Xiaokeo的博客

原创 软件测试流程图

测试需求：了解需求，需要原型图、需求文档、设计图； 测试准备: 梳理功能点，编写测试用例； 提测邮件：内容需要包含系统版本号，测试模块，各模块及前后的和算法对应开发人员； 冒烟测试：以最快的速度跑完系统整体流程，主要检查系统主流程是否受阻，重要功能是否完整； 测试驳回：主流程不通，功能模块不完整； 执行测认：根据测试用例按照不同场景进行软件测试； 提交bug: 对发现的Bug通过文字描述或录屏的方式提交至管理工具并指定相应解决人； 解决bug：开发经过复现确定为bug时：更改状态为待处理；

原创 windows和linux系统常用管道符整理

Windows系列支持的管道符如下所示：“|” : 直接执行后面的语句。例如：ping 127.0.0.1| whoami“||” : 如果前面执行的语句执行出错，则执行后面的语句，前面的语句只能为假。例如： ping 1234.1 || whoami“&” : 如果前面的语句为假则直接执行后面的语句，前面的语句可真可假 。例如： ping 127.0.0.1 & whoami“&&” : 如果前面的语句为假则直接出错，也不执行后面的语句，前面的语句只能为真。例如：

原创 python中快速输出所有大小写和数字的方法

一.使用chr转换ASCII码1.输出所有的大写字母upper = [chr(i) for i in range(65,91)]print(upper)#结果为：['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z']#也可以使用字典方式upper={chr(i) for i in range

原创 MYSQL数据库的权限

MySQL数据库的权限集合Select_priv：确定用户是否可以通过SELECT命令选择数据Insert_priv：确定用户是否可以通过INSERT命令插入数据Update_priv：确定用户是否可以通过UPDATE命令修改现有数据Delete_priv：确定用户是否可以通过DELETE命令删除现有数据Create_priv：确定用户是否可以创建新的数据库和表Drop_priv：确定用户是否可以删除现有数据库和表Reload_priv：确定用户是否可以执行刷新和重新加载MySQL所用各种内部

原创 最简单的MYSQL注入步骤和语句

最简单的MYsql注入步骤分为：爆哭、爆表、爆字段、爆值。这六个步骤首先是爆库：union select 1,2,3,database();# // 这里得看看有多少字段爆表：2. union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database();# // 这里得database() 指的是爆库中所爆破出来得数据库名，等于后面要加双引号。

原创 常见的敏感信息路劲

Windows系统c:\boot.ini // 查看系统版本c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件c:\windows\repair\sam // 存储Windows系统初次安装的密码c:\ProgramFiles\mysql\my.ini // MySQL配置c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码c:\windows\php.ini // php 配置信息

原创 安全建设标准

原创 安全风险处理方案

安全风险处理方案第一条 公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的安全预防与安全测试。 第二条 系统安全测试及报告公司应周期性利用渗透技术或漏洞扫描工具对各系统进行安全性测试。 应加强网络与信息安全检测、分析和预警工作。公司应每天定时利用自身检测技术平台实时检测和汇总重要系统运行状态相关信息，如：路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及流量等日志信息，分析系统安全状况，及时获得相关信息。 建立网络与信息安全事件...

原创 最新最全的burp suite工具的使用方法和操作介绍

安全工具的介绍 1 Burp Suite1.1 工具的简介： Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。 所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。 Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite将使得

原创 如何使用谷歌浏览器修改cookie的值（黑客成长之路）

成长笔记 今天晚上在练习靶机（黑客丛林之旅：http://www.fj543.com/），在第三关时，由于之前都在burp suite修改cookie或者login的值，晚上用的是自己的电脑，没有burp suite软件，下载又特别慢，因此想用别的方法实现，在不断的百度之下，终于得知可以在开发者工具中的控制台中可以修改cookie的值，因此不断的尝试，不断的百度，得知使用document.cookie="...."可以修改，但是题目是修改login的值，绞尽脑汁终于想到login也是在coolie之中，

原创 URL详解和渗透之SQL注入

渗透之SQL注入等相关知识整理         WEB注入，就是在网页中寻找相应得注点，如在页头、logo、栏目页、超链接等。当找到相应的注点，接下来就是进入数据库判断登录密码等获取对应的权限，想要完场这些，首先要弄懂的是URL链接语法，下面就是HTTP网页的URL的详细介绍：1. HTTP网页URL链接语法介绍HTTP简介:       &

原创 linux最最常用操作

linux常用操作指南一、文件处理命令cd /home 进入 ‘/ home’ 目录’cd … 返回上一级目录cd …/… 返回上两级目录cd 进入个人的主目录cd ~user1 进入个人的主目录cd - 返回上次所在的目录pwd 显示工作路径ls 查看目录中的文件ls -F 查看目录中的文件ls -l 显示文件和目录的详细资料ls -a 显示隐藏文件ls [0-9] 显示包含数字的文件名和目录名tree 显示文件和目录由根目录开始的树形结构(1)lstree 显示文件和目录由

原创 等保测评所需postgresql数据库命令以及内容解析

等保测评所需postgresql数据库命令以及内容解析1、安装postgresql。以centos7为例：（1）先查看自己的centos7里面是否存在postgresql的包，是否已经安装。rpm -qa | grep postgres //检查是否安装了postgresql数据库安装包（2）rpm -qal | grep postgres //检查postgresql数据库所安装的位置（3）如果没有安装过postgresql，则通过yum源进行安装。a)yum install postgr

原创 等保测评oracle数据库所需的命令以及内容解析

oracle数据库等保测评所需包括内容解析命令oracle登录身份有三种：normal普通身份、sysdba系统管理员身份、sysoper系统操作员。sysdba权限：（1）启动和关闭操作（2）更改数据库状态为打开/装载/备份，更改字符集（3）创建数据库（4）创建服务器参数文件spfile（5）日志归档和恢复（6）包括“会话权限”权限sysoper权限：（1）启动和关闭操作（2）更改数据库状态为打开/装载/备份（3）创建服务器参数文件spfile（4）日志归档和恢复（5）包含“会

原创 MYSQL数据库测评命令

MYSQL数据库测评命令：MYSQLMySQL测评控制点包括：身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复。 身份鉴别：首先看登录用户是否是空口令，用户是否是唯一的，是否存在多余不用的用户，以及密码的复杂度要求。select * from mysql.user;Select * from mysql.user where length(password) = 0 or password is null;查看是否有空口令用户。 用户口令复杂度设置：show VARIABLES li

原创 windows服务器测评命令

windows服务器测评命令1、rundll32.exe shell32,Control_RunDLL desk.cpl,0设置桌面图标rundll32 netplwiz.dll,UsersRunDll / control userpasswords2用于查看用户账户权限。2、gpedit.msc是本地组策略编辑器，windows server2012操作：查看计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全，用于查看是否配置远程登录。Windo

原创 等保测评Linux操作命令

等保测评Linux操作命令（含解释）1、cat /etc/passwd     root❌0:0:root:/root:/bin/bash       1）x：表示密码，但这里不显示，已经放到shadow       2） 0：表示用户的id既UID（用户的ID、User ID），后面一个0：表示

原创 等保测评所需Linux操作命令

等保测评所需Linux操作命令主要测评命令：1.more /etc/passwd 文件中记录用户的属性信息，包括用户命、密码、用户标识、组标识等信息。2.more /etc/shadow 口令文件，用于保存包括个人口令在内的数据，不能被普通用户读取，只能是超级用户有权读取。3.more /etc/login.defs是登录程序的配置文件，在这里可以配置密码的最大天数，密码的最大长度约束等内容。4.more /etc/pam.d/system-auth 也是登录程序的配置文件，登录服务、屏保等功