本帖最后由 森林一木 于 2011-5-4 11:08 编辑最近在新手上路板块中看到了很多关于测试培训的帖子。在这里我想谈谈看看自己的看法，希望对想进入软件测试行业的朋友有点帮助，当然，不妥之处尽请指教！软件测试这个行业的前景这里不说了，有人说好，有人说不好。说好的，是那些比较“牛”的人，一个月拿个上万、过万的工资，当然说好！说不好的呢，是那些觉得到处都是“老虎”，无法找到前进方向、技术不咋地，待遇一般般的。所以，个人的技术能力与薪资待遇决定了你的看法。对于初学者，或者想转行的朋友，可能就需要考虑清.

看到一些帖子写到测试员出来乍到的迷茫，有的工作清闲，无事可做，想在闲暇学点东西又有心无力，还会有浮躁的心情，抑或是对工资不满，从而对工作失去兴趣。追根溯源，其实找到原因并不难，工作清闲可能是因为公司的体制不够完善，但这并不代表咱们无事可做，51的邹老师告诉我们，要在工作中活的有尊严，就要认认真真把简单的事做的完美，如果最简单的事还会不时的出错，那即使有很多很杂很充实的工作，我们又如何保证把它做好？当我们真正把这些简单的工作做的很完美，我们会发现，还是有很多东西要去充实的，至于.

1.Rational AppScan Enterprise Edition 7.7.654安装程序下载http://bbs.51testing.com/thread-137577-1-1.html2.安全性测试方法http://bbs.51testing.com/thread-63812-1-1.html3.系统安全性测试总结http://bbs.51testing.com/thread-120076-1-1.html4.入侵的艺术（安全测试）http://bbs.51testing.com/thread-71327-1-1.html5.使用APPSCAN进行安全性检测总结http://bbs.51testing.com/thread-85970-1-1.html6.安全技术培训资料---安全标准http://bbs.51testing.com/thread-122993-1-1.html7.分享.

现在很多新手都问，做测试工程师怎么入手啊，需要哪些技术啊。。。那么我么现在就说说要做个软件测试工程师，需要了解的方方面面，也可以说是一个职业要求汇总吧。一、基本常识类1． 计算机基础知识 　2． 计算机网络基础知识 　3． 软件测试基本知识（软件质量，软件质量管理基础知识，软件测试概念，软件测试标准，软件测试技术及方法，软件测试项目管理） 　　4． 软件开发基本知识（软件工程知识，理解软件开发方法及过程）二、技术类1． 程序语言 　　C/C++，VB，VC，Java，.net，ASP，Javascrīpt.

如何学习QTP成为QTP高手必经的四个过程http://bbs.51testing.com/thread-174742-1-1.htmlQTP系列经典讲座http://bbs.51testing.com/thread-170665-1-3.htmlQTP学习历程--从工具使用到框架思想http://bbs.51testing.com/viewthread.php?tid=131398&highlight=QTPQTP学习笔记http://bbs.51testing.com/viewthread.php?tid=98709&highlight=QTPhttp://bbs.51testing.com/viewthread.php?tid=101786&highlight=QTPQTP学习与实践经验总结http://bbs.51testing.com/viewthread.php?tid=104820&highlight=QTP循序渐.

内容：软件测试停止标准.pdf软件测试活动.pdf软件测试活动规范.pdf软件单元测试工作指南.pdf软件集成测试工作指南.pdf软件缺陷分类标准.pdf软件缺陷管理指南.pdf软件系统测试工作指南.pdf软件验收测试工作程序.pdf使用用例场景设计测试用例.pdf测试总体流程图.gif集成系统验收测试流程图.gif设计和编码阶段测试流程图.gif需求阶段测试流程图.gif[ 本帖最后由 zuojian26 于 2008-12-29 14:28 编辑 ]

一、网络安全的重要性1、信息具有保密性在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。例如：在竞争激烈的市场经济驱动下，每个企业对于原料配额、生产技术、经营决策等信息，在特定的地点和业务范围内都具有保密的要求，一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失。2、信息需要共享经济社会的发展要求各用户之间的通信和资源共享，需要将一批计算机连成网络，这样就隐含着很大的风险，.

木马端口封杀程序

转 自http://cs.phontol.com/20081017_330516.html1. 不登录系统，直接输入登录后的页面的url是否可以访问2. 不登录系统，直接输入下载文件的url是否可以下载，如输入http://url/download?name=file是否可以下载文件file3. 退出登录后按后退按钮能否访问之前的页面4. ID/密码验证方式中能否使用简单密码。如密码标准为6位以上，字母和数字混合，不能包含ID，连续的字母或数字不能超过n位5. 重要信息（如密码，身份证号码，信用卡号等）在输入或查询时是否用明文显示；在浏览器地址栏里输入命令javascrīpt:alert(dou.

请问版主yuanyongjie,你用过AppScan，请问你是否对出现的各类问题作过总结？详细地说：严重的红色等级的问题例如：Blind SQL injection, HTTP Referer Header SQL Injection, Http User-Agent Header SQL Injection, Login Page SQL Injection，Login Page SQL Injection，Login Error messages Credential Enumeration等问题产生的根源以及这些问题的有效的解决办法是什么？比如SQL盲注入和SQL注入是在传递参数过程中没有对输入框做严格的检验，那末HTTP Referer Header SQL Injection, Http User-Agent Header SQL Injection是怎样.

编者按：在本次研讨会召开的同时，中国国家信息安全测评认证中心已经在着手准备接受相关评估的申请。在此，本报特将其评估准则摘录刊出，供读者参考。一、适用范围本标准适用于:● 评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；● 信息安全服务的需方对服务提供方的选择依据；● 国家主管部门对评估对象进行管理和检查的技术规范。另外，也可以为提供信息安全服务的组织改进自身能力提供指导。二、定义1. 信息安全服务信息安全服务是指信息安全工程的设计、实施、测试、运行.

SQL注入是防止数据库攻击的一个有效策略。攻击者将注入一个SQL语句到另外一个语句中，这个通常会损坏你的数据库。有数据库接口的Web站点通常在SQL注入的时候容易受到攻击，因为它们是基于动态的SQL；下面是一个简单的例子：在一个ASP页面中会请求用户输入名字和密码，然后将下面的字符串发送到数据库中：SELECT FROM users WHERE username =’whatever’ AND password = ’mypassword’这看起来很安全，实际上不是，一个用户可能会这样输入他的名字：’ OR 1>0 –当把这个输入到SQL语句中的时候，结果可能会象这样.

写这篇日记之前想说几句话，就是论坛的头衔。今天我在坛里发贴问一个很简单的问题，但是我没有接触过QTP。可能对哪些会的人来说，我问的问题有点小白，所以有位朋友留言就说了四个字“高级站友”，我第一反应就是去看头像下面的头衔，“高级站友”。不知道什么时候升级了，原来哪位朋友是想说“都高级站友了，竟然还不知道这么简单的问题”？呵呵，想解释一下，我也是初学者呢，对测试学习快一年了，但是真正实践才三个月，所以这样的问题不懂是很正常的事吧？再说了，坛内头衔不过是发贴数目的升级，和个人技术并不成正比的，所以还.

写到自己博客上了：http://www.bzcyer.com/view.asp?id=72这里也贴一份，虽然没多少实际的用途，最多就做下钓鱼，1、可以插入回车、包括段末结尾符和换行符的两种、即char（10）和char（13）、tab空格2.转码原始的代码是：刚那没转码的：，试下一样出问题，看来这里转不转码都会出问题。

视频信息：名称：安全中国的Delphi软件编程班VIP大小：未知（共51课）说明：基础部分：Delphi面向对象的编程方法· 字符串列表及应用Delphi图形图像编程·文件管理异常处理与程序调试数据库部分：Paradox 数据库数据访问部件的应用及编程·数据浏览部件的诮用及编程· SQL 编程客户服务器应用开发高级部分：剪贴板和动态数据交换·对象链接与嵌入·Delphi拖放编程·动态链接库编程·Delphi自定义部件开发开发Delphi对象式数据管理功能地址：第1-3课http://download.anqn.com/.

自己在学习过程中总结的一些东西，在这发出来，希望对看到的人能有所帮助吧！猜解表名：and exists (select * from 表名)猜解列名：and exists (select 字段 from 表名)UNION法：联合查询：select name,password,id from user union select user,pwd,uid from爆指定表名内容：and 1=1 union select 1,2,3,4,5 from 表名ASCII逐字解码法：1、猜解列长度猜解语句：and (select top 1 len(列名)from 表名)>Nand (select top 1 len(列名)from 表名)=N其中N是数字，变换这个N的值猜解列长度，例如：and (se.

一、什么是Cookies？Cookies是数据包，可以让网页具有记忆功能，在某台电脑上记忆一定的信息。Cookies的工作原理是，第一次由服务器端写入到客户端的系统中。以后每次访问这个网页，都是先由客户端将Cookies发送到服务器端，再由服务器端进行判断，然后再产生HTML代码返回给客户端。通过这个原理服务器就可以根据不同用户产生不同cookies文件，这样当该用户再次访问同一个站点时就可以根据不同的cookies文件返回不同的页面信息了。　　二、如何防范Cookies　　Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的，当.

非法输入 Unvalidated Input　　在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查，非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。　　失效的访问控制　Broken Access Control　　大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。　　失效的账户和线程管理　Broken Authentication and Session Management　　有良好的访问控制并不意味着万事大吉，企业还应该保护用户的密码、.

[学Solaris时,整理的]用户控制登录帐户 GID 用法root 0 几乎没有任何限制。可覆盖所有其他登录、保护和权限。root 帐户具有访问整个系统的权限。应该非常谨慎地保护root 登录口令。root 帐户（即超级用户）有权使用大多数Solaris 命令。daemon 1 控制后台处理。bin 2 有权使用部分Solaris 命令。sys 3 有权访问许多系统文件。adm 4 有权访问某些管理文件。Lp 71 有权访问打印机的对象数据文件和假脱机数据文件。uucp 5 有权访问UUCP（UNIX 对UNIX 复制程序）的对象数据文件和假脱机数据文件。nuucp 9 供远程系统.

这两天hi群里在讨论关于csrf实现条件的问题，茄子指出了在IE环境下，csrf只是针对session cookie有效，而本地保存的stored cookie在变成当前IE的session cookie前，跨域提交是会被IE阻断的。通俗来讲就是如果浏览器进程中没有缓存过第三方站点，没访问过，那么使用img/ iframe 标签等跨域访问第三方站点是会被阻断发送cookie的。 这时候的CSRF就会仅仅只是get或者post请求，而不会发送cookie，那么很多需要 验证的提交都会失败。实际上这里是浏览器的一个cookie安全机制，不光是img 、 iframe等标签，直接 跨域 post或者 get都可.