weixin_44894271的博客

前言本文章记录bwapp的SQL injection模块，web安全测试SQL注入环境准备docker部署bwapp火狐浏览器安装hackbar插件，登录进入bwapp页面，选择bug类型<SQL injection(GET/Search)>，并设置安全等级为low按照字段搜索可以看到查询结果信息列表如下单引号注入检测根据搜索查询业务我们可以猜想查询用户信息列表的SQL大致为：select XX from database where title = “id”，此时titl

安装goaccess安装goaccess可以使用源码编译安装也可以使用linux系统命令进行安装，本文示例为ubuntu系统使用apt-get命令进行安装apt-get install goaccess生成日志html页面生成日志页面命令具体详情可看官方文档https://goaccess.io/get-started，命令可以定义日志输出格式、是否实时采集以及生成...

在性能测试调优过程中以有限的资源尽可能的最大化收益才是目标，本文简单记录nginx的两个配置小技巧配置gzip压缩在访问web网页时，静态资源过大会大大降低传输速度。我们可以通过nginx配置静态资源压缩的方式来降低网络带宽消耗，下图是没有进行静态资源压缩的抓包信息，可以看到index.html页面为26kB我们通过修改nginx配置添加开启gzip压缩并reload重新加载配置可以在response_headers中看到对静态资源使用了gzip进行压缩,压缩后的index.html只有8kB

前言orientdb 是一个开源的多模型 NoSQL 数据库，本文记录docker环境下部署的orientdb实现数据库的导出与导入进入orientdb由于是docker环境部署，我们需要先进入容器内部docker exec -it orientdb bash在进行数据库操作前我们需要进入控制台模式运行console.sh，默认路劲 /orientdb/bin/console.sh连接数据库CONNECT <database-url> <user> <pas

前言Fuzz testing是生成大量数据并且对系统产生大量异常请求，通过大量恶意请求查找漏洞。在这个过程中我们可以依赖于部分工具来实现参数化，本文以burpsuite为工具以文件上传为例拦截请求启动burpsuite并且开启代理后请求一次文件上传，进入BurpSuite → Proxy →HTTP history,右键点击刚才的请求选择Send to Intruder修改fuzz测试值进入Intruder→Positions,可以看到请求参数中有"§"符号包裹的内容，被包裹的内容就是需要被参数

前言ubantu系统安装成功后未注册root用户密码，可以自行设置root密码sudo passwd root使用此命令后输入设置root密码，再次输入确认新密码

前言在做性能测试过程中，我们常说需要关注的主要两个性能指标方向为时间性能和空间性能。服务器CPU使用率以及平均负载率是其中需要重点监控的节点之一，此处用通俗的例子来说明CPU使用率以及CPU平均负载率CPU使用率在服务器使用top命令，我们可以打开实时服务器资源用情况如下图所示。服务器CPU使用率我们可以看到此时CPU使用率占用百分比，图中为12.1%。对于这个CPU使用率可能部分对于计算机硬件原理不了解的同学来说会往空间方面去想象使用率（类似于内存使用率）而进入误区。CPU的使用率是以时间

缓存配置在解决高并发性能问题时，缓存是其中的一种手段。本文简单介绍nginx缓存的配置方法，详细可以参考nginx官方文档我的nginx配置如下# 设置缓存内容proxy_cache_path /data/nginx/cache/test keys_zone=test:10m max_size=10g;upstream test_server { server 172.18.0.71:8080;}server { listen 80; # 使用缓存

Nginx简介nginx是一款开源的高性能开源代理服务器，常用于http代理、反向代理、负载均衡以及web缓存。从应用方式和场景可以看出nginx常常作为服务端系统架构最为重要的一个中间件之一，同样nginx也可能会存在性能瓶颈导致服务端整体性能问题Nginx负载均衡策略nginx作为中间件主要作用就是负责对请求进行分发从而起到负载均衡作用，nginx自带四种负载均衡策略分别是：轮询 、weight、ip_hash、least_conn，以及两种第三方策略fair和url_hash。nginx默认的负

引言本文为Linux Cgroups学习笔记，简单记录cgroups中的部分原理与操作方式，以便于更能深入的了解容器化技术Linux kernel CgroupsCgroups （Control Groups）是 Linux 下用于对一个或一组进程进行资源控制和监控的机制；可以对诸如 CPU 使用时间、内存、磁盘 I/O 等进程所需的资源进行限制；不同资源的具体管理工作由相应的 Cgroup 子系统（Subsystem）来实现 ；针对不同类型的资源限制，只要将限制策略在不同的的子系统上进行关联

引言在学习docker过程中进一步深度学习容器隔离技术，在docker之前Linux kernel提供了自带的容器技术namespace，本文简单介绍namespace的一些原理Linux kernel namespaceNamespace是Linux kernel提供的资源隔离方案（Linux自带的容器技术）系统可以为进程分配不同的namespace，并保证不同的namespace资源独立分配、不同的namespace下的进程互不干扰Linuxkernel提供了Pid，Network，Ipc，U

前言再同一个服务器环境下，可能部署多套项目各个项目需要不同的配置以及日志路劲等，此时需要在一个nginx情况下读取多个配置文件依赖安装安装gcc-c++编译器yum install gcc-c++yum install -y openssl openssl-devel安装pcre包yum install -y pcre pcre-devel安装zlib包yum install -y zlib zlib-develnginx安装创建文件夹并下载nginx安装包mkdir /usr

前言根据之前的requests请求、config配置文件读取、yaml测试数据读取、日志输出、断言，我们基本已经构成一个初步的自动化测试框架。本文简单讲解pytest+allure编写测试用例allure 报告标记 @allure.feature # 用于定义被测试的功能，被测产品的需求点 @allure.story # 用于定义被测功能的用户场景，即子功能点 @allure.severity #用于定义用例优先级 @allure.issue #用于定义问题表识，关联标识

前言为了减少自动化过程中的冗余代码，我们把一些常用的类、方法封装成自己想要的方法、类，本文简单介绍python的requests封装get、post,根据需要可配合加密、解密、日志等组件，本文把响应时间和响应文本结合返回封装requests# -*- coding: utf-8 -*- # @CreateTime : 2020/8/6 22:41 # @Author : tester_ye# @File : Requests.pyimport requestsfrom Data impor

前言为了减少自动化过程中的冗余代码，我们把一些常用的类、方法封装成自己想要的方法、类，本文简单介绍常配置文件读写的封装代码，封装python的ConfigParser读取配置文件*.iniConfigParser封装# -*- coding: utf-8 -*- # @CreateTime : 2020/8/6 19:37 # @Author : tester_ye# @File : MyConfig.pyfrom configparser import ConfigParserfrom

前言为了减少自动化过程中的冗余代码，我们把一些常用的类、方法封装成自己想要的方法、类，本文简单介绍常用类的封装代码日志封装# -*- coding: utf-8 -*- # @CreateTime : 2020/8/6 19:38 # @Author : tester_ye# @File : Log.pyimport loggingimport osimport time# 获取当前脚本文件父类的绝对路径（项目主目录）path = os.path.dirname(os.path.

maven3.6百度网盘下载链接：https://pan.baidu.com/s/1f4RsAlWprt86YXFQ3qxYag提取码：rtv3解压缩：tar -zxvf apache-maven-3.6.3-bin.tar.gz

前言allure测试报告框架，用来生成自动化测试报告allure2.8下载百度网盘链接：https://pan.baidu.com/s/1Z3m853xkza14I_b0coO7GQ提取码：fznm解压后配置环境变量，DOS窗口输入命令校验：allure --version

前言本文主要介绍基于python的pytest测试框架和requests库，来进行接口自动化测试框架搭建。测试报告使用第三方测试框架allure来生成测试报告，本文只介绍测试框架最基本常用的组件和项目结构搭建，有需要更多功能只需模块式添加即可环境准备编程语言：python3编辑器：编辑器可选用pycharm、vscode、eclipse等库 pytest、requests、allure-pytest (pytest-allure-adaptor已停止更新，python3开始改用allure-py

前言Perf是一个基于Linux 2.6 +系统的分析工具，它抽象了在Linux中性能度量中CPU的硬件差异 ,提供一个简单的命令行界面。 Perf基于最新版本Linux内核 的perf_events 接口。本文主要记录在perf+Flame Graph生成火焰图中遇到的坑，perf的使用不多做介绍安装perfyum install perfFlame Graph安装通过git拉取即可，无需解压、安装操作git clone https://github.com/brendangregg/Fl