沒一會(huì)，劉麗娜的男朋友陳冬也過來了,，大家都是老相識(shí)了?；ハ啻蛄苏泻糇聛砭蜏?zhǔn)備玩牌了,。

　　升級(jí)是國(guó)內(nèi)非常盛行的一種 4 人撲克牌游戲，可以選擇一副牌,、兩副牌進(jìn)行,。打一副牌時(shí)，也稱為“40 分“或“打百分“,；打兩副牌時(shí),，也稱為“80 分“。達(dá)到了相應(yīng)的分?jǐn)?shù)就可以升一級(jí)或者兩級(jí),。

　　從二開始打,，一直升級(jí)到A為止，也可以繼續(xù)下一圈升級(jí),，一直持續(xù),。兩兩分為對(duì)家，一家需要吃分,，另外一家不讓這邊吃分,。

　　如果分?jǐn)?shù)夠了就換另外一家來打,，五十k這三張牌是分牌，五是五分的,，其他的是十分,。

　　牌還分為主和副牌，每把開始前要叫主牌,，王也算是主,，并且是最大的主牌。整體類型主牌最大,，其他副牌一樣大,。

　　一般開始出牌的人出啥花色，其他的人得出一樣的花色,，如果沒有可以出主牌或者其他副牌,。規(guī)則大家都搞清楚一致了之后就開始了牌局。

　　李飛幾人下午就在劉麗娜家里吃著水果,，玩著升級(jí),，這一下午的時(shí)間也過的很快。等到下午吃飯的時(shí)候,，大家也懶得出去吃,，就決定在家里吃了火鍋。

　　一起去樓下超市買東西,，肉卷,，丸子，蔬菜,，超市也都有,。買完東西回去后幾人分別收拾，洗菜切菜,，準(zhǔn)備其他東西,，各司其職。很快就吃上了,。

　　吃完了飯,，大家?guī)椭粔K收拾了。人多還是快,，要是都走了讓劉麗娜一個(gè)人不知道得收拾到啥時(shí)候,。

　　雖然吃完了飯，但是離睡覺時(shí)間還早,。除了李飛稍微遠(yuǎn)點(diǎn),，其他三人都在這個(gè)小區(qū)住，于是大家決定再繼續(xù)玩一會(huì),。

　　李飛等到玩完后回到家,，已經(jīng)很晚了,，收拾收拾就準(zhǔn)備睡覺了。

　　周日的話沒有什么安排,，李飛準(zhǔn)備在宿舍學(xué)習(xí)一下,。最近每周末都一堆的事情，周末本來抽空學(xué)習(xí)相關(guān)的知識(shí)也沒太多的時(shí)間,。

　　李飛把準(zhǔn)備學(xué)習(xí)計(jì)劃給李彤說了之后,，李彤就表示很支持。畢竟誰看到自己對(duì)象想進(jìn)步都肯定支持么,。

　　所以兩人就約定,，以后周末一天約著一塊玩，一天李飛就自己學(xué)習(xí),，李彤也可以有自己時(shí)間,。

　　一方面可以提高自己，另一方面也給了對(duì)方一些空間,。

　　好久沒有學(xué)習(xí)了,，李飛這天又得先整理下自己的學(xué)習(xí)計(jì)劃了。目的還是實(shí)用為主吧,，最近項(xiàng)目組在做安全送檢的相關(guān)內(nèi)容，李飛最近的重點(diǎn)就是安全測(cè)試相關(guān)的了,，還剛好可以學(xué)以致用,。

　　安全測(cè)試涵蓋的面也比較多，李飛目前對(duì)于安全這方面算是小白級(jí)別的,，所以需要學(xué)習(xí)的東西就格外的多,。

　　最后思來想去，李飛決定從SQL注入開始學(xué)習(xí),。完了再看實(shí)際運(yùn)用中有啥需要的再抽空學(xué)習(xí),。

　　SQL注入攻擊是通過操作輸入來修改SQL語句，用以達(dá)到執(zhí)行代碼對(duì)WEB服務(wù)器進(jìn)行攻擊的方法,。簡(jiǎn)單的說就是在post/getweb表單,、輸入域名或頁面請(qǐng)求的查詢字符串中插入SQL命令，最終使web服務(wù)器執(zhí)行惡意命令的過程,。

　　在網(wǎng)上搜了一些相關(guān)的視頻,，一些簡(jiǎn)單的原理講解，李飛看了之后感覺也不太難,。就特別躍躍欲試的感覺,。

　　等到周一上班來了，李飛把學(xué)到的東西,，在項(xiàng)目的測(cè)試試了一下,，發(fā)現(xiàn)也沒啥反應(yīng),。

　　“難道是系統(tǒng)這方面防護(hù)做的比較好，所以沒測(cè)出來問題,?！崩铒w發(fā)出了這樣的疑問。

　　帶著自己的疑問準(zhǔn)備去請(qǐng)教下王興了,，“興哥,，sql注入這塊應(yīng)該怎么測(cè)，我咋感覺在網(wǎng)上看的測(cè)不出來啥問題,?！?p>　　“這個(gè)網(wǎng)上那種特別簡(jiǎn)單的注入方式一般都防護(hù)了，不會(huì)有啥問題,。咱們這邊一般需要進(jìn)行代碼的走讀,。

　　主要看咱們的傳參的方式，如果使用的是#,，就沒啥問題,。但是如果使用$傳參，就容易有sql注入的風(fēng)險(xiǎn)了,。這種的話就要進(jìn)一步檢查是否進(jìn)行了防護(hù),。”王興說道,。

　　“哦哦,，就說我測(cè)試環(huán)境看了下，感覺沒發(fā)現(xiàn)啥,?！?p>　　“嗯嗯，sql注入這個(gè)一般咱們都是進(jìn)行白盒測(cè)試方便點(diǎn),。當(dāng)然根據(jù)代碼找出頁面的具體使用點(diǎn)也可以進(jìn)行測(cè)試,。”

　　“好的,，我先看看,，白盒測(cè)試的話可能得后續(xù)這邊你多給我們講講了，java代碼大家都了解的不太多,?！?p>　　“好的，這塊還有安全日志,，廢棄接口需要看代碼的,，我完了會(huì)給大家舉例子讓大家看看怎么去讀代碼，咱們其實(shí)不需要了解太深的邏輯，大概能看明白一點(diǎn)就行了,?！?p>　　“好，完了咱們組織個(gè)會(huì)議大家一起學(xué)習(xí)下,?！?p>　　李飛經(jīng)過王興的講解，大概明白了一點(diǎn),，但是也不是特別清楚,，但是至少明白了，看到簡(jiǎn)單的介紹跟實(shí)際用的過程差距還是很大的,，還得更進(jìn)一步的學(xué)習(xí),。

　　很快這邊開會(huì)給說安全這邊有幾個(gè)簡(jiǎn)單的東西搞差不多了，可以開始接入測(cè)試了,。

　　最開始可以測(cè)試的是廢棄接口刪除,，還有安全審計(jì)日志的東西。安全的這些東西其實(shí)都得看開發(fā)做的策略,，才能制定對(duì)應(yīng)的測(cè)試策略,。

　　所以首先就是對(duì)應(yīng)的開發(fā)，拉著大家一起開會(huì)把相關(guān)的內(nèi)容講一下,，怎么去做的這些的相關(guān)內(nèi)容,。

　　先說廢棄接口刪除，這個(gè)其實(shí)就比較簡(jiǎn)單,，后端開發(fā)把系統(tǒng)所以的接口整理出來,，前端再看實(shí)際中有沒有調(diào)用相關(guān)的接口，根據(jù)排查的結(jié)果再看是否需要?jiǎng)h除,。

　　對(duì)應(yīng)的測(cè)試策略也就制定出來了，首先根據(jù)前端整理的功能點(diǎn),，測(cè)試這邊再排查一遍是否還有已經(jīng)廢棄的業(yè)務(wù),，整體業(yè)務(wù)廢棄，那對(duì)應(yīng)的接口也就需要?jiǎng)h除了,。

　　按照制定的策略,，李飛三人把開發(fā)整理出來的接口分了一下，按照王興給講的怎么去查代碼,。檢查對(duì)應(yīng)接口是否刪除,，對(duì)應(yīng)的服務(wù)層是不是還有其他調(diào)用，如果沒有的話,，也應(yīng)該對(duì)應(yīng)刪除,。

　　然后排查出來的業(yè)務(wù)上已經(jīng)不再使用的功能，跟大家討論確定一下，確實(shí)不需要了再聯(lián)系對(duì)應(yīng)開發(fā)刪除,。

　　整體來說廢棄接口刪除的測(cè)試還比較簡(jiǎn)單,，安全日志審計(jì)就涉及的多了。