- 博客(49)
- 收藏
- 关注
RSS订阅原创 《入侵的艺术》读书心得:第六章:渗透测试中的智慧与愚昧
渗透测试可能是具有破坏性的,渗透测试开始之前必须要拿到“授权”给自己的渗透行为兜底,避免出现一意外之后被“反咬一口”第二层含义:作为优秀甚至只是合格的渗透测试人员,他的**渗透测试工作本质是"探索"或"实验" 而不是检查。正常的反应是欣然接受。而文中所讲的纯正的黑客团队却说**“不,且看我先把你的系统X穿,再看我值不值这个价?相结合的案例:尾随、垃圾搜寻、物理入侵等手段综合应用加上与过硬的心理素质,也是渗透成功的关键。那么在测试是不可穷尽的原理的前提下,资源足够的情况下,是一定能够发现和利用漏洞的。
2023-05-26 09:48:39
989
原创 《入侵的艺术》读书心得:第一章:赌场黑客轻取百万美金
等一些列分析、研究的过程,在当时互联网还不够发达、程序分析工具匮乏的年代是相当不易的、图书馆查阅资料、晦涩难懂的汇编逐步抽丝剥茧分析出程序的核心脆弱性是相当有韧性的。这里可能是 2的32次方,即40亿个数。有了成稳定的赌场分工与协作技术和流程之后,他们还不忘迭代和优化,逐步将一些繁杂的“打电话”的流程进行优化、工具化这种“不满足”的精神十分难能可贵。不安全的随机数生成算法,使得Alex他们能够预测下一个随机数,即能帮忙预测到他们想要的牌面如:同花顺何时到来,这样就让赌博变为稳赢不赔的买卖。
2023-05-26 09:43:55
587
原创 致敬爱“揪小辫子“的人----观长空之王有感
而这些更高质量最求的非功能性测试,它依赖测试人员更多的热爱与激情,依赖测试人员更主动的去思考和探索那些极限的工况、那些设计中未考虑周全的灰色地带。大满配的国产汽车背上样子货的骂名,而称为毛坯房的丰田汽车消费者趋之若鹜。测试是一件良心活,一个缺陷没有发现、一个漏洞没有挖掘,只要你的心够大,你可以堂而皇之的说自己的测试任务完成了。内卷的这些年,借助着敏捷的推手,测试人员却慢慢的活成了别人眼中希望看到的样子,着实令人惋惜。每个测试人员都有自己要守护的“四代战机”,爱就小辫子的你,就是守护产品价值的“长空之王”!
2023-05-03 14:02:19
180
原创 当一个测试人员说他“测完了”,里面的坑是什么?
汇报测试完成与否的同时,更重要的是让管理者知晓,我们按照共同制定的测试策略,执行了哪些测试?覆盖了那些功能和场景?这样比简单的汇报工作完成与否安全得多。同时我们需要注意,策略可能是动态的、会随着未知任务的插入、未知事件的打断…那么对于"完成"的定义也可能是变化的。测试是无穷尽的,我们永远只能在一定的限制条件下,做相对完备的测试。当一个测试人员说他“测完了”,他的弦外之音是什么?由于你认知的“测完”和项目管理者所认知的“测完”存在偏差,那么会导致项目进行错误的决策。
2023-05-02 10:37:11
824
原创 浅谈安全团队渗透测试质量评价
2022年本人经历了一次工作变动,在深信服的一次面试中考官提问“如何评价渗透测试的质量?”当时回答并不理想但回头思量确实是个好问题,在此进行一个简单梳理希望对大家有帮助。
2023-01-27 11:40:00
1176
原创 黑盒测试并不是一无所知的测试
黑盒测试并不是一无所知的测试测试组长(我):小秋啊,来了快两年了,测试还是点,点,点吗?比卡丘:嗯…是啊…领导,我们系统测试不应该就是站在用户视角测试吗?用户就是点点点啊?测试组长(我):呃…解读没错,系统测试这样的黑盒测试强调测试人员要具备用户视角,了解用户的环境和知识,像用户使用产品一样去操作产品。但这并不代表系统测试人员不可以去了解系统实现。更不能将这种一无所知或者所谓的“用户视角”作为自己躺平、拒绝成长的借口。策略“测试已SI”的论调喊了多年,SI的只是老旧的角色定位,一个“入得厅
2022-04-27 17:28:05
283
原创 “一个登陆页面怎么测?”,面试中怎么回答才不会跪?
面试官:卡秋同学,现在给你一个登陆页面你如何测?(满脸不削于坏笑…)比卡丘:嗯…啊…,先测个空密码,再测个超长用户名…面试官(我):好了同学,先回家等通知吧…首先我想为面试的同学抱不平,这类面试问题本来就是一场信息不对等的较量。面试官了解问题上下文背景,题库的答案可能也了然于心。他们站在一个制高点俯视你,你若紧张,张口就直奔细节,结果只有一个,就是跪…一.解读:面试时间仓促,面试官要的不是一份精确的测试方案或测试设计。重点关注的是求职者的系统思考能力和表达能力。二.应对策略:1.变被动为.
2022-04-27 13:22:06
326
原创 软件测试思维总结(2)-----跳跃性思维:不按套路出牌
软件测试思维总结(2)-----跳跃性思维:不按套路出牌【回顾】上一章节聊到了,测试人员安身立命的核心能力和价值,以及比较思维,本章继续聊测试探索中的思维:跳跃性思维。回想起十年之前,还在HW做测试的时候,测试团队墙壁上挂着这样一个标语至今令我记忆犹新:用户想咋用咋用、用户爱咋测咋测…”这表现了对产品质量的极高最求和自信…,华为对质量的高要求助力着企业的高速发展。反观“敏捷”大行其道的今天,我们打着需求实例化、快速迭代的幌子…实则是对质量的漠视。Later is Never…请保持对质量的
2022-01-07 20:03:40
580
原创 软件测试思维总结(1)-----比较思维:利用好可参照的资源
软件测试思维总结(1)-----比较思维:利用好可参照的资源【背景】又到一年跳槽季,最近手机脉脉、BOSS直聘消息框闪烁的也特别频繁…茶余饭后也在翻看一些招聘信息,寻思着如果选择离开承载我的下一艘客船在哪里?我的“船票”是什么?“测试已死” 喊了这么多年,似乎“测试开发”似乎成为测试人员的救命稻草…却慢慢遗忘了你的价值究竟是测试还是开发?你开发又是为了什么?是为了当年没有走上开发岗位寻求的安慰吗?当招聘广告中满是 QTP、LoadRunner、Jmeter…的时候,你靠什么安身立命?工具总有一天会失
2022-01-04 09:37:30
787
原创 设计模式----装饰器模式
装饰模式(Decorator)动态的给一个对象添加一些额外的职责,就增加的功能来说,装饰模式比生成子类更灵活(继承的方式,子类和父类存在耦合关系)。一.Demo需求的提出:假设现在有一个电脑城的装机报价单打印程序。程序需要根据用户不同的配置需求打印不同的的报价单。尝试写一段代码来呈现这个逻辑。二.装饰器模式呈现代码:`class Quotation: def show(se...
2019-06-16 13:37:37
367
原创 设计模式---中介者模式
1.背景在面向对象对象编程中,我们常提到要分离关注点;但当我们将代码重构为若干职责单一的类之后又发现类与类之间的调用关系或通信会变得复杂。而设计模式中的“迪米特法则”又要求如果两个类之间没有必要直接通信那么他们之间就不应该产生直接的关联关系。由此我们可以想到可以在众多需要相互对象之间引入一个中间节点,来负责类与类之间的通讯转发。中介者模式(Mediator): 用一个中介对象来封装一系列的...
2019-06-09 21:30:25
258
原创 设计模式---适配器模式(Adapter)
适配器模式是将目标对象的接口转换为使用者所期望的另外一个接口,使得原本接口类型不一致的类能够更好的工作在一起。使用场景:两个类所做的事情相同或相似,但是具有不同的接口时要使用它。客户端可以统一调用同一接口,这样应该可以更简单、更直接、更紧凑。一.需求提出假设现在要求写一个程序,这个程序示意一个足球对的训练过程。这个足球队有着中方球员、外援。由于语言文化不同。中方球员和外籍球员的控制接口...
2019-06-06 12:29:19
230
原创 设计模式---职责链(Chain Of Responsibility)
设计模式—职责链(Chain Of Responsibility)一.需求的提出:研发流程中,一个缺陷的生命周期如下:提交缺陷(测试人员)->CCB审核(CCB)->开发团队审核(SM)->解决缺陷(开发人员)现尝试编写一段Demo代码来示意,这个处理过程。二.无设计的实现版本:`class Handler: def __init__(self, role)...
2019-06-04 18:50:19
219
原创 ISTQB知识体系中的测试过程及其要点
ISTQB知识体系中定义的测试过程及其要点ISTQB中定义的测试过程包括如下几个阶段:测试计划->测试分析->测试设计->测试实施->评估出口准则及报告->测试阶段;除此之外还包括 测试监督和控制,它贯穿于整个测试过程之中。下面将分别总结每个阶段的定义和要点:一.测试计划阶段:测试计划阶段关注如下几方面内容:测试策略(较高层级的)、测试资源、风险应对预案、出...
2019-05-29 20:04:15
3123
原创 ISTQB知识体系中的测试策略与测试价值
ISTQB知识体系中的测试策略与测试价值作为测试人员我们工作的价值究竟是什么?是输出用例?是输出测试脚本?还是测试执行的数量?且听下分析。如下图所示:在ISTQB的只是体系中,测试人员的商业价值可以分为定量价值和定性价值。不同的测试价值,我觉得应该通过不同的测试策略来实现。1.分析型测试策略来实现定量及定性价值:1.1基于架构化的测试测试分析与测试设计:如:邰晓梅的MFQ&...
2019-05-14 19:31:55
609
原创 测试策略简单总结
一.测试策略的概念测试策略核心要解决的问题是:测什么,怎么测?1.1"测什么"主要关注的内容:a.测试对象是什么?a.1被测对象定位的领域和场景是什么,它的特性有哪些?a.2需要准守的规范和标准是什么?b.测试的深度和广度:b.1测试的范围,测试边界。b.2测试的分层,考虑通过哪些层次的测试来测试你的被测对象。1.2"怎么测"主要关注如下内容:a.人:对应于不同的测试分层,我...
2019-03-17 10:05:21
3277
原创 测试工具的选择
测试工具的选择一.商用工具?开源工具?还是定制工具?1 > 商业工具:商业工具的优势:商业工具的劣势:2>开源工具:开源工具的优势:开源工具的劣势:3>定制工具:定制工具的优势:定制工具的劣势:二.工具的投资回报(ROI):1 >工具引入的首次成本和重复成本:首次成本:重复成本:2>测试管理人员应考虑的风险:3>测试管理人员应了解工具引入的收益:减少重复,提高测...
2019-03-10 09:34:36
546
原创 基于风险的测试学习总结
基于风险的测试学习总结RBT的概念为什么需要RBT如何进行RBT新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入...
2019-02-24 14:43:27
2058
原创 加密算法学习总结---DES-CBC加密算法
DES-CBC机密算法 DES全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的块算法,1977年被美国联邦政府的国家标准局确定为联邦资料处理标准(FIPS),并授权在非密级政府通信中使用,随后该算法在国际上广泛流传开来。一.核心原理原理XORDES的核心原理是基于XOR数学运算。我们知道异或运算的一个基本性质 A XOR B = ...
2018-03-24 20:53:24
18026
5
原创 加密算法学习总结---柱状换位加密
柱状换位加密 换位密码使用某种加密算法重新排列明文消息中的字母,从而形成密文消息。解密算法只需要反演加密转换的过程就能得到原始消息。一.柱状换位加密它的加密算法:1.给定加密的KEY,并按ASCII字母顺序给KEY的每一个字符标号:选择ATTACKER作为加密的KEY,按照字母顺序给KEY每个字符进行编号得到如下结果: 2.将明文以KEY的长度为单位进行拆分...
2018-03-24 18:08:04
16980
原创 加密算法学习总结---凯撒密码
凯撒密码 凯撒密码(Caesar cipher)是一种相传尤里乌斯-凯撒曾经使用过的密码。凯撒于公元前100年左右诞生于古罗马,是一位著名的军事统帅。1.凯撒密码基本原理:凯撒密码的核心思想就是移位。 将明文的每一个字符 在 密码系统所支持字符序列中向右平移N,映射得到新的字符从而实现加密,而解密则相反向左平移N。加密的Key即为N。如下图所示:https://inven...
2018-03-24 07:48:46
8500
原创 什么是魔法函数?记一次“产脸”后的总结
XX:“你觉得你Python掌握程度如何?了解,熟悉,还是精通”。 我: “我觉得我自动化测试和工具开发应用的还不少,应该算熟悉吧”。 XX:”那你给我讲讲什么是魔法函数?” 我:“…………………………….(感觉像吃了陀翔般难受,明明知道肯定是用过,硬是像不起什么它的概念,脸产的啪啪响)”是的,魔法函数,每天都在用,只要写Python代码就会用:class Tes...
2018-03-19 23:15:53
1126
原创 “模板方法”模式与Python装饰器的关系
今天在学习Python装饰器模式时,总觉得和之前学习过的另外一个东西似曾相识…..对了就是设计模式中提到的“模板方法“。
2017-12-30 16:33:22
351
原创 中兴开发者大会心得分享---ReThink测试
刘琛梅,她在《软件测试架构师修炼之道》这本书中提出了“测试策略”是测试人员核心技能的理念,这次的分享的“ReThink测试”也是关于测试策略的。这里是我的心得和总结
2017-12-24 16:04:11
1414
原创 测试人员的抽象思维
随着软件和互联网行业的发展,软件测试正受到方方面面的机遇和挑战。从技能层面上讲:领域知识、测试工具、测试思维、自动化测试框架、编码技能…..等等方方面面都有待提升,又都无法一蹴而就;从职业发展跑道的角度上来讲:管理通道、技术通道、甚至扩岗位转型都是可以考虑的,但也无一坦途。测试人员大脑被各种的思潮不停拍打着…..测试会不会死掉?我们到底应该怎么走?
2017-12-24 12:34:13
1245
原创 笔记与心得:《人人都是产品经理 V2.0》--概念:提出与筛选
《人人都是产品经理V2.0》第三章主要讲述的是 产品概念所应包含的内涵及筛选的准则以下是我以思维导图方式整理的读书笔记: 笔记解读:一.产品概念的内涵: 一个产品概念需要包括:用户、场景、竞争优势、需求的刚性这几个方面:1 .用户: 用户是分层次的,所有目标用户都是产品的“衣食父母”,但是支撑产品盈利核心用户通常应具备更高的优先级。比如社交APP中的美女,网游中的“人民币”玩家。核心用户中
2017-12-02 16:49:32
1874
原创 设计模式---组合模式
组合模式(Composite),将对象组合成树形结构以表示‘部分-整体’的层次结构。组合模式使得用户对单个对象和组合对象的使用具有一致性。
2017-11-30 23:19:00
219
原创 树莓派实现 “IP网络损伤仪”
【摘要】 树莓派作为近年来兴起的微型计算机设备具备造价低、体积小、接口丰富使用灵活等特点越来越多的被大家认可。本次实践本着边玩边学又能为项目产生效益的的原则,通过简单的动手和尝试便将树莓派改造成”IP网络损伤仪”。【关键词】 树莓派、IP网络损伤仪、netem、TC一、 问题的提出:随着产品的多年发展和生命周期的更迭,在测试过程中我们发现越来越多的缺陷已经无法通过基本功能覆盖、CI冒烟的方式
2017-11-22 11:13:18
3929
原创 设计模式---工厂方法
一.工厂方法定义: 工厂方法模式定义一个用于创建对象的接口,让子类决定实例化哪一个类。工厂方法使得一个类的实例化延迟到子类。
2017-11-01 23:46:08
334
原创 《MFQ&PPDCS》实践--Modeling---S-state在ARP协议测试中的应用
ARP是TCP/IP协议栈中最经典和基础的协议之一,它是一个有状态的协议。以协议的状态为分析视角是对ARP协议测试设计的一个不错的思路。
2017-10-09 19:19:10
1219
原创 《MFQ&PPDCS》学习心得--TE---测试广度和深度
我们经常会碰到这样的现象,同样的被测对象不同的人去测试发现的缺陷不尽相同?有的人会遗漏测试深度层面的缺陷,有的人会遗漏测试广度上的缺陷?什么是测试的深度和广度?
2017-10-08 11:29:32
2007
原创 《MFQ&PPDCS》学习心得--TCO(测试覆盖大纲)
TCO 即Testing Coverage Outline 测试覆盖大纲,做TCO是从测试的角度分析当前被测系统有哪些测试需求、测试要点。
2017-10-07 23:46:52
11325
原创 《软件测试的艺术》读书心得 --- 软件测试的心理学和经济学
本章主要谈了两个问题,软件测试的心理学和经济学。其中,心理学其实主要讲的是对于对待软件测试的态度,经济学讲主要是软件测试的成本问题。
2017-10-07 12:42:39
1017
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人