最简单的方法其实就是最古老的方法：ASP 的上传下载服务

5 年前也有一样的问题，搜刮全网，开源的普遍的是 php，少量 java，而且不好用；最后跟领导说一下，最后决定自给自足了。

自研的话可以契合本公司/部门的需求。
我们这里是偏业务的公司，测试用例几乎可当需求归档的。
而且用例容量日积月累，层级复杂。一些开源工具的的层级管理就不太满足了，所以要自研。
至于备份，定时任务 dump 就好了。

如果性能能这样计算，也
一个应用调用链涉及到多个服务，每个服务都是影响性能的。
代码写的差，再好的硬件也救不了
不能充分利用多核，cpu 再多核心也没用

没有特别去找过特定的论坛，但 github 上有相关项目是关于 chatgpt prompt 的：https://github.com/f/awesome-chatgpt-prompts
我们这个例子中的提示语是不断完善出来的，把大家日常中遇到的各种异常都存下来，逐渐调试出来的。

同意
不是人人都有大厂中各种先进技术栈锻炼的机会的，就算自学也只是了解而无真正实践经验的。
他能一个人完成各项目的测试工作，如果能完成的好且有系统化总结的话，肯定也不是 1-3 年的能比的。

虽然经历看着平平，倒也反应了真实的日常工作。

测试生涯不是什么都追求技术，往测开方向的——测试的本职还是测试，成为测试专家、测试管理也是路

过期了

工具扫描不能代表安全的全部：
1-工具的指纹库是否持续更新：比如缺少新的漏洞信息，或者无法识别使用的中间件或工具
2-工具扫描的路径是否全面：有些 url 路径需要通过一定操作才能访问到
3-一些漏洞可能需要通过多次转换才能判断，这个一般工具不具备（自动化的内容一般都是简单遍历 payload），尤其 sql 注入
4-功能权限校验类需要人去做，工具可不知道业务上那些功能有权限区分
5-需要多步校验中逻辑漏洞、敏感信息、短信类滥用则需要人工和工具结合...
...

tips:安全测试水很深

啥时候增加 http 代理服务功能

底线就是：是 BUG 就提了！
该处理就回归，不处理写好谁同意不处理的。