wrz0529的博客

原创 dvwa上xss攻击的一些等级逻辑跟攻击思路

实战1 反射型XSSlow<?phpheader ("X-XSS-Protection: 0");// Is there any input?if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '&...

原创 安全随笔之xss攻击

XSS攻击什么是xss攻击XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和...

原创 sql注入之中国菜刀环演练境搭建与测试

中国菜刀演练环境搭建需要的工具：phpstudy一句话木马php脚本 <?php @eval($_POST['test']);?>菜刀程序1. 新建一个一句话php木马程序 muma.php，模拟攻击者，将之放入phpstudy的网站根目录2. 模拟被攻击者启动phpstudy3. 攻击者访问一句话木马页面(可选)4. 打开菜刀，输入木马页面，演示环境是http...

原创 sql注入之sqli_lab靶场搭建

sqli_lab靶场搭建mac环境搭建需要的环境：docker 715 docker search sqli-labs //搜索镜像 718 docker pull acgpiano/sqli-labs //拉取镜像 719 docker images //查看镜像列表 720 docker run -dt --name rz_sqli_labs -p 666:80...

原创 burpsuite之入门篇(二) 之娱乐密码爆破

来做点有趣的事情吧～登录爆破～我来想想这个怎么编排～用之前搭建的蜜罐来做演示吧，来熟悉burpsuite的一些基础功能第一步：开启代理后，打开burpsuite打开蜜罐诱导页面：(其他登录页面也可以代替，请不要恶意攻击别人家服务器，警察叔叔会找你的)然后burpsuite页面的【target】 【site map】页面看到抓包记录今天想说的不是跟其他抓包软件一样的抓包功能，是bu...

原创 burpsuite之入门篇(一)

什么是burpsuite百度百科解释：Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。burpsuite官网：https://portswigger.net/burp学习安全测试，BP是一个必不可少的工...

原创 安全随笔之蜜罐

什么是蜜罐蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后...

原创 安全随笔之学习安全,Windows系统应该了解的

学安全测试，windows系统应该了解的主要分享hosts劫持常见端口号获取Windows 密码hosts劫持什么是hostsHosts是一个没有扩展名的系统文件，可以用记事本等工具打开，其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”，当用户在浏览器中输入一个需要登录的网址时，系统会首先自动从Hosts文件中寻找对应的IP地址，一旦找到，系统会立即打开对...

原创 安全随笔之dll劫持

安全测试笔记之一环境篇以下是我的原生环境macOS Big Sur16G+512G环境准备虚拟机(Big Sur使用PD16正版，其他Mac版本VM,PD随意，毕竟省钱...)Windows7或者Windows10 iso镜像(msdn下载即可)phpstudyDvwaChkDllHiJack工具：输入exe位置以及dll列表，检测程序是否有dll注入漏洞proces...

原创 python安装Django环境

此安装过程针对Python3 MacOS1、安装pip ，pip是Python的包管理工具,用于安装Python包。pip是“Pip Installs Packages”的递归缩写.python3 -m pip install -U pip2、Python虚拟环境。它把软件所需的全部依赖和环境变量包装到一个文件系统中，与电脑中的其他软件隔离开。Python的虚拟环境工具是virtuale...

原创 linux三剑客之grep

为了方便以后回顾，将grep的常用选项总结如下:--color=auto 或者 --color：表示对匹配到的文本着色显示-i：在搜索的时候忽略大小写-n：显示结果所在行号-c：统计匹配到的行数，注意，是匹配到的总行数，不是匹配到的次数-o：只显示符合条件的字符串，但是不整行显示，每个符合条件的字符串单独显示一行-v：输出不带关键字的行(反向查询，反向匹配)-w：匹配整个单词，如果...

原创 MySQL练习(1)

建表语句CREATE TABLE students(sno VARCHAR(3) NOT NULL,sname VARCHAR(4) NOT NULL,ssex VARCHAR(2) NOT NULL,sbirthday DATETIME,class VARCHAR(5))CREATE TABLE courses(cno VARCHAR(5) NOT NULL,cname V...

原创 JMeter知识点整理

原创 appium获取toast方法

配置toast请注意：1、指定desired_caps["automationName"] = "UiAutomator2"2、要求安装jdk1.8 64位及以上。配置其环境变量JAVA_HOME和path3、Android系统5.0以上4、appium server版本 1.6.3以上5、xpath表达查找toast //*[contains(@text."xxxxx")]6、只能...

原创 Could not parse UiSelector argument: 'XXX' is not a string 错误解决办法

ebDriverWait(driver,20).until(EC.visibility_of_element_located((MobileBy.ANDROID_UIAUTOMATOR,new UiSelector().text("我的柠檬")'))).click()报错：Message: Could not parse UiSelector argument: ‘xxxxxxxxx’ ...

原创 基于python的几种排序算法的实现

#!usr/bin/python3# -*- coding: utf-8 -*-# @Time : 2019/3/28 10:26# @Author : Yosef-夜雨声烦# @Email : wurz529@foxmail.com# @File : sort.py# @Software : PyCharmdef bubble_sort(arr):...

原创 MySQL调优

原创 生成allure测试报告之后，服务器端口无法访问查看生成的report，可能是这样引起的。...

1. 检查防火墙2. 如果机器有安装ADsafe，请关闭adsafe后重试

原创 通过源码看原理之 selenium

# selenium的历史1. selenium1.x：这个时候的selenium，使用的是JavaScript注入技术与浏览器打交道，需要Selenium RC启动一个Server，将操作Web元素的API调用转化为一段段Javascript，在Selenium内核启动浏览器之后注入这段Javascript。Javascript可以获取并调用DOM的任何元素，自如的进行操作。由此才实现了Sel...

原创 如何查看浏览器记住的密码

很多时候，我们使用浏览器记录密码之后，由于长时间不使用密码忘记了密码，那么此时应该怎么办呢？今天在下发现了一下好玩的方法，可以查看浏览器记住的密码，大家不妨试试看~咱就不上图了，保存密码之后，再次打开保存密码的网站登录页面，可以看到账号密码已经自动填入了。接下来就是具体操作：1. 按“F12”2. 找到密码框的element,修改其中的type,将password改成text3. 请观...

原创 pycharm+gitee

Git操作前言：由于各种原因，很多时候我们写代码的电脑并不会随身携带，所以有的时候突发灵感想继续写代码就变得难以实现。相信大部分同学对此都有了解，那就通过代码托管平台来管理。原本想用GitHub来做操作，但是由于众所周知的原因，国内访问GitHub的速度很慢很慢。那么就选用国内比较好的代码托管平台---Gitee(码云)。下面就是操作了。1. 注册Gitee打开Gitee的官网：htt...

原创 新手入门贴之基于 python 语言的接口自动化 demo 小实战

大家好，我是正在学习接口测试的菜鸟。近期通过自己的学习，完成了一个关于测试接口的接口自动化demo。下面想跟大家分享一下，主要的思路是根据接口文档确定测试用例，并将测试用例写在excel中。因为只是小作demo，测试用例我没有写的很全，有兴趣的大佬自己补充一下。下面先分享接口文档，以及写在excel中的测试用例，这里需要注意的是，测试用例一定要按照我这种格式写，否则下面封装的doExcel类将会...

原创 记新人从 excel 文件中读取字典数据踩的一个坑

原本是打算今天分享一下最近学习接口自动化的心得体会，然而在我写模板的时候，却被一个坑拦我大半天，心得体会不得不 延期再分享了。在我无数次调试无数次看log，终于发现并解决这个问题了。下面记录一下踩的坑： 首先我有这么一个简单至极的excel用例，请看下图：其他列暂且忽略，我们发现param列的元素在python中是字典格式的，对吧？然后我就一波操作，从excel中取到了这个字典，然后通过r...

原创 接口自动化 之 unittest+ddt+openpyxl 综合

前面写过python 之 unittest初探 和 python 之 unittest+ddt 两篇文章。在之前的文章中，写过可以再次优化。今天写第三篇的目的，就是在原有基础上，基于 openpyxl模块再次优化。在第二篇中，注意到测试数据与代码写在一起，实在是难以维护操作，而我们平时书写测试用例，记录测试数据，通常会使用excel文件或者csv文件。因此，本篇主要使用openpyxl模块对xl...

原创 接口自动化之unittest+ddt

我在上一篇(https://www.cnblogs.com/wlyhy/p/10083318.html) 文章整理了unittest的模板，但在后续学习中，发现还有许多值得优化的地方。例如在我们设计测试用例的时候，很多时候会出现测试步骤一样，只是其中的测试数据有变化而已。就比如测试登录时的账号密码。这个时候，如果我们依然使用一条case一个方法的话，会出现大量的代码冗余，而且效率也会大大降低。此...

原创 接口自动化之unittest初探

最近几天苦心钻研unittest，终于略有所得，所以想来跟大家分享一下。有关python和unittest的基础知识部分就不在一一细说，相信各位也不是小白了。如果需要我整理基础知识，欢迎留言，我会看情况整理出来。下面直接贴上我的demo模板代码，注释部分主要是思路，有疏漏的地方欢迎大佬们指正。#!/usr/bin/python3# -*- coding: utf-8 -*-# @Time...

原创 python之类与对象（5）

6. 类的多继承与超继承6.1 多继承python的类还有一个特点，就是可以继承多个类。但是我们作为测试人员，在实际中很少用到这个多继承，这里不就详细(一直都不详细，hhhh)写了。上代码： 1 #!/usr/bin/python3 2 # -*- coding: utf-8 -*- 3 # @Time :2018/12/5 13:43 4 # @Author :Yos...

原创 python之类与对象（4）

5. 类的继承继承可谓是重中之重，也是面向对象编程的核心内容之一。子类可以继承父类的属性以及方法。作为一名测试人员，学习了类之后，我们可以很好的把代码与数据分离开来，有了基本的封装思想。接下来我们将进一步学习类5.1 类的继承简单用法我们首先来看一下最传统的继承，直接继承父类的所有属性和方法，不用做任何改变。观看以下代码 1 #!/usr/bin/python3 2 # -*- co...

原创 python之类与对象（3）

4.类的初始化函数__init__():本章参考：https://blog.youkuaiyun.com/hellocsz/article/details/82795514 原作者：hellocsz总结一下， 加上__init__()方法后，类才可以实例化，不加类就是个空壳，相当于一个方法集合学习Python的类，一直不太理解为什么一定要定义init()方法，现在简要谈一下自己的理解吧。1、不...

原创 python之类与对象（2）

3. 类函数的进阶3.1 类函数调用类属性关于类函数调用类属性，我们尝试修改前一节的内容，以我们在之前学习的内容，调用属性直接用%+属性就可以了，那我们来试一下：看到了程序有报错，这其实是因为在类函数中要调用类属性，必须要在类属性之前加上self关键字，调用方法是self.类属性名，那我们修改一下，加上self。 1 #!/usr/bin/python3 2 # -*- codin...

原创 python之类与对象（1）

面向对象编程是最有效的软件编写方法之一。编写类时，定义一群对象都有的通用行为。基于类创建对象时，每个对象都自动具备这种通用行为，然后可以根据需要赋予每个对象的独特的个性。1.类与对象的语法规范关键字：class语法：class 类名：　　属性值　　类函数#创建实例类名关于类名，规范写法是首字母大写并且使用驼峰命名法。命名要见名知意，提高代码的可读性。2. 编写第一个类动物...

原创 python之小记with open...as..上下文管理器

之前在学习file文件对象是说过，open文件操作结束后要关闭文件，否则会一直占用资源。但是当出现异常，如读取过程中文件不存在或异常，则直接出现错误，close方法无法执行，文件无法关闭1 with open("test.txt","w",encoding="UTF-8") as f:2 content=f.read()3 print(content)用with语句...

原创 python之异常处理

　　异常处理机制在不同的编程语言都有体现，在python中的异常是用try-except代码块处理的。这个代码块让程序运行指定的代码，同时告诉python发生异常时怎么办。在使用try-except代码块时，遇到异常程序也将继续运行，并且显示在except里面编写的处理信息，而不是控制台展示的traceback消息。1. try-except我们对比一下不用try-except与不用的区别：...

原创 python之模块引入

模块引入就是我们经常见到的import xxxx以及from xxx import xxx两种形式。无论是哪一种方式，都要具体到模块名。下面分别看一下两种区别：1. importimport 后面直接跟的就是模块。关于模块一定要具体到文件，否则调用的时候会出问题。以下图的文件目录为例，其中a.py,b.py里面都写了一个小函数，等会验证调用是否成功。。以我在sub.py代码为例，如果想调...

原创 python之IO目录处理

IO目录处理在使用io常用函数之前，必须要在py文件头部import os。os是(Operation system)的缩写，意思就是系统操作。1. 创建删除目录 1 #!/usr/bin/python3 2 # -*- coding: utf-8 -*- 3 # @Time :2018/11/29 15:27 4 # @Author :Yosef 5 # @Emai...

原创 python之读取文件的测试数据

假设我们有一个叫testdata.txt的文件，现在在这个文件里面有测试数据，我们怎么利用前2小章学习的知识，读取测试数据呢？测试数据如下：　　url:https://www.cnblogs.com/wlyhy/,e-mail:wurz529@foxmail.com,username:11111111　　url:https://www.baidu.com/,e-mail:wurz529@1...

原创 python之文件读写(2)

2.写入数据到文件中读取文件用read，那么写用什么嘞？用write！实际操作一下。2.1简单的写入数据到文件中1 file = open("write_data", "w", encoding="UTF-8")2 file.write("write成功了吗")3 file.close()执行成功结果：使用model"w","w+",都是如果原本文件不存在，则创建新文件并...

原创 python之文件读写(1)

1.从文件读取数据关于对文件的操作，使用open(filename, mode),打开文件。与之对应的，close()用来关闭文件。对文件操作完毕切记要关闭。open函数参数：mode 参数有：模式描述t文本模式 (默认)。x写模式，新建一个文件，如果该文件已存在则会报错。b二进制模式。+打开一个文件进行更新(可读可写)。U通用换行模式(不推...

原创 python之全局变量与局部变量

全局变量和局部变量的区别在于作用域，全局变量在整个py文件中声明，全局范围内可以使用；局部变量是在某个函数内部声明的，只能在函数内部使用，如果超出使用范围(函数外部)，则会报错。 1 #!/usr/bin/python3 2 # -*- coding: utf-8 -*- 3 # @Time :2018/11/28 9:25 4 # @Author :yosef 5 # ...

原创 python之函数(二)

上一篇中我们在函数体中的写的都是打印语句，用print来输出打印结果。但是在实际使用的时候，我们并不需要将结果输出在控制台上。这时候该如何解决呢？1. return返回值。我们可以将函数的结果通过return返回出来。Let's have a try! 1 #!/usr/bin/python3 2 # -*- coding: utf-8 -*- 3 # @Time :2018...