- 博客(23)
- 收藏
- 关注
RSS订阅原创 WEB安全-跨站脚本攻击XSS
XSS(跨站脚本攻击)定义浏览器将用户输入的内容,当做脚本执行,执行了恶意的功能,这种针对用户浏览器的攻击即跨站脚本攻击。类型主要分为三种类型:反射型存储型DOM 型XSS 危害盗取 Cookie盗取账户恶意软件下载键盘记录广告引流等等 JavaScript 能够写出的任意恶意功能反射型 XSS应用程序或 API 包括未经验证或未经转义的用户输入, 直接作为HTML 输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的 HTML 和 Java
2021-09-08 18:26:36
145
原创 ssh连接服务器报错:kex_exchange_identification: read: Connection reset by peer
http://weikeu.com/archives/ssh连接服务器报错
2021-01-25 13:30:58
5046
1
转载 阿里巴巴在应用性能测试场景设计和实现上的实践
Photo @goldilocks.blog/文|蒋圣富✅提升性能前,先测试摸个底,找到性能瓶颈。✅测试前,先设计好应用性能的测试场景,并实现它。本文是《Performance Test Together》(简称PTT)系列专题分享的第5期,该专题将从性能压测的设计、实现、执行、监控、问题定位和分析、应用场景等多个纬度对性能压测的全过程进行拆解,以帮助...
2020-04-24 14:15:22
336
原创 Mac 如何安装 android-sdk做app测试
DemondeMBP:tools demon$ brew search android-sdk==> Casksandroid-sdkIf you meant "android-sdk" specifically:It was migrated from homebrew/core to homebrew/cask.You can access it again by runn...
2020-04-10 17:36:57
651
原创 linux sed批量修改数据
sed命令下批量替换文件内容 格式: sed -i "s/查找字段/替换字段/g" `grep 查找字段 -rl 路径` 或者 sed -i "s/查找字段/替换字段/g"文件名-i 表示inplace edit,就地修改文件-r 表示搜索子目录-l 表示输出匹配的文件名s表示替换,d表示删除DemondeMBP:pro demon$ sed -i "...
2020-04-10 09:11:41
396
原创 docker笔记-安装dvwa渗透测试环境
拉取镜像docker pull centosdocker run -itd -p 8000:8000 -p 3306:3306--name=xampp-centos centos /usr/sbin/init#创建一个容器,-itd 退出后不会停止的容器并且提供tty交互,-p 8000:8000映射端口8000到宿主机8000,-p 3306:3306映射3306端口到宿主机330...
2020-04-09 09:27:04
719
原创 linux修改网卡配置文件,设置固定ip
修改网卡配置文件[root@devtest-server network-scripts]# vi /etc/sysconfig/network-scripts/ifcfg-eno1PROXY_METHOD="none"BROWSER_ONLY="no"#BOOTPROTO="dhcp"BOOTPROTO="static"DEFROUTE="yes"IPV4_FA...
2020-04-09 09:24:22
897
原创 mongodb模糊查询和删除
mongodb模糊匹配以190开头的db.device.find({iotId:{$regex:/^190/}}).count();删除满足条件的所有数据db.device.remove({"iotId":{$regex:/^190/}});查询时间范围内的数据db.electricity_statistics_day.find({"record_time":{ "$...
2019-12-20 09:57:45
1586
原创 接口自动化(python3 +django+ vue)
环境:centos6安装Python3环境安装python3 pip3下载代码cd /optgit clonehttps://github.com/githublitao/api_automation_testcmd到根目录下安装相关依赖包pip3install-rrequirements.txtpip3installhttps://github.co...
2019-09-27 17:09:04
1178
转载 burpsuite实践-越权漏洞测试思路二
“躲起来的”Form表单1. 场景就像小节标题提到的一样,留意那些“躲起来的”Form表单,很多场景下你是否遇到过点击触发一个功能请求,但是返回的是空白或者“无记录”的提示,请求中不包含任何用户参数,这个时候你留意了,是不是有什么东西是你遗漏掉了,遗漏了什么触发条件?2. 案例如图有一个这样的功能点,点击“信用卡”功能后,请求返回告诉你,该用户查询无记录。这个时候你要淡定了,So...
2019-08-26 15:45:39
1165
转载 burpsuite实践-越权漏洞测试思路一
写在前面本文涉及到三种越权思路,每种方式分别对应了一个实际的案例分享。这是自己在平时的测试中积累并值得分享的一些测试经验,可能不能将问题探究到多深入,希望文中的思路能有所用。修改返回包的越权前情提要“修改返回包”这个越权的应用场景是一个请求使用加密算法加密请求的应用系统,测试过程中几乎所有的请求均加密,返回包为明文,此处可以使用如下案例中的方式进行越权测试。案例分享功能...
2019-08-26 15:42:42
2385
原创 xshell连接kali Linux虚拟机 安装jdk8
一、xshell连接kali Linux虚拟机root@kali:~# vi /etc/ssh/sshd_config添加三行root@kali:~# /etc/init.d/ssh startroot@kali:~# /etc/init.d/ssh statusroot@kali:~# ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_k...
2019-08-24 14:04:13
381
原创 elasticsearch基本查询
Search APIs简介REST request URI轻便快速的URI查询方法REST request body可以有许多限制条件的json格式查询方法query: 在请求消息体中的query允许我们用Query DSL的方式查询。 term: 查询时判断某个document是否包含某个具体的值,不会对被查询的值进行分词查询 match: 将被查询值进行分词,然...
2019-08-21 16:44:36
441
原创 zanePerfor前端性能监控统计平台
一 、安装mongodb 4 最新版本tar -zxvf mongodb-linux-x86_64-4.0.9.tgzmv mongodb-linux-x86_64-4.0.9/ mongodbvi /etc/profile #mongodb export MONGODB_HOME=/opt/mongodb export PATH=$PATH:$MONGO...
2019-07-11 09:53:18
591
原创 压测工具nGrinder
压测工具nGrinder简介nGrinder简介nGrinder是一款分布式高并发开源压测软件,它是基于Grinder开源框架基础上由NHN公司所做的二次开发。 nGrinder工具主要分由controller、agent、monitor三部分组成,其中controller(包含web管理后台)负责管理和控制测试流程、下发测试任务以及查看测试报告,agent负责启动压测进...
2019-07-11 09:51:09
550
原创 CPU性能优化的几个思路?
性能优化方法论在我们历经千辛万苦,通过各种性能分析方法,终于找到引发性能问题的瓶颈后,是不是立刻就要开始优化了呢?别急,动手之前,你可以先看看下面这三个问题。首先,既然要做性能优化,那要怎么判断它是不是有效呢?特别是优化后,到底能提升多少性能呢?第二,性能问题通常不是独立的,如果有多个性能问题同时发生,你应该先优化哪一个呢?第三,提升性能的方法并不是唯一的,当有多种方法...
2019-05-20 17:10:25
5564
原创 性能测试:3 jmeter参数化策略及关联
参数化策略参数化取值策略,即压测时,以怎样的方式,从CSV文件中取值。在什么情况下需要参数化?数据库校验数据的唯一性时,比如注册接口;另外为了消除数据库查询缓存对测试正确性的影响,如果查询走缓存和不走缓存,查询时间相差很大;还有业务功能的设计需要用到参数化,比如获取学生新名单接口。请求参数可抓包得到,或参考canshuhua-test.jmx文件线程共...
2019-05-17 11:11:43
561
原创 性能测试:2 jmeter调试接口
2、 jmeter的使用Jmeter调试待测接口get请求脚本以app查询接口为例接口文档略Base URL: weikeu.com:8080/ceshis-query/query-engine双击..\apache-jmeter-4.0\bin\jmeter.bat 启动jmeter依次在测试计划下添加线程组、HTTP请求默认值、HTTP请求,所有的请求都需...
2019-05-17 11:11:07
165
原创 性能测试:1 性能测试基础理论
一、性能测试基础理论1.1 性能测试的目的评估系统的能力:测试中得到的压力水平和响应时间数据可以用于验证 系统是否达到规划时的水平。识别体系中的弱点:将系统的压力增加到一个极端水平,从而帮助发现系统薄弱环节。验证系统稳定性和可靠性:长时间的测试可能导致程序发生内存泄露等隐藏问题,在一个生产负荷下执行测试一定时间,评估系统可靠 性是否满足要求。系统调优:重复执行性能测试,以验证...
2019-05-17 11:10:53
390
原创 jmeter性能测试工具:JDBC请求--课前语言提醒限流
课前语言提醒限流背景课前语言提醒,第三方目前支持最大的并发量是200,目前平台高峰期并发量会在2000。需求课前提醒时,不在同一时间推送提醒消息,间隔1s或多s提醒,分批次处理消息推送。测试目的1、验证分批次处理推送消息,即按时间随机散列分布在5分钟2、验证课前提醒推送到消息中心接收,再到呼叫服务中心,推送消息无延迟、不重复、不丢失,呼叫成功率100%,不出现课前提醒在...
2019-05-17 11:01:29
236
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人