心一-CSDN博客

原创任意文件上传漏洞的POC编写

任意文件上传漏洞 POC 摘要：漏洞详情：存在任意文件上传漏洞，攻击者可通过上传 .php;.jpg 文件绕过扩展名限制（目标接口：POST /upload/file/image）。完整 Python POC 脚本包含文件上传、执行验证和结果判断功能，上传包含 phpinfo() 的 PHP 文件后自动检测执行结果。漏洞需 Bearer Token 认证，提供可直接使用的测试文件模板和 Markdown 漏洞报告格式。修复建议包括严格校验文件类型、重命名存储及部署安全策略。（150字）

2025-05-29 21:51:46 214

原创 POC（Proof of Concept，漏洞验证脚本）基本概率

POC 是为说明某个漏洞真实存在而编写的最小化、可运行的验证脚本或手动操作方法。明确的漏洞入口/参数/调用链可复现的请求/响应信息编程脚本或手动步骤有效载荷（Payload）输出结果（成功的证据）

2025-05-29 21:31:14 172

原创安全测试如何规划每日工作安排

太好了，既然你专注于，下面是专门为安全测试工程师定制的。

2025-05-29 21:13:00 196

原创测试工程师如何提高工作效率

作为一名测试工程师，安排好每天的工作、合理把控进度是提高工作效率和质量的关键：涵盖。

2025-05-29 19:54:28 292

原创 Burp Suite插件列表中每个扩展的详细功能介绍

长期未更新，建议在Burp 2023+版本测试兼容性。PortSwigger官方插件（标注作者含"PortSwigger"）通常维护更活跃。

2025-05-29 09:51:56 539

原创查看服务器上开放的端口

查看服务器上开放的端口（适用于 Linux 和 Windows 服务器）：命令（经典工具）：：TCP 端口：UDP 端口：仅显示监听中的端口：以数字形式显示端口（不解析服务名）命令（更现代，推荐）：参数同，速度更快。命令（查看进程占用的端口）：

2025-05-28 19:50:11 190

原创通用业务安全 Checklist 文档

本checklist应根据OWASP Top 10年度报告及企业实际业务风险每年更新。

2025-05-28 10:16:13 296

原创基础的 Linux 命令整理

掌握这些命令可覆盖日常大部分 Linux 操作场景，建议结合。

2025-05-28 09:52:48 361

原创如何在本地部署DeepSeek大模型

通过以上步骤，您应能成功在本地部署并运行DeepSeek-R1模型。如遇其他问题，建议查阅模型官方文档或社区支持。DeepSeek-R1模型通常托管在Hugging Face Hub或官方仓库。

2025-05-28 09:24:23 265

原创如何让 Nginx 获取客户端真实 IP

或 TCP 代理协议（Proxy Protocol）传递客户端真实 IP。确保 ELB 的安全组允许流量转发到后端 Nginx 实例的端口（如 80/443）。如果流量经过多层代理（如 CDN + ELB），需递归处理。ELB 在转发请求时，会通过 HTTP 头。，ELB 默认会在 HTTP 头中插入。，需在 NLB 和 Nginx 中启用。，直接配置 Nginx 解析该头即可。在 Nginx 的配置文件（如。访问服务后，查看日志文件（如。是否为客户端真实 IP。

2025-05-23 14:58:34 801

原创 0-1搭建微信小程序自动化测试框架

在扩展方法结合智能等待增强稳定性"""滑动到指定元素"""

2025-05-23 14:09:26 246

原创解决 pip install minium 安装错误

安装minium时出现错误可能是由于网络问题或依赖冲突导致的（如图）

2025-05-23 13:41:53 371

原创浏览器禁用 CORS，规避接口CORS报错（仅限调试）

确保浏览器完全退出（右键 Dock 图标 → 退出）。禁用安全策略会暴露隐私风险，通过 Spotlight（

2025-05-22 14:24:35 233

原创 Burp Suite如何进行性能测试--Turbo

【代码】Burp Suite如何进行性能测试--Turbo。

2025-05-22 10:00:12 503

原创安全漏洞之Host注入

Host注入的核心风险是服务器过度信任客户端可控的输入。通过白名单验证、固定域名配置和输入过滤，可有效防御此类攻击。服务器依赖该字段来识别用户请求的网站（尤其在多域名托管的环境中）。头用于指定客户端请求的目标域名和端口（例如。头字段进行攻击的安全漏洞。头进行严格验证时，攻击者可伪造。是一种利用HTTP请求中的。

2025-05-21 17:59:50 242

原创 Mac运行HBuilderX插件下载失败且权限不足的问题

完成以上步骤后，通常可解决插件下载权限问题。如果仍报错，请检查网络环境或联系HBuilderX官方支持。

2025-05-20 16:11:42 372

原创自动化测试页面元素获取方式的方法及总结

通过科学的方法论和工程化实践，可降低80%以上的元素定位维护成本。：将元素定位与业务逻辑分离。：避免因加载延迟导致的失败。：应对偶发性定位失败。

2025-05-20 11:13:58 569

原创自动化测试中动态元素和静态元素定位方式

在自动化测试中，动态元素和静态元素是两种常见的元素类型，它们的区别主要体现在。

2025-05-20 08:48:11 799

原创软件测试面试--接口（进阶版）

接口测试是验证系统组件间接口通信正确性的过程，核心目标是确保接口功能、性能、安全性和数据一致性符合预期。执行步骤：需求分析：明确接口功能、输入输出参数、业务逻辑及依赖关系。测试设计编写测试用例（正常场景、异常场景、边界值）。工具选择（Postman、JMeter、Python+Requests等）。环境准备：搭建测试环境（服务部署、数据库配置、Mock服务等）。执行测试：发送请求，验证响应状态码、数据格式、业务逻辑、性能指标。结果分析：记录缺陷并跟踪修复，生成测试报告。

2025-05-19 09:55:05 265

原创软件测试常见面试题总结（基础版）

提前练习经典问题（如测试一个水杯、搜索框、购物车），并模拟白板编写用例，能显著提升通过率！在软件测试相关的面试中,常见面试题总结（基础版）

2025-05-19 09:39:49 298

原创 pytest 装饰器的常见用法总结

对同一逻辑使用多组输入输出进行测试，避免重复代码。：标记已知但未修复的缺陷用例，避免干扰测试结果统计。：分类测试（如冒烟测试、性能测试），便于选择性运行。：加速测试执行（非装饰器，通过命令行控制）。：复用测试资源（如数据库连接、临时文件）。：临时跳过已知问题或环境不满足的用例。：为测试类或模块级用例统一应用夹具。更多的期待小伙伴们的补充，一起学习。：忽略特定警告或将其转为错误。：验证随机性逻辑或偶现缺陷。：防止用例卡死或执行过久。

2025-05-17 12:10:19 460

原创文件上传之利用burp进行批量文件后缀验证

文件上传，burp

2025-05-17 11:23:05 864

原创 MacBook锂电池保养及注意事项

MacBook 锂电池的保养关键在于避免极端状态和合理使用。日常使用中，建议保持电量在20%-80%之间，避免深度放电，并启用「优化电池充电」功能以减少满电状态时间。长期插电使用时，应偶尔让电池放电至50%左右，并每月至少使用电池供电一次。避免在极端温度下使用或存放设备，理想温度为10°C-35°C。长期存放时，保留50%电量并每6个月充电一次。使用原装或认证充电器，减少高负荷任务，关闭不必要的后台程序以降低发热。定期检查电池健康，当循环次数超过1000次或最大容量低于80%时考虑更换电池。通过合理使用和系

2025-05-17 10:53:37 349

原创 PyCharm 常用快捷键

整理，按功能分类，适用于不同操作系统（Windows/Linux 使用。掌握这些快捷键可大幅提升编码效率，建议逐步练习并形成肌肉记忆！（若与系统输入法冲突，可在设置中修改）

2025-05-16 16:46:25 179

原创 Python中的`if-else` 和 `case`条件控制的使用场景跟区别

在编程中，if-else和case（如其他语言中的，或 Python 的match-case）是两种不同的条件控制结构，它们有不同的语法和适用场景。if-else。

2025-05-15 18:40:20 863

原创 pytest 框架常用的断言方法

在pytest框架中，断言是测试的核心部分。与传统的unittest不同，pytest直接使用Python的语句，并结合智能的错误信息提示，简化了断言的使用。以下是常用的断言方法及其示例：直接用语句进行条件判断：当断言失败时，pytest会输出具体的值差异（如）。使用捕获并验证代码是否抛出预期异常：3. 浮点数近似比较使用处理浮点数精度问题：4. 集合与容器断言验证列表、字典等容器的内容：5. 类型与身份断言验证对象类型或身份：6. 警告断言使用检查代码是否触发警告：7. 文件

2025-05-15 17:17:39 174

原创解决Python增加显式等待元素内容为空原因

【代码】解决Python增加显式等待元素内容为空原因。

2025-05-15 15:00:39 862

原创 Python自动化中常用的断言方式

在自动化测试中，断言（Assertion）是验证代码行为是否符合预期的核心手段。断言是自动化测试的灵魂，核心目标是。

2025-05-15 14:49:41 723

原创网络安全之网络设备配置

网络安全的核心之一是正确配置网络设备（如路由器、交换机、防火墙）并实施严格的安全策略。实际部署时需结合网络拓扑和合规要求（如ISO 27001、NIST SP 800-53）。

2025-05-11 09:45:42 843

原创网络安全之网络协议与架构

网络安全的基础网络知识涉及多个核心协议、架构模型以及它们之间的交互方式。实际防护需结合协议特性（如部署DNSSEC、启用HTTPS）和分层防御策略（防火墙+IDS+加密）。理解网络协议和架构是网络安全的基础。

2025-05-11 09:28:38 772

原创网络安全整体要求

网络安全是一个多领域交叉的行业，涵盖技术、管理、法律等多个层面。以下是网络安全从业者需要掌握的核心职业技能点，分为。网络安全领域更新极快，建议通过。

2025-05-11 09:25:40 628

原创一文读懂Python+Pytest+Allure+Jenkins+Gitee自动化测试框架，手把手教你搭建

通过以上完整配置，您可以建立一个功能完善的企业级自动化测试框架。

2025-05-11 09:00:45 929

原创 Python自动化测试基础知识

Python自动化测试是通过编写脚本和利用工具来执行测试用例，以提高效率和减少重复劳动的过程。它的优势包括高效、可重复、准确、覆盖广泛和易于集成。自动化测试适用于回归测试、性能测试、数据驱动测试、跨平台兼容性测试等场景。Python生态提供了多种测试框架和库，如unittest、pytest、Selenium等，以及辅助工具如pytest-html、Allure等。实践中，应遵循测试金字塔原则，设计原则包括可维护性、稳定性、独立性、可读性和快速反馈。学习路径建议从基础语法和框架学习开始，逐步进阶到UI和AP

2025-05-11 08:54:37 631

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

漏扫压缩工具wvs10.5.zip

pytest中文文档.pdf.zip

phantomjs-2.1.1-macosx.zip

测试报告模板，记录测试结果，评估质量状态

空空如也