分享日常学习生活

原创 pytest 框架中 Allure 装饰器的常用功能

基础分类用于组织用例结构，让报告层级清晰，title支持参数化自定义用例名称。优先级/标签用于标记用例重要程度和分类，支持按条件筛选执行。测试步骤或上下文管理器拆解用例流程，便于定位失败环节。附件/链接可添加响应数据、截图等附件，关联需求/缺陷链接，辅助问题排查。

原创 PyCharm项目环境关联问题解决方案

核心根因：PyCharm的项目解释器和安装包的虚拟环境不匹配，或导入语句错误；优先操作：检查配置→确保导入语句是→清除PyCharm缓存；极端情况：重建虚拟环境，重新安装PyYAML后关联解释器。

原创 基于requirements.txt批量离线安装Python库

批量离线安装核心是「清单 → 有网下载所有包 → 离线本地安装」，是关键参数；优先用下载（简单），特殊环境用pip wheel打包（兼容性更好）；务必保证有网/离线机器的Python版本、系统位数一致，避免包不兼容。

原创 SIEM总结

SIEM 就是一个基于各类日志，提供安全运营和管理能力的统一平台。首先是收集日志。对 SIEM 来说，需要收集的日志来源于操作系统、路由器、数据库等业务设备，防火墙、WAF、IDS 等安全产品，以及业务前后端本身。在收集到大量的日志之后，SIEM 会对数据进行分析统计，将海量的日志进行筛选和总结，给予安全运营人员最精简的结果，提高分析效率。经过数据分析之后，安全运营人员就能够快速发现并处理各类安全事件了。最后，SIEM 还需要提供完整的运营流程。

原创 RASP总结

目录一、RASP原理二、RASP的优势三、总结设计思路：通过监控应用的底层，来从根本上发现攻击行为的产生。1.不会产生误报或者漏报；2.能够防范未知的攻击；3.基本不用维护规则；

原创 什么是蜜罐？

所谓“蜜罐”，就是一台部署在内网的服务器。这个服务器没有任何保护措施，并且提供带有漏洞的服务，就是为了吸引黑客来攻击它。蜜罐由安全人员部署在网络的各个节点中，理论上，其他开发人员都不会知道蜜罐的存在，也就不会向蜜罐发起任何请求。而黑客入侵内网后，需要对内网进行探测，如果发现蜜罐中的服务有漏洞，自然就会针对蜜罐发起攻击。因此，蜜罐内的一切行为，都是黑客产生的。基于蜜罐的报警和日志，我们就能够及时发现黑客的存在，并且还原出黑客的攻击行为。

原创 IDS总结

IDS：入侵检测系统，最终目的是检测黑客的攻击行为。首先是在网络流量中：黑客在控制了一台服务器之后，需要进行权限提升，而权限提升需要黑客在内网中挖掘各个服务器存在的漏洞。因此，黑客会发起很多探测和攻击的网络请求。其次就是在服务器系统中，黑客也可以利用服务器系统或应用本身的漏洞进行权限提升，同时，黑客也会尝试在系统中留下后门，这些行为都是通过系统操作来完成的。

原创 WAF总结

WAF 就是专注于 Web 安全的防火墙，它能够以透明代理、反向代理和插件的模式，运行在网络和系统的各个环节中。从功能上来说，WAF 能够解决绝大部分的 Web 安全问题，对于黑客针对 Web 的攻击进行分析和拦截，同时提供额外的审计告警、数据保护等能力。同样地，在选取 WAF 的时候，我们首先需要考虑功能的完整性和易用性。公司能够以较低的成本部署 WAF，并解决大部分的 Web 安全问题，这是 WAF 最关键的效果。

原创 防火墙总结

目录一、防火墙分类二、防火墙的作用三、总结1.包过滤防火墙；；2.应用网关防火墙；3.状态检测防火墙；1.保护操作系统的漏洞；2.阻止非法的信息流动；3.限制可访问的服务和审计；

原创 安全标准和框架

目录一、等级保护制度二、ISO27001三、NIST四、总结等级保护制度简称等保，根据公司的安全性高低，划分了由一到五这五个等级。每个等级都有需要满足和达标的安全要求。等级越高说明公司的安全水平越高，越被政府认可。等保对公司的安全要求划分为了十类，分别是：技术要求：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理要求：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。ISO27001 是国内比较流行的安全评估认证之一。它提出了 14 个不同的安全方向，分别是：安

原创 分布式安全

目录一、分布式框架二、安全框架1.Apache Knox2.Apache Sentry3.Apache Ranger三、总结Hadoop：Hadoop 是一个由 Apache 基金会开发的分布式系统基础架构，主要用于处理海量数据的存储和分析。Hadoop 的核心组件包括 HDFS（Hadoop Distributed File System）和 MapReduce。HDFS 提供了高容错性和高吞吐量的数据存储，而 MapReduce 则用于并行处理大规模数据。Apache Knox 是一个针对 Hadoop

原创 数据库安全

在数据库本身的安全防护上，我们可以通过对“黄金法则”的运用，在认证、授权、审计和加密方面，为其设置一定的保护能力。同时，为了避免数据库对服务器的衍生影响，我们也应该落实“最小权限原则”， 避免以 ROOT 权限去启动数据库服务。

原创 人工智能、机器学习和深度学习之间的关系和区别

AI：想让机器变聪明的大目标ML：实现 AI 的主流手段DL：ML 里最强、最火的一派人工智能 >机器学习> 深度学习，是包含关系。人工智能是最大范畴，机器学习是实现人工智能的核心方法，深度学习是机器学习的一个子集，依靠深度神经网络实现。

原创 Docker安全总结

在 Docker 服务中，主要是利用 Namespace、Capabilities 和 CGroups 机制，来对 Docker 容器进行各种隔离和限制；在 Docker 守护进程中，我们通过给远程 API 加上认证功能来保证安全性；在 Docker 镜像中，我们主要是通过最小镜像和最小权限的原则，去提升镜像本身的安全性。在实际对 Docker 进行安全防护的过程中，我们也可以采取各类针对 Docker 的扫描工具，来发现问题。

原创 网络安全总结

目录一、内网中的“最小权限原则”二、有线和无线网络安全三、总结1.对内网进行水平划分；2.对内网进行垂直划分；1.无线网络防护：使用安全协议、认证技术和对未知网络扫描；2.有线网络防护：对网络进行合理地划分，对网络进行定期检测；

原创 Linux安全总结

目录一、Linux安全模型二、Linux黄金法则应用三、总结1.内核层防护：确保使用官方的镜像并保持更新。2.用户层防护：确保正确配置权限。1.Linux认证机制：制定适当的密码策略，检测Linux中的弱密码；2.Linux授权机制：通过最小权限原则提升Linux授权的安全性；3.Linux审计机制：使用工具来监控Linux日志；

原创 权限提升和持久化

目录一、权限提升二、权限持久化三、防护四、总结权限提升就是利用各种漏洞进行水平或者垂直的扩展，去获得新的身份和权限。权限持久化则是留下“后门”，并保持“后门”的长期有效性。为了阻止黑客的进一步攻击行动，我们需要对应用和系统进行相应的防御和检测。最基本的就是强化最小权限原则，限制黑客权限提升的收益。其次就是对一些异常的入侵行为进行检测，通过分析在网络层或者主机层中，正常用户和黑客的行为异同，从而及时发现黑客的行为。

原创 插件漏洞总结

目录一、危害二、防护三、总结插件漏洞既能够破坏插件本身的功能，也能让黑客以插件为跳板，实现控制应用甚至是服务器。提高版本更新的效率、避免插件漏洞，主要可以分三个步骤：1.首先我们可以使用插件分析工具，来了解应用中包括了哪些插件，删除无用插件；2.可以通过补丁管理制度和虚拟补丁，来推进对插件漏洞的管理和修复工作；3.我们可以对比公开漏洞库（比如 CVE 等）中的最新漏洞，及时修复漏洞，降低被黑客攻击的可能。

原创 信息泄漏总结

目录一、直接泄漏二、间接泄漏三、防护措施四、总结1.版本管理工具中隐藏文件；2.私自上传代码到GitHub；1.原理：通过拼凑各种零散的信息，还原出代码整体的面貌，然后针对性地进行攻击。2.分类：注释消息、错误信息和返回信息。1.屏蔽信息：通过技术手段，将不该被访问的资源进行屏蔽，从而避免信息泄露的产生；2.代码检测：从“白盒”和“黑盒”两个方向，对代码、应用等进行检测，对可能的泄露进行预警；3.人工审计：对于非技术原因造成的泄露，加强人工审计的工作。同时从公司制度上，去提高员工的安全意识。

原创 反序列化漏洞

目录一、原理二、攻击思路三、反序列化漏洞的危害四、总结当应用程序对反序列化数据进行处理时，它会根据序列化数据中的类名来加载相应的类，并调用其构造函数和方法。攻击者可以通过构造恶意的序列化数据，使应用程序加载并执行恶意代码。黑客构造一个恶意的调用链（专业术语为 POP，Property Oriented Programming），并将其序列化成数据，然后发送给应用；应用接收数据。大部分应用都有接收外部输入的地方，比如各种 HTTP 接口。而这个输入的数据就有可能是序列化数据；应用进行反序列操作。收到数据后，应

原创 CSRF和SSRF

目录一、CSRF原理二、CSRF危害三、SSRF原理四、SSRF危害五、总结黑客通过诱导用户访问某个网站，让用户的浏览器发起一个伪造的请求，执行黑客定义的操作。绕过身份认证，进行未授权的操作。黑客输入一个内网URL，让服务端发起一个黑客自定义的内网请求，从而获取到内网数据。1.内网探测；2.文件读取；

原创 SQL注入

目录一、原理二、攻击方法三、危害四、总结构造恶意输入参数，篡改正常的SQL语意，执行黑客所控制的SQL查询功能。1.修改WHERE语句；2.执行任意语句；1.绕过验证；2.篡改数据；3.窃取数据；4.影响可用性；

原创 XSS总结

目录一、原理二、分类三、总结诱导用户单击链接，执行恶意的JavaScript脚本窃取隐私信息，仿冒用户操作。反射型XSS：浏览器到后端到浏览器。基于DOM的XSS：URL到浏览器。持久型XSS：浏览器到后端到数据库到后端到浏览器。

原创 网络硬件通用基础知识

节点（node）：计算机、交换机、路由器等构成网络的硬件均可称为通信节点。链路（link）：泛指将各个节点进行连接的逻辑线路，物理上可以使用有线线缆或者无线电波。主机（host）：通过网络为其他机器提供服务的计算机，也称为服务器。客户端（client）：指从主机处获得服务的计算机(如个人计算机等 )，也称为终端或者 Terminal。

原创 Python安装指南

注意事项:与开发相关的所有软件尽量都安装在没有中文不带空格的目录下。

原创 发现10个学习宝藏网站，分享给大家！

简单教程是一个完全免费的高质量编程开发学习网站。主要负责面经汇总、面试题汇总等等，求职必备！国内最老，最成熟的技术博客网站。

原创 allure安装问题处理

这种容器化方式完全避开了本地安装Allure的环境依赖问题，是跨平台使用Allure的最优方案。使用Docker部署Allure是最省心的方式（无需配置Java、环境变量），核心分为。挂载本地目录到容器，否则容器内的报告无法同步到本地，端口映射需避免冲突。（Scoop标准路径）删除其他Allure路径（特别是无效的。）会**隔离系统PATH**，导致无法识别Allure命令。日常开发：**方案一（PATH清理+脚本注入）**指向**JDK安装目录**（非JRE！设置 → 高级设置 → 勾选。

原创 缓存介绍和总结

需求上线改了代码/数据，但缓存还记着老样子。不刷缓存，用户看到的就是旧页面、旧功能、旧数据，跟没上线一样，甚至出bug。刷缓存，就是强制让系统忘掉旧内容，记住新内容。

原创 MQ简介和总结

MQ本质是一个异步通信中间件，核心是解决系统间"怎么安全、高效、可靠地传递数据"的问题，让系统之间像用快递柜收发包裹一样方便，互不干扰、灵活高效。

原创 测开每日AI提效指令（Python+pytest专属）

自动化模板核心：采用分层设计（配置/公共方法/用例/数据），适配pytest最佳实践，支持环境切换、数据驱动、Allure报告，直接替换业务参数即可落地；AI提效关键：指令（Prompt）需明确「Python+pytest框架」「测开视角」「输出格式（如yaml/代码）」，AI输出的结果无需大幅修改即可使用；日常使用时，先通过AI生成初稿，再结合模板的分层结构调整，可节省80%的重复编码时间。

原创 接口自动化测试模板

（配置层、公共方法层、用例层、数据层），易维护、易扩展，适配绝大多数接口自动化场景。这套模板遵循测开最佳实践，采用。中的接口路径、参数为业务接口；即可看到可视化报告。

原创 AI大模型实战工作流

生成 Python + pytest + requests 可运行脚本。：给 PRD/接口文档，让 AI 输出。：你要做内部小工具，AI 帮你快速搭。写自动化 → AI 出。联调依赖 → AI 出。：把报错栈扔给 AI。接需求 → AI 出。跑不通 → AI 查。要集成 → AI 写。要工具 → AI 搭。

原创 测试工程师如何利用AI大模型？

把工作内容整理成。

原创 安全基础概念

原创 Jenkins实现CI/CD流水线

通过以上步骤，可实现每日自动执行接口测试、生成可视化报告，并通过Jenkins-GitLab集成确保代码合并质量。：检查API Token权限和Webhook配置（GitLab → Settings → Webhooks）Jenkins自动触发MR流水线（需在Jenkinsfile中定义。构建完成后 → 左侧菜单**HTML Report**查看测试详情。新建任务 → 选**Pipeline** → 输入任务名。GitLab Plugin（集成GitLab）在Pipeline任务配置页 →。

原创 安装allure指南

安装 Java配置。

原创 python内置关键字-self

作用：1个类可以有多个对象，多个对象都可以通过对象名.的方式访问类中的行为（函数），函数默认有self属性。大白话：谁调用函数，self就代表哪个对象。用于实现函数区分不同对象的。self：指向对象实例本身，用于表示本类当前对象的引用。在类的内部调用方法：self.方法名()在类的外部调用方法：对象名.方法名()

原创 面向对象核心概念

class 类名:#属性#行为。

原创 亲情和爱情

我们总能看到这样一句话：“父母终将老去，孩子也会高飞，最终陪着你一起终老的，只有身边的伴侣。。在心理学中，通常是由个体早期和被照顾者形成的情感联系；也是源于血缘和长期共同生活而形成的，。但爱情不一样，，激情作为爱情的初始原动力，随着时间的推移的会渐渐减弱。而关于爱情，我们要设立纪念日、增加仪式感，用来回忆和寻找最初的原动力和新的刺激。

原创 面向对象特征介绍

1.概述： 隐藏对象的属性和实现细节，仅对外提供公共的访问方式。2.举例：电脑、手机，函数，类=属性+行为3.好处：提供代码的安全性（私有化），简化编程（函数）1.概述：子类继承父类的成员，例如：属性、行为等。大白话：子承父业。2.好处：提高代码的复用性1.概述：同一个函数，接收不同的对象，有不同的效果。大白话：同一个事物在不同场景下表现的状态，形态不同。2.举例：水变成冰，气体，液体等等。3.好处：解耦合，可拓展。