较麻烦 可能会放到后面讲 如果你只是想快速测试某 APP
阅读全文
摘要:1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,de
阅读全文
摘要:利用CSV、yaml文件等进行数据文件驱动(基于Junit5 @CSVSource、@MethodSource等) Junit5官方说明地址:https://junit.org/junit5/docs/current/user-guide/#writing-tests-parameterized-t
阅读全文
摘要:大家好,我是小D,今天给大家分享一波免费的PPT下载网站,网上的PPT下载站很多,但是质量都参差不齐,并且很多都是收费的,所以贴心的小D为大家专门整理了一波,大家直接使用就可以啦。 OfficePlus 网址:http://www.officeplus.cn/Template/Home.shtml
阅读全文
摘要:https://www.pianshen.com/article/9860680518/ https://blog.csdn.net/qq_19383667/article/details/77879895 https://www.cnblogs.com/w-y-c-m/p/7359455.html
阅读全文
摘要:https://www.fujieace.com/metasploit/tutorials.html
阅读全文