免责声明
学习视频来自 B 站up主泷羽sec,如涉及侵权马上删除文章。
笔记的只是方便各位师傅学习知识,以下代码、网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。
泷羽sec官网:https://longyusec.com/
泷羽sec B站地址:https://space.bilibili.com/350329294
泷羽sec帮会:https://wiki.freebuf.com/front/societyFront?invitation_code=5a2005d9&society_id=239&source_data=2
项目工程管理
temporary project(临时工程)
定义:
临时工程指的是为了完成特定任务或解决短期需求而创建的工程项目,这些项目通常不具有长期性,一旦目标达成或需求满足,项目就会结束。
特点:
- 时效性:临时工程通常具有明确的时间限制,需要在规定的时间内完成。
- 目的性:每个临时工程都有明确的目标或任务,如解决特定技术难题、进行短期市场调研等。
- 资源有限:由于项目周期短,所投入的人力、物力等资源相对有限。
- 灵活性:临时工程在规划和执行过程中具有较高的灵活性,可以根据实际情况进行调整。
管理要点:
- 明确目标:在项目启动前,要清晰定义项目的目标、范围和时间限制。
- 资源分配:合理调配资源,确保项目能够按时、按质完成。
- 风险管理:识别潜在风险,制定应对策略,降低项目失败的可能性。
- 沟通与协作:加强团队成员之间的沟通与协作,确保信息畅通无阻。
new project on disk(新建工程)
定义:
新建工程指的是在磁盘上创建一个全新的工程项目,用于开发新产品、新技术或实现新功能。
步骤:
- 需求分析:明确项目的需求、目标以及预期成果。
- 项目规划:制定项目计划,包括时间表、任务分配、资源需求等。
- 环境搭建:配置开发环境,包括安装必要的软件、工具以及依赖库。
- 代码编写:根据设计文档和需求进行代码编写。
- 测试与调试:对代码进行测试,确保功能正确且稳定。
- 文档撰写:编写项目文档,包括设计文档、用户手册等。
- 项目交付:将项目成果交付给客户或进行上线发布。
管理要点:
- 需求明确:在项目开始前,要确保需求清晰、完整。
- 计划合理:制定切实可行的项目计划,并定期进行进度跟踪。
- 团队协作:加强团队成员之间的沟通与协作,共同推进项目进展。
- 质量保障:重视代码质量,定期进行代码审查和测试。
open existing project(打开一个工程)
定义:
打开一个已存在的工程项目,继续上次未完成的工作。
步骤:
- 项目回顾:回顾项目的背景、目标、进度以及存在的问题。
- 环境配置:确保开发环境与上次一致,包括软件版本、依赖库等。
- 代码审查:查看上次的代码提交记录,了解项目进展。
- 任务分配:根据当前进度和团队成员的能力,分配后续任务。
- 继续开发:在原有基础上继续开发,确保功能完整且稳定。
- 测试与验证:对新增功能进行测试,确保功能正确且不影响原有功能。
管理要点:
- 环境一致:确保开发环境与上次一致,以避免因环境差异导致的问题。
- 任务衔接:明确上次未完成的任务和当前任务之间的关系,确保任务顺利衔接。
- 代码质量:在继续开发过程中,保持代码质量,避免引入新的问题。
- 进度跟踪:定期更新项目进度,确保项目按计划进行。
pause Automated tasks(是否停止自动化工程)
定义:
在项目管理过程中,根据需要决定是否暂停自动化任务。
考虑因素:
- 资源限制:当资源不足或优先级发生变化时,可能需要暂停部分自动化任务以释放资源。
- 系统稳定性:在发现自动化任务导致系统不稳定或影响其他功能时,需要暂停任务进行排查和修复。
- 维护需求:在进行系统维护或升级时,可能需要暂停自动化任务以避免干扰。
决策流程:
- 评估影响:分析暂停自动化任务对项目进度和稳定性的影响。
- 沟通协商:与团队成员、客户或相关利益方进行沟通,确保决策得到理解和支持。
- 制定计划:制定暂停和恢复自动化任务的计划,包括时间节点、任务分配等。
- 执行与监控:按照计划执行暂停操作,并持续监控系统状态,确保决策的有效性。
- 恢复任务:在条件允许的情况下,及时恢复自动化任务,确保项目顺利进行。
管理要点:
- 灵活决策:根据项目实际情况和需求,灵活决定是否暂停自动化任务。
- 充分沟通:确保决策过程透明、公正,与团队成员和相关利益方保持密切沟通。
- 风险控制:在暂停和恢复自动化任务时,要充分考虑潜在风险,并制定相应的应对策略。
Decoder(编码器)
功能概述: 对数据进行编码和解码操作,处理如URL编码、Base64编码等常见格式。
举例:
URL编码解码
假设在burpsuite中截获一个URL编码的字符串"%3Cscript%3Ealert (1)%3Fscript%3E"用Decoder解码获得"<script>alert (1)?script>"。这很容易就可以看出是一个跨站脚本攻击的恶意脚本。
但由于编解码的原理是特征比对,所以最好是选择知名度较高的在线编解码网站进行相关操作。这些网站的数据库容量庞大,进行编解码操作相对更顺畅。
例如MD5加密这种不可逆的加密,只能靠数据库记录用户每一次加密后生成的字符串,如果遇到同样的字符串进行解密,就可以将结果输出。
应用场景: 分析HTTP请求中的参数。如果请求参数是编码的,解码后查看是否存在恶意注入,如SQL主任或XSS攻击的内容。
Logger(日志记录)
功能概述:
BurpLogger模块主要用于记录通过BurpSuite代理的网络流量。它能够详细记录HTTP请求和响应的各种信息。
包括请求方法(如GET、POST等)、请求的URL、请求头(如User-Agent、Content-Type等)、请求体内容、响应状态码(如200、404等)、响应头和响应体等。
这些记录对于安全测试人员来说是非常宝贵的资源。能够帮助他们分析应用程序的行为、追踪潜在的安全漏洞以及重现测试过程。
Comparer(对比器)
Burp Comparer模块是一个强大的工具,用于比较两个数据块之间的差异。这些数据块可以是HTTP请求、HTTP响应、文件内容等。
它可以精确地找出两个数据块在字节级别或字符级别上的不同之处,包括新增的内容、删除的内容以及修改的内容。这有助于安全测试人员快速识别出可能导致安全漏洞应用程序功能变化的关键差异。
)
