- 博客(63)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 文件上传漏洞:我是如何绕过WAF实现getshell的
文件上传漏洞是Web安全中利用成功率最高的漏洞之一,攻击者通过上传恶意文件(如Webshell)获取服务器权限。本文系统讲解了漏洞成因、绕过技巧和实战利用方法,包括前端绕过、MIME类型绕过、扩展名绕过、00截断等手法,并介绍了配合文件包含漏洞的利用方式。文章还提供了标准getshell流程、Webshell工具示例以及防御建议,强调扩展名白名单校验是最佳防御方案。掌握这些技巧可帮助安全人员有效发现和利用文件上传漏洞。
2026-05-12 15:40:55
310
原创 SQL注入漏洞详解:从原理到绕过,看这一篇就够了
SQL注入漏洞是Web安全中最常见且危害极大的漏洞类型,本文系统讲解了其原理、分类、探测方法和防御方案。文章首先解释了SQL注入的成因——用户输入被直接拼接到SQL语句中执行,导致攻击者可以篡改SQL逻辑。接着详细分类介绍了不同类型的注入方式,包括按注入点位置、返回信息和数据类型分类。 在技术层面,文章提供了手动探测和自动化工具(如SQLMap)的使用方法,并针对MySQL、SQL Server和Oracle等主流数据库给出了具体的注入语法示例。特别值得注意的是高级绕过技巧部分,介绍了如何通过大小写混合、双
2026-05-12 15:38:52
303
原创 渗透测试之信息收集:这些技巧决定了渗透成败
渗透测试信息收集技巧摘要 信息收集质量决定渗透测试成败。本文系统梳理了渗透测试中的关键信息收集技巧: 资产发现:通过whois查询域名信息,判断CDN使用情况,重点探测子域名和旁站扩大攻击面。 端口探测:使用nmap扫描高危端口,重点关注21(FTP)、22(SSH)、445(SMB)、3306(MySQL)等常见漏洞端口。 Web指纹识别:利用whatweb等工具识别中间件和CMS版本,针对性查找已知漏洞。 敏感目录扫描:检查.git、/admin、/backup等敏感路径,发现源码泄露和管理后台。 社工
2026-05-12 15:33:01
359
原创 一次完整的渗透测试流程:从信息收集到权限维持
渗透测试流程概述 本文系统梳理了完整渗透测试的标准流程,从授权前提到最终报告撰写。主要内容包括: 信息收集阶段:详细介绍了资产发现、服务器信息探测、敏感目录扫描等技术手段 漏洞探测与利用:列举常见Web漏洞的快速检测方法,强调漏洞串联利用思路 权限提升与维持:提供Windows/Linux系统的提权方法,介绍常用代理工具 内网渗透:讲解如何突破网络边界进行横向移动 文章采用技术说明与实战案例结合的方式,既包含具体命令操作,又强调渗透测试的整体思维框架。适合Web安全初学者和渗透测试工程师参考学习,建立完整的
2026-05-12 15:30:07
310
原创 Web安全工程师进阶之路
> 专栏简介:从Web安全入门到内网渗透红队实战,系统化学习网络安全知识体系 > 适合人群:Web安全初学者、渗透测试工程师、安全运维人员 > 学习路径:Web漏洞 → 原理深度 → 内网渗透 → 红队攻防 → 工具精讲
2026-05-12 14:50:27
346
原创 Pytest进阶:12个企业级用法让你的测试效率提升10倍
Pytest企业级实战指南:12个高效测试技巧 本文总结了Pytest在企业级测试中的12个高级用法,帮助测试效率提升10倍以上: Fixture进阶:包括参数化Fixture、条件跳过和跨文件共享 数据驱动测试:参数化测试方法及组合测试场景 生命周期管理:通过Hooks实现测试前后处理 测试分类:使用标记(Mark)灵活组织测试用例 专业报告生成:支持HTML、Allure和JUnit等多种格式 并行执行:利用pytest-xdist加速测试运行 日志管理:精细化控制测试日志输出 这些技巧覆盖了Pytes
2026-05-09 17:21:08
170
原创 微信公众号文章下载器 STDT v3.0 —— 一键保存,多格式输出 测试论道 | 技术干货分享
这篇文章介绍了STDT v3.0公众号文章下载器的主要功能和特点。该工具支持Markdown/HTML/Word三种输出格式,并能将图片以base64格式内嵌,实现单文件自包含。核心功能包括多格式输出、图片处理、并发下载和GUI界面等。文章详细说明了三种输出格式的特点和使用场景,并提供了技术实现亮点、安装使用方法以及与同类工具的对比。特别推荐Markdown的引用式base64模式,既能保持正文干净又实现单文件自包含。该工具适合知识归档、离线阅读、二次编辑和批量归档等多种场景。
2026-05-07 13:33:37
339
原创 基于本地 Hermes 的个人知识库工具local-hermes-knowledge-base-需求文件
本文档描述了一个基于本地Hermes的个人知识库工具系统需求。该系统结合Hermes Agent和WebUI,提供智能化的知识管理功能,支持从文本、URL和文件等多种方式录入知识,并利用语义检索和AI问答实现高效的知识利用。核心需求包括:知识录入与管理、智能语义检索、AI问答交互、知识组织分类、本地化隐私保护、Hermes集成、数据导入导出、版本管理等功能。系统要求所有数据存储在本地,确保隐私安全,并支持从小规模到大规模知识库的平滑扩展,同时保证快速响应和稳定性能。
2026-05-07 09:39:58
218
原创 AI 驱动测试 2.0:当测试智能体成为你的“超级 QA“
传统测试是"手工扫描"+“直觉判断”;AI 测试智能体是"全链路感知"+“自动修复”。这不是升级,是范式迁移。2026 年的测试工程师,面临一个残酷的现实:一个功能从代码到上线,过去需要 3 天;现在借助 AI 工具,压缩到 4 小时。但大多数团队的测试方法论,依然停留在"手工点点点 + Postman 调接口"的阶段。——不是辅助工具,是能独立完成测试分析、执行、修复、验收的智能体集群。
2026-04-30 16:58:42
429
原创 Playwright Agent 来袭:AI 时代的财政软件自动化测试实战指南
Playwright Agent 引领财政软件测试新变革:通过三大AI Agent协同工作(规划、执行、验证),实现自然语言驱动的自动化测试。文章对比传统脚本与Agent模式差异,提供预算编制、资金拨付等财政核心场景的实战代码示例,展示如何用自然语言描述测试流程。针对财政系统特有的复杂表单、多级审批和数据准确性要求,给出具体解决方案,包括强化断言和数据一致性验证。最后分享提示词工程技巧,帮助测试人员高效利用Agent技术提升财政软件测试效率和质量。
2026-04-28 11:41:20
516
原创 2026年最强自动化测试环境搭建指南:Python 3.12 + Selenium 4.20 + Poetry
2026年自动化测试环境搭建指南:Python 3.12 + Selenium 4.20 + Poetry最佳实践 本文提供了一套完整的现代化测试环境搭建方案,重点解决传统pip安装方式导致的依赖冲突、环境混乱等问题。核心方案采用Poetry进行项目管理,具备以下优势: 精确锁定依赖版本,避免冲突 虚拟环境隔离,项目独立 一键复现环境(10分钟完成) 关键步骤: 使用Poetry初始化项目 配置pyproject.toml管理依赖 集成WebDriver Manager自动匹配浏览器驱动 提供标准化目录结构
2026-04-27 14:12:55
237
原创 PageObject模式实战案例
PageObject模式是解决自动化测试维护难题的有效方案。该模式通过将页面封装为对象,分离元素定位与业务逻辑,实现三层架构:页面对象层封装元素和方法,业务逻辑层组合操作步骤,测试用例层专注于验证逻辑。实践表明,采用PageObject后,代码重复率从60%降至10%以下,元素变更影响范围从200+用例缩小到1个文件,维护时间从每周8小时减少到2小时,新人上手时间从3天缩短至1天。这种架构显著提升了测试脚本的可维护性和稳定性,是自动化测试可持续发展的关键实践。
2026-04-27 10:37:13
245
原创 从零搭建AI测试团队ClawSwarm + OpenClaw 完全实战指南
AI测试团队:7×24小时高效测试解决方案 传统手工测试效率低、耗时长,而AI测试团队可以全天候工作,大幅提升测试效率。通过OpenClaw(AI大脑)和ClawSwarm(多智能体协同系统),可快速部署自动化测试团队,包括测试指挥官、接口测试专家、UI自动化工程师等角色,实现并行任务执行、智能调度和报告生成。 核心优势: 永不疲倦:7×24小时运行,支持大规模回归测试 高效执行:并行处理测试用例,速度远超人工 成本优化:一次部署,长期复用,降低人力依赖 部署流程: 安装OpenClaw(支持Docker一
2026-04-14 20:39:36
663
原创 Docker 部署 3 节点 Consul 集群
本文介绍了两种使用Docker部署3节点Consul集群的方案。第一种是Docker Compose方案,适合单机模拟集群,通过自定义网络和固定IP实现节点间通信,并配置数据持久化。第二种是Docker CLI方案,适合多机部署,使用host网络模式直接绑定宿主机IP。文章详细说明了两种方案的配置步骤、关键参数解释,以及验证集群状态的方法,并强调了生产环境中数据持久化和安全配置的重要性。
2026-03-27 10:37:43
415
原创 技能、智能体、协议与氛围:AI 驱动的软件开发新范式
AI驱动软件开发新范式 本文探讨了AI驱动的软件开发四大核心概念:Skills(技能)是结构化的任务说明书,指导AI完成特定操作;Agent(智能体)具备自主决策能力,能规划并执行复杂任务;MCP(模型上下文协议)作为标准化接口,让AI无缝连接外部系统;Vibe Coding(氛围编程)则强调人机协作的交互体验。这些概念共同构成了AI原生开发的新范式,使编程从单向编写转变为与AI的智能协作,大幅提升开发效率和质量。
2026-03-24 15:08:20
390
原创 开发利器 openCode + Oh My OpenCode
作为 OpenCode 的专用编排层,它不仅提供了开箱即用的开发体验,更通过一系列高度专业化的智能体(Agents)为开发者赋能。oh-my-opencode 是基于openCode 的的一个多智能体协作插件,现在已经更新到3.2.1了,本次大版本 3.2.0 新增了 Hephaestus(赫菲斯托斯) 智能体。Oh My OpenCode 的四大智能体,不仅是技术实现,更是一种。专业的事情交给专业的人,提升专业和准确度,提升工程的整体稳定性。而这一切的核心驱动力,正是其背后的四大智能体系统。
2026-02-11 12:22:17
648
原创 什么是 Skills
skills(技能)是指个体或系统执行特定任务所需的方法、经验与工具的集合。Skills 本质上就是教 AI 按固定流程做事的操作说明书,一旦写好,就能像函数一样反复调用。我们可以把 Skills 看成把"某类事情应该怎么专业做"这件事,封装成一个可复用、可自动触发的能力模块。Skills 和传统 Prompt 最大的区别是:按需加载 + 渐进式披露(只在需要时才把厚厚的 SOP 塞进上下文,极大节省 token)。一、skills的核心概念二、如何学习skills1. 基础技能学习(人类视角)
2026-02-05 11:22:28
2701
原创 OpenCode基础教程(食用指南【二】)
两种内置 Agent 模式:工具集:bash 执行、文件读写、grep 搜索、LSP 诊断等。上下文感知:自动分析项目结构,生成 AGENTS.md 指南。分享与协作:一键生成会话分享链接。启动成功后进入 TUI 界面,即可开始使用核心功能。我们可以在终端输入 /models 查看可用的免费模型:进入你想处理的项目目录:cd /path/to/your/projectopencode在 OpenCode 界面中,运行:/init这会生成一个 .opencode/ 文件夹,用于存储项目的向量
2026-02-05 11:03:33
1122
原创 OpenCode基础教程(食用指南【一】)
Build,默认 Agent,阅读编辑处理文件时使用Plan,计划 Agent,帮你规划复杂任务General,通过 @general 调用,帮你研究复杂问题,执行多步骤任务。opencode 内置了60多个大模型提供商,点击“查看全部供应商”,能看到国内的供应商,除了刚刚提及的 GLM 和 MiniMax,还包括 阿里巴巴、Deepseek、Z.AI 、月之暗面等等。可以从最便宜的套餐开始,需要再升级。OpenCode 也会基于你系统的语言,展示界面,如果没有出现中文,可以在设置中进行修改。
2026-02-05 10:38:25
688
原创 Grafana + OracleDB Exporter深度监控大屏(docker-compose版)
注意:`static_configs.targets` 中使用 `docker-compose` 服务名 `oracledb-exporter:9161`。- `DATA_SOURCE_NAME` 格式与官方相同,`user/password@(DESCRIPTION=...)`浏览器访问 `http://<服务器IP>:9090/targets`,确保 `oracledb` job 显示 UP。- oracledb_exporter `/metrics` 验证。
2026-01-23 11:56:48
743
原创 SkyWalking10.3.0-性能监控管理工具部署教程-Docker模式(二)-保姆级教程
的重要性。当你想知道“接口为什么变慢了?”、“哪个数据库查询是性能瓶颈?”时,一个强大的APM(应用性能监控)工具就成了刚需。的全过程。我们的目标:SkyWalking 是什么?简单来说,SkyWalking 就像是你应用的“随身医生”和“GPS导航”。它能帮你:(1).看清服务链路:一个前端请求过来,经过了哪些后端服务,调用了哪些数据库、Redis、MQ,一目了然,形成一张拓扑图。(2).定位性能瓶颈:告诉你每个环节花了多长时间,哪个接口慢,哪条SQL查询是罪魁祸首。
2026-01-21 17:53:34
884
原创 oracle19c数据库-linux安装脚本(全网首发)
全网首发:linux下安装oracle19c数据库centos7 RockyLinux 9.x一键安装
2025-12-01 15:20:20
1483
原创 Windows和 macOS 上安装 `nvm` 和 Node.js 16.16.0 的详细教程。
安装路径:默认即可(例如 `C:\Users\<你的用户名>\AppData\Roaming\nvm`)。- Node.js 安装路径:默认即可(例如 `C:\Program Files\nodejs`)。- 如果使用 `bash`,将 `~/.zshrc` 替换为 `~/.bash_profile`。`nvm` 是一个 Node.js 版本管理工具,可以轻松安装和切换不同版本的 Node.js。- 如果使用 `zsh` 作为默认 Shell,确保配置文件是 `~/.zshrc`。
2025-04-30 16:51:54
1912
原创 DeepSeek实现Web自动化测试(一)
Browser-use 是一个开源的网页自动化库,其核心目标是通过标准化接口让LLMs(如GPT-4、Claude、DeepSeek等)与网页交互,从而执行复杂的浏览器任务。它结合了浏览器自动化工具(如Playwright)和LLMs的推理能力,允许用户通过自然语言描述的指令实现对浏览器的自动化操作。 Browser-use 的典型应用场景包括数据采集、自动化测试、在线订票、企业信息检索等,尤其适合需要高频操作网页的任务。
2025-03-29 15:41:53
2039
原创 python工具-pipreqs 自动化生成requirements.txt文件
它会分析项目中所有 Python 文件(包括 *.py 和 Jupyter Notebook *.ipynb 文件),识别所有导入的库,并将其添加到 requirements.txt 文件中。• pip freeze 会包含所有已安装的库,即使它们并非项目所需,而 pipreqs 只记录项目中实际使用的库。pip freeze 只记录库的精确版本,无法根据项目需求灵活设定版本范围。• pip freeze 只记录已安装的库,而 pipreqs 会识别项目中实际使用的所有库,即使它们尚未安装。
2025-03-19 15:53:22
1092
原创 Java版本切换~Linux
来自: Ultra~你过来啊浅木先生2025年03月13日 12:46环境情况: centos7 服务器, 已经使用 yum 方式安装过 java1.8 与 java11安装方式可参照: https://wx.zsxq.com/columns/15552425251112?column_id=8412242122 --java1.8https://articles.zsxq.com/id_9jcmjwpsxiia.html -- java11首先找到 JDK 的安装路径,通常它们位于 /usr/lib/jv
2025-03-13 12:47:21
1356
原创 通过 **DeepSeek** 辅助生成接口测试用例
assert actual_response.get(key) == value, f"响应字段 {key} 校验失败,期望: {value},实际: {actual_response.get(key)}""prompt": f"根据以下接口文档生成接口测试用例(包含正常场景、异常场景和边界值):\n\n{api_doc}"- **语义理解**:自动提取接口文档中的参数、方法、请求示例和响应示例。- **用例生成**:生成包括正常、异常、边界值等场景的接口测试用例。
2025-03-12 14:50:10
1079
原创 高效测试用例设计原则与DeepSeek工具应用指南
复用价值 | 可组合成不同测试场景的"乐高积木" |create_case -n "Payment_Test" -d "支付流程验证" \。- 原子式方案:Test_A1 + Test_A2 + Test_A3(三独立用例)- 聚合式方案:Test_A1_A2_A3(单用例覆盖三功能)B --> F[特点:初期成本低,维护成本高]C --> G[特点:初期成本高,维护成本低]
2025-03-11 20:11:48
422
原创 如何利用Cherry-Studio部署在线硅基流动的DeepSeek满血版API
第一步点击“设置”图标(齿轮形状)--->选择“硅基流动”--->粘贴 “API秘钥”--->点击“”“检查”按钮。第二步:选择合适的模型,知识库需要选择 “BAAI/bge-m3”这个模型。2、下载 Cherry-Studio 并安装。1、注册SILICONFLOW并获取API。
2025-03-04 09:58:09
742
原创 智能时代:WPS在线/本地接入Deepseek大模型
-电脑配置是否够强?打开 WPS--->左上角文件--->选项--->信任中心--->勾选最下方启用所有第三方 COM。--数据安全性有一定保障!| **数据隐私** | 数据本地处理,安全性高 | 数据需上传到云端,可能有隐私风险 |登录后的 office AI 后,点击>设置--->大模型设置--->本地。| **特性** | **本地部署** | **在线AI模型** |点击 Office Ai 选项卡--->设置--->大模型设置。--->开启本地部署--->选择 APIKEY--->
2025-02-19 10:28:13
2655
原创 如何利用AnythingLLM部署在线硅基流动的DeepSeek满血版API
是一款开源的全栈应用程序,旨在帮助用户构建基于检索增强生成(RAG)技术的私有知识库。通过将本地的 PDF、Word 文档、文本文件等嵌入到本地向量库,并连接大型语言模型(LLM),用户可以通过对话或搜索的方式获取答案、见解,甚至生成摘要。通过AnythingLLM,可以方便的构建自己的知识库,不用再手动上传文档到模型中了。2025年02月14日 09:27。
2025-02-14 09:32:19
3534
3
原创 内网穿透工具Cpolar 食用指南
运行此命令会将您帐户的authtoken添加到您的cpolar.yml文件中。这将为您提供更多功能,所有打开的隧道将在此处的仪表板中列出。./cpolar http 80 >nohup.out 2>&1 & #后台启动。缺点:免费有限 重启后会随机重新分配域名,收费版本可以选择域名。然后回到网页,查看自映射后的外网地址。我们首先访问cpolar官网。我们首先访问cpolar官网。其他的功能自行研究吧!
2024-08-15 16:42:44
3647
原创 Grafana+Prometheus构建强大的监控系统-保姆级教程[监控linux、oracle]
本次教程会配置监控oracle数据库, 需要用到oracle19c数据库,若没有数据库,需要提前安装oracle数据库,安装教程可参照:https://articles.zsxq.com/id_9c3brwrf98k3.html。链接:https://pan.baidu.com/s/1TCvCfiVZzw--nE9f7-YQzw?3.3.1、创建数据库监控,使用prom/mysqld-exporter镜像创建数据采集容器。官网地址:https://prometheus.io/
2024-06-27 15:41:03
1966
原创 Redis--注册中心集群 Cluster 集群-单服务器
创建 Redis Cluster 集群 随便进入一个容器并为6台机器构建集群关系。与“多服务器集群”一致需要创建redis配置模板 参照以下链接。node03服务器上创建容器。node01服务器上创建容器。node02服务器上创建容器。
2024-06-24 16:46:38
374
原创 Redis--注册中心集群 Cluster 集群
node01服务器上面的redis-cluster.tmpl。node02服务器上面的redis-cluster.tmpl。node03服务器上面的redis-cluster.tmpl。随便进入一个容器并为6台机器构建集群关系。创建 Redis Cluster 集群。node01服务器上创建容器。node02服务器上创建容器。node03服务器上创建容器。
2024-06-24 16:38:05
423
msfconsole讲解.pptx
2019-09-27
orai18n.jar
2020-12-04
Centos_repo.zip
2019-12-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人