以下是经过伪原创处理后的文章内容，保持了原意和图片位置，同时保留了图片的原始格式和原文的语言：

实验代码：

链接：https://www./link/06cae2e6ba2b864254009a7112bf5449

提取码：78dy

环境

在Windows上安装Tomcat、Apache和MySQL

在Linux上安装Tomcat、Apache和MySQL

操作步骤

1、将Tomcat中的sec目录复制到Tomcat的主目录下，例如%TOMCAT-HOME%\webapps\

2、将Apache中的sec目录复制到Apache的主目录下，例如\htdocs\

3、在Tomcat的sec目录下

include.jsp

代码语言：javascript代码运行次数：0运行复制```javascript

String Windows_IP：Windows的IP地址
String Linux_IP：Linux的IP地址
String JSP_PORT：JSP的端口号
String PHP_PORT：PHP的端口号
3、在Apache的sec目录下include.php
代码语言：javascript代码运行次数：0运行复制```javascript
$windows_ip="http://127.0.0.1";$linux_ip="http://192.168.0.150";$jsp_port="8080";$php_port="8100";?>

$windows_ip：Windows的IP地址

$linux_ip=：Linux的IP地址

$jsp_port=：JSP的端口号

$php_port：PHP的端口号

启动浏览器，输入http://192.168.0.106:8080/sec/

192.168.0.106为本机IP地址

数据库配置

在MySQL中创建sec数据库，用户名root，密码123456。将DB目录下的4个csv文件导入sec数据库中

渗透测试操作系统虚拟机文件vmx文件

1）Windows 2000 Professional

链接：https://www./link/b6084eee5942341bee5b666423d284dc

提取码：upsm

2）Windows Server 2003 Standard x64 Edition

链接：https://www./link/c913d53b4c55ee20acb97bad39c38458

提取码：ngsb

3）Windows 7 x64

链接：https://www./link/851b10e5b105815806efcf78b53588f4

提取码：zp3o

4）Debian 6(Kali Linux)

链接：https://www./link/10040e35d752d892c85d2b19ade4a477

提取码：s2i5

已安装Apatche、Tomcat、MySQL、vsftpd，并配套Web安全测试练习教案。

启动Tomcat

/usr/local/apache-tomcat-8.5.81/bin/startup.sh

启动MySQL

service mysql start

启动Apache

/etc/init.d/apache2 start

打开浏览器输入127.0.0.1:8080/sec/

5）Metasploitable2-Linux (with vsftpd 2.3.4)

链接：https://www./link/39349a7c3ed00bda5647ff55406aa4d2

提取码：17g6

解压后直接为vmx文件，即可使用

基本介绍

Postman是一款简洁而强大的接口调试工具，适用于后端开发、前端开发和测试人员进行接口调试或测试。

基本框架

如果仅保留Postman的框架，我认为它主要包含以下三个功能：

变量：Postman支持多种变量，这里介绍了最常用的三种。由于接口测试通常涉及大量接口，因此变量功能是不可或缺的。

集合：集合是Postman的核心功能，几乎所有功能都围绕它展开或为其服务。集合中包含最小的单元——请求。

运行器：主要用于生成集合的测试结果，Postman支持通过界面和命令行两种方式运行。

集合的四大功能

如上图所示，集合是Postman的核心功能，下面介绍集合最有价值的四个功能：

集合最有价值的四个功能是接口文档、mock服务、接口监控和分支管理。这些功能在实际工作中有广泛的应用场景。

集合就像我们要测试的系统，可以在其下创建目录（系统模块），模块下可以创建请求（测试用例）。

我们实际操作的是每个请求。

请求的运行过程

所有工具的使用都需要从入门开始。以下文章将指导你进行工具安装、工具主框架介绍以及最简单的功能上手。

4种常见的接口请求

在进行接口测试时，我们经常会遇到包含查询参数的接口、表单类型的接口、支持文件上传的接口和json类型的接口。Postman同样支持这些类型的接口请求。

集合管理-Collections

如果你使用Postman测试的是一个系统或系统下的多个模块，那么你绝对离不开使用集合（Collection）来管理你的用例。在Postman中，集合是所有功能的基础，许多高级功能都是基于集合进行操作的。此外，它的批量执行功能也是进行自动化测试的必要条件。

变量

变量的使用可以帮助我们解决许多问题，使数据能够重复利用，并解决跨请求、跨集合的数据访问。Postman支持多种变量，如局部变量、环境变量、集合变量和全局变量等。定义合适的变量有助于提高脚本的稳定性和扩展性。

断言-Tests

断言是测试人员最常用的功能，其断言库的丰富程度决定了我们的测试效率。Postman提供了非常丰富的断言库，并且编写一个断言代码就可以对多个请求进行批量断言，配置也非常方便。

接口关联

接口关联是接口测试中常见的问题，在面试时也会被经常提及。在Postman中解决接口关联的方法有很多，其中一种就是通过变量来实现。

请求前置脚本-Pre-request Script

请求前置脚本简单来说就是在发送请求前执行的脚本。在进行自动化测试时，每个功能的测试通常会首先预定义好测试数据。对于使用Postman进行自动化测试，可以通过前置脚本进行数据初始化，当然这只是它的一种使用场景。

认证-Authorization

可以说我们测试的每个系统都离不开认证，其中最常见的认证方式是token。Postman支持多种常见的认证方式，通过此功能可以大大简化我们的工作量。

导入导出

使用Postman进行接口测试时，是否每次都为填写各种请求数据而烦恼？教你一招，导入浏览器的数据包、导入fiddler的数据包、导入接口文档Swagger的数据包，都能自动生成请求。

快速查找与替换

你是否有这样的需求，像在文本中批量替换字符串一样，可以在Postman中批量替换集合中的数据、变量中的数据；或者在集合请求数量过多时，如何快速查找我们关注的请求。

生成测试报告-newman

测试报告是脚本运行后的产物，是测试人员对质量评估的参考依据，是对代码质量最好的可视化数据。Postman也支持生成测试报告，它提供了多种运行方式和报告格式。

pm对象解析

我们在Postman的沙箱内使用到的每一句代码，几乎都会使用到pm。它有很多的对象，也能帮我们做很多的功能扩展。

集合运行器-Runner

批量运行集合用例时，我们会使用到Collection Runner，但它里面有许多选项，你是否知道它们的含义？我们都知道，集合中的脚本执行顺序都是在Runner中控制的。但同时也支持在请求脚本中控制脚本的执行顺序。

读取外部文件进行参数化

数据驱动是大家都很熟悉的概念，现在的许多工具也都支持数据驱动。Postman同样支持，可以满足你设计一条用例多条数据运行的需求。