0x01产品简介Jenkins是一个开源的自动化服务器软件，用于构建、测试和部署软件项目。它提供了一种强大的方式来自动化软件开发和交付流程，以提高开发团队的效率和生产力。0x02漏洞概述漏洞成因命令行接口文件读取： Jenkins内置的命令行接口（CLI）存在一个特性，允许在命令参数中用@字符后跟文件路径来替换为文件内容。这导致攻击者能够读取Jenkins控制器文件系统上的任意文件。权限绕过： 拥有Overall/Read权限的攻击者可以读取完整文件，而没有该权限的攻击者也可以读取部分文件内容。漏洞影响任意文件读取：拥有Overall/Read权限的攻击者可以读取整个文件。(默认情况下）没有O

第一次测试准备工作在测试计划下添加jp@gc-SteppingThreadGroup阶梯线程组配置如下：该测试一共启动500个线程，每30秒增加10个，全部线程启动后，保持2分钟，然后每1秒停止5个线程。添加HTTP请求添加查看结果树、jp@gc-ResponseTimesOverTime、jp@gc-TransactionsperSecond、聚合报告。然后启动线程。查看报告 jp@gc-ResponseTimesOverTimejp@gc-TransactionsperSecond聚合报告从聚合报告来看，一共有样本45W个，平均值1129，可见平均请求为1秒多，最大值为42105，异常为0

受限于单台机器的配置问题，我们在单台机器上达不到一个很高的压测并发数，那这个时候就需要引入分布式压测分布式压测原理：一般通过局域网把不同测试计算机链接到一起，达到测试共享、分散操作、集中管理的目的。选择一台作为调度机（MASTER）,其他机器作为执行机（SLAVE）执行完成执行机会把所有数据上传汇总到调度机LOCUST首先要确保调度机和执行机上都已经有了测试脚本第二、cmd启动调度机locust-f--master第三、cmd启动执行机locust-f--worker--master-host=xxx.xxx.x.x第四、在网页运行http://localhost:8089/，locust默认

【抄袭个笔记】1、编译步骤https://blog.csdn.net/weixin_49071468/article/details/133170711?spm=1001.2014.3001.55022、iwlistiwlistwlan0scan[ning]               列出WiFi扫描结果iwlistwlan0freq[uency]/channel      列出当前地区可用频率iwlistwlan0rate/bit[rate]            列出支持的连接速度iwlistwlan0keys/enc[ryption]         列出所支持的加密密钥大小iwlis

今天简单介绍Jemeter的入门，Jmeter的安装这边就跳过，直接讲述如何使用JMETER，如何运用Jmeter进行测试。Jmeter实现造10个账户、单元数据，之后大数据量批量造数据以此类推。1．下载jmeter软件2．安装jmeter软件3．运行\bin\jmeter.bat批处理文件4．选择脚本文件5.  运用Jmeter造10个产品数据Jemeter测试大致分为三步：在线程组中定义线程数、产生线程发生的时间和测试循环次数。在http请求中定义服务器、端口、协议和方法、请求路径等。表格监听器负责收集和显示结果。1、在安装目录下有一个Bin\Jmeter.bat双击打开打开之后是一个这样

1.接口关联在JMeter中实现接口关联主要是通过正则表达式提取器或JSON提取器来提取上一个请求的响应值，并将其作为参数传递给下一个接口。以下是使用正则表达式提取器实现接口关联的步骤：添加线程组和请求：在JMeter中创建一个线程组，并在线程组中添加一个HTTP请求，用于模拟用户访问需要接口关联的接口。添加正则表达式提取器：在请求下方添加一个正则表达式提取器。正则表达式提取器的作用是从上一个请求的响应中匹配指定的模式，并提取匹配的值。配置正则表达式提取器：在正则表达式提取器中，你需要指定要匹配的模式和提取的值。通常，你可以使用断言结果或响应体中的某个字段作为匹配模式。引用提取的值：在需要使用

1.前言思考：为什么不用postman，用postman的话就得导入csv文件/json文件如果不想导入文件，postman是实现不了，因为postman每次只会运行一次2.jmeter函数助手实现参数化（1）新建“线程组”--新建“http请求”--新建“察看结果树”（2）打开函数助手->选择_counter（3）配置函数助手（4）修改http请求的参数（5）如果你想要创建9条数据，需要在线程组里设置循环次数为93.执行结果执行9个http请求，并且deviceId自增脚本已上传到资源中，如有需要可自行下载，如有疑问，可在评论区下留言 

前阶段做了一个小调查，发现软件测试行业做功能测试和接口测试的人相对比较多。在测试工作中，有高手，自然也会有小白，但有一点我们无法否认，就是每一个高手都是从小白开始的，所以今天我们就来谈谈一大部分人在做的接口测试，小白变高手也许你只差这一次深入了解！接口测试的目的已经是老生常谈了，我想不用我说，凡是说到接口总会被问及这个话题，的确，没有目标就没有评定标准，知道其目的也是至关重要的。接口测试的目的通过英文翻译呈现如下：API测试是一种作为集成测试的一部分，通过直接控制被测应用的接口（API）来确定是否在功能、可靠性、性能和安全方面达到预期的软件测试活动。由于API都没有GUI界面，API测试都是在

前景：uniapp开发小程序项目时，对于iconfont多色图标无法直接支持；若将多色icon下载引入项目则必须关注包体，若将图标放在oss或者哪里管理，加载又是一个问题，因此大多采用iconfont-tools工具，但是iconfont-tools使用需要下载iconfont-tools工程进行编译转换，过于繁琐，因此我在iconfont-tools工具的基础上进行了改造，yarn安装，配置，项目正常启动或打包直接执行编译。基于iconfont-tools的改造工具：iconfont-tools-cli安装yarnaddiconfont-tools-cli配置/使用1、在项目根目录创建配置文

一、软件背景Jenkins是一个流行的开源持续集成（CI）和持续交付（CD）工具，它可以帮助团队自动化软件开发中的各种任务和流程，从而提高效率和质量。二、漏洞简述JenkinsCLI是Jenkins内置的命令行页面。Jenkins受影响版本中使用args4j库解析CLI命令参数，该库默认将参数中@字符后的文件路径替换为文件内容，攻击者可利用该特性使用Jenkins控制器进程的默认字符编码读取Jenkins控制器文件系统上的任意文件(如加密密钥的二进制文件)，并结合ResourceRootURL、Remembermecookie、存储型XSS或CSRF等在Jenkins控制器中执行任意代码。Je