安全性测试

测试之道：从新手到专家实战（四）目录缺陷管理与测试文档缺陷生命周期管理1、缺陷生命周期概述标准缺陷状态流转图2、缺陷优先级与严重程度严重程度分级（Severity）

【Web安全】CRLF注入攻击深度解析：原理、场景与安全测试防御指南在Web安全领域，XSS、SQL注入等漏洞往往是安全测试的重点，但CRLF注入作为一种利用特殊字符实现攻击的漏洞，常因隐蔽性强、利用场景多样而被忽视。事实上，CRLF注入可通过篡改HTTP响应、伪造日志记录、绕过安全防护等方式，对系统的机密性、完整性和可用性造成严重威胁。

AI 暗战：回声室攻击 —— 解锁大模型安全防御的隐秘战场回声室攻击是一种针对大语言模型的隐蔽式对抗攻击手段，其核心逻辑是通过多轮对话的渐进式引导，将模型的响应逐步导向有害内容（如违法指导、危险操作等），同时全程规避敏感词检测和单次对话风险评估。这种攻击如同“温水煮青蛙”，每一轮交互看似合法无害，却通过上下文的累积与自我强化，最终让模型输出违背安全准则的信息。

信息搜集工具篇、rustscan💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢💢

卓码软件测评

软件测试:如何利用Burp Suite进行高效WEB安全测试Burp Suite 被广泛视为 Web 应用安全测试领域的行业标准工具集。要发挥其最大效能，远非简单启动扫描即可，而是依赖于测试者对其模块化功能的深入理解、有机组合及策略性运用。一次高效的测试流程，始于精细的环境配置与清晰的测试逻辑。

卓码软件测评

【网站测试:CORS配置错误引发的安全风险及测试】跨域资源共享（CORS）作为一种现代浏览器普遍采用的访问控制机制，其配置不当可能显著扩大Web应用的受攻击面，引入一系列严重的安全隐患。尽管CORS策略的本意是在保障安全的前提下实现跨域数据交互，但错误配置往往会导致敏感信息泄露甚至身份认证机制被绕过。

成成成成成成果

电商支付异常测试全攻略在电商平台的整个交易链路中，订单支付流程如同 “咽喉”，直接关系到用户交易的成败和平台的资金安全。据行业数据显示，支付环节的失败率每降低 1%，可带动平台整体转化率提升 3%-5%。因此，对支付流程进行全面、细致的测试，排查潜在异常并制定应对策略，是软件测试人员的核心工作之一。本文将从异常场景梳理、测试方法详解两个维度展开，结合实际案例与可视化图表，为测试工作提供实操指南。

【BurpSuite 插件开发】实战篇（六）实现自定义请求头的修改与请求测试当你在测试一个网站的权限控制时，可能需要反复修改请求中的Cookie、User-Agent等信息，观察不同身份下服务器的响应。如果每次都手动修改，不仅效率低下，还容易出错。而我们今天要实现插件的部分功能，能帮你自动完成这些重复工作。

卓码软件测评

软件测试测评公司关于HTTP安全头配置与测试？浏览器和服务器之间那几行看不见的HTTP安全头配置，往往是抵御网络攻击的关键防线。作为软件测试测评公司，我们发现超过六成的高危漏洞源于安全头缺失或误配。别小看这些响应头，它们能直接掐断跨站脚本、点击劫持、数据嗅探的攻击路径。

网络端口号全景解析：从基础服务到特殊应用的完整指南在TCP/IP网络体系中，端口号是识别应用程序的数字标识，如同通信链路中的"门牌号"。互联网名称与数字地址分配机构（ICANN）为TCP和UDP协议预留了从1到65535的端口范围，不同端口对应不同的网络服务或应用。以下是对各类端口的全面梳理，涵盖从基础服务到特殊场景的所有主要端口信息。

cacti的RCE目录1 环境搭建1.1 linux:1.1.1 在ubuntu上拉取环境（docker）1.1.2 docker环境部署

【Web安全】逻辑漏洞之URL跳转漏洞：原理、场景与防御往期文章【Web安全】一次性搞懂 ReDOS 漏洞原理/检测/防御【Web安全】一次性搞懂 XSS 漏洞原理/检测/防御

齐鲁物联网测试中心王工

信息安全性测试：渗透测试、漏洞扫描与代码审计全解析信息安全性测试是依据国家标准、行业标准、地方标准或相关技术规范，依照规范流程对信息系统的安全保障能力开展科学公正的综合测试评估，旨在分析系统当前安全运行状况、排查潜在安全问题，并提供针对性安全改进建议，从而最大限度降低系统安全风险。

测试者家园

如何进行文件上传功能的安全性测试？文件上传功能作为现代 Web 应用的“标配”接口，在用户体验层面起着关键作用。然而，它也同时是攻击者渗透系统最常用、最隐蔽、最致命的入口之一。据 OWASP 和多家安全厂商统计，文件上传漏洞是渗透攻击中最常见的突破口之一，典型攻击包括：

安全测试学习学习目标：burpsuite使用、常见状态码、前后端的bug确认、cookie学习1、为什么要学习常见的状态码可以通过状态码快速判断出是前端还是后端bug

从 0 到 1 玩转 XSS - haozi 靶场：环境搭建 + 全关卡漏洞解析在网页安全的战场里，跨站脚本攻击（XSS）就像隐藏在代码海洋中的暗礁 —— 它可能藏在一个看似无害的输入框里，潜伏在一段被精心构造的评论中，甚至伪装成一条正常的 URL。

Spring Boot 整合 Shiro 实现单用户与多用户认证授权指南Apache Shiro 是一个强大且易用的 Java 安全框架，它提供了身份认证、授权、会话管理和加密等功能。相比其他安全框架，Shiro具有以下优势：

初探 Web 环境下的 LLM 安全：攻击原理与风险边界在数字化转型加速的今天，大型语言模型（LLM）已成为企业提升服务效率的核心工具 —— 从智能客服实时响应客户需求，到内容平台自动生成营销文案，LLM 的深度集成正重塑在线业务形态。然而，这种 “AI 赋能” 的背后潜藏着隐蔽的安全陷阱：当 LLM 与企业内部系统、第三方 API 深度绑定，其对数据和功能的访问权限可能被攻击者利用，成为突破防线的 “隐形通道”。

XSStrike 进行 XSS 漏洞测试XSStrike 是一个功能强大的 XSS 漏洞测试工具，专为检测、验证和利用反射型、存储型、DOM型 XSS 漏洞而设计，适合配合手工测试，也可用于自动化发现。

OSCP - Proving Grounds - DC - 1主要知识点具体步骤nmap起手,80端口比较有意思，安装了 Drupal 7不过目前不知道具体的小版本信息，不过我们可以广泛搜索并尝试一下可能的exp ，比如GitHub - pimps/CVE-2018-7600: Exploit for Drupal 7 <= 7.57 CVE-2018-7600