tp钱包最新版|poc
- 作者: tp钱包最新版
- 2024-03-07 20:36:44
什么是 PoC?如何做好概念验证? - 知乎
什么是 PoC?如何做好概念验证? - 知乎首发于客户成功 行业干货切换模式写文章登录/注册什么是 PoC?如何做好概念验证?获客多 Hokdo已认证账号在今天,客户们往往都十分理智,在确认了产品的实际价值后才会进行购买。因此,作为销售流程中的一环,概念验证(PoC),就愈发被企业所重视。那么到底什么是 PoC?企业应当怎么做好 PoC?这篇文章,我们就来帮助各位了解一下。什么是 PoC?PoC 的定义是什么?概念验证(PoC,Proof of Concept),指用简单的方式证明某想法、概念、或理论的可行性。在具体的销售场景里,PoC 指企业在实际场景中给客户进行产品演示或试用,来验证产品对于客户的实际价值。为什么要进行 PoC 呢?在销售介绍完公司的产品后,很多客户都会产生这样的疑虑:「产品听起来不错,功能十分强大,但在实际场景中真的能发挥出如此大的价值吗?」事实胜于雄辩,想要消除客户心中的顾虑,企业便会为客户提供实际业务场景下的验证流程。对双方来说,PoC 的意义分别在于:▪避免客户买到华而不实的产品或服务;▪避免企业在不匹配的客户身上浪费过多的时间。以一家物流机器人公司为例,某工厂想要采购该公司的五十台机器人。在没有进行 PoC 的情况下,五十台设备就被交付给了工厂。然而,在实际的生产过程中,工厂发现该公司的机器人不能在狭窄区域很好地进行搬运作业,仍然需要人力进行辅助,于是提出了退货。因为缺少了 PoC 的环节,该交易中的双方都浪费了不少的时间和精力,可谓是双输。怎么做好 PoC?企业如何在销售过程中做好 PoC 呢?基于过往的经验,我们有如下几点建议。不盲目开始 PoCPoC 是销售的胜利冲锋号角,不应该毫无准备就吹响。在开始 PoC 之前,企业应通过和客户的多次交流,清楚地了解客户基础情况和需求。PoC 非常耗费企业的人力和资源,需要企业不同团队的成员,进行长时间线上线下的工作,有些项目甚至需要一定程度的定制化开发。为了避免企业白忙活,在销售团队决定对客户开始 PoC 之前,应当了解清楚以下几个问题的答案:▪企业是否已经完全了解了客户的需求?▪企业的产品是否能够解决客户的问题?▪对方是否了解了产品能够提供的价值?▪对方是否愿意为产品解决的价值点付费?▪对方是否有充足的预算?▪PoC 对象是否有决策权?▪企业在这个项目上是否存在竞争者?▪综合以上几点,这笔生意成交的几率有多大?▪这笔生意能为企业带来多大的价值?时刻围绕客户需求,验证产品的核心价值客户愿意为某款产品付费,永远不是为了购买产品功能本身,而是为了产品能为其解决的问题、以及带来的实际价值。因此,在 PoC 的过程中,销售应分清「核心需求点」和「附加功能点」,着重向客户展示产品解决其关键需求的过程,而不是大而全地验证那些客户并不需要的功能。如果销售始终沉浸在产品本身,而不能从客户的角度出发,客户将很难真正意识到产品的核心价值,那么 PoC 必定是失败的。为 PoC 设定具体的参与者、步骤、和目标对于一家企业的不同客户来说,PoC 的具体内容不大一样,但规则和流程都是相似的。企业应当在 PoC 之前,确认好以下几点:▪谁来参与?一般来说,PoC 流程是由销售来主导的,但也需要其他团队的支持。例如,产品研发团队会为 PoC 提供产品演示和一定的新功能开发,交付团队会为客户提供小场景的交付,客户成功等团队会提供特定场景下的解决方案,而客服和维修工程师团队则会解决客户的具体问题;▪步骤有哪些?通常企业会根据自身的业务、产品模式,设计出一套标准的 PoC 步骤,其中可能包括:工作启动会、产品宣讲、技术测评、实际场景试用、问题反馈、商务验证等。标准的流程有助于企业系统性、规模化地开展 PoC 工作;▪PoC 的目标?企业与客户双方应当在 PoC 流程开始前,商议好标志着 PoC 完成的一些结果指标。企业最好能够拿到对方的购买意向承诺,即若在 PoC 中成功验证了产品的价值,客户就应当进行购买。如果没有完成既定目标,企业则应当视情况,优化解决方案或放弃项目。通过 PoC 加速企业业务增长想要管理好团队的 PoC 流程,提升客户的体验和购买意愿,你需要:▪项目流程管理工具。管理好 PoC 的流程,使团队系统性地、有条不紊地完成 PoC 的相关工作;▪销售管理工具。管理好不同客户的销售流程,准确识别开始 PoC 的时机,推动销售增长;▪产品演示工具。帮助企业更好地进行,让客户更加直观地理解产品价值;▪各项客户服务和成功工具。从方方面面帮助客户最大化地实现价值,使客户切身感受到产品的价值,并愿意为其付费。上述的功能点,Hokdo 通过一套系统帮你轻松实现。作为专业的客户成功平台,获客多 Hokdo 提供了一套易于集成、灵活拓展的客户成功解决方案。使用 Hokdo 的 PoC 管理工具、客户成功计划、健康度分析、客户反馈管理等强大功能,你将科学管理 PoC 流程和客户体验,实现前所未有的收入增长。想要了解更多关于客户成功、客户服务、或是销售的最佳实践、如何管理商业化团队、相关的实操技巧等等,欢迎关注或联系我们,Hokdo 帮你构建加速业务增长的客户成功引擎。微信公众号搜索「获客多 Hokdo」,关注我们,了解更多客户服务或客户成功行业干货~访问 www.hokdo.com,联系我们,免费咨询试用发布于 2022-08-10 21:20POC (Proof Of Concept)获客多 Hokdo赞同 92添加评论分享喜欢收藏申请转载文章被以下专栏收录客户成功 行业干货有关客户成功的行业干
什么是POC?验证性测试用途是什么? - 知乎
什么是POC?验证性测试用途是什么? - 知乎切换模式写文章登录/注册什么是POC?验证性测试用途是什么?DIA数皆智能已认证账号POC是指业界流行的针对客户具体应用的验证性测试名词:验证性测试英文全称:POC(Proof of Concept)中文名称:验证性测试名词解释:验证性测试(Proof of Concept,简称POC)是业界流行的针对客户具体应用的测试方法。它的主要目的是验证客户提出的性能要求和扩展需求是否能够得到满足。在POC过程中,测试人员会根据用户的需求,在选定的服务器上进行真实数据的运行,通过实际测算来评估系统的承载能力和性能变化。在进行POC测试时,测试人员需要关注多个方面,以确保测试结果的准确性和可靠性。首先,测试人员需要选择适合的测试环境,包括硬件和软件配置,以确保测试条件的可控性和一致性。其次,测试人员需要根据用户提出的需求,设计合理的测试用例和场景,以全面覆盖系统的各种功能和性能要求。在POC测试过程中,测试人员需要对系统进行多方面的测试,包括负载测试、压力测试、稳定性测试等。这些测试可以帮助测试人员了解系统在不同负载下的性能表现,以及系统在面临高并发请求时的处理能力。通过这些测试,测试人员可以发现系统潜在的性能瓶颈和问题,并及时进行修复和优化。除了性能测试外,POC测试还需要关注系统的可扩展性和可维护性。随着用户业务的不断扩展,系统需要具备足够的可扩展性,以满足未来业务增长的需求。同时,系统的可维护性也是非常重要的,以确保系统的长期稳定运行和后续的升级和维护工作的顺利进行。执行验证性测试(Proof of Concept,POC)的流程通常包括以下几个步骤:1. 明确测试目标和需求:在开始POC测试之前,需要明确测试的目标和需求。这包括了解客户的需求、系统的性能要求、扩展需求等,以便为测试提供明确的方向。2. 选择测试环境和工具:根据测试目标和需求,选择适合的测试环境和工具。测试环境应尽可能接近实际生产环境,以确保测试结果的准确性。同时,选择适合的测试工具可以提高测试效率和准确性。3. 设计测试用例和场景:根据测试目标和需求,设计合理的测试用例和场景。测试用例应覆盖系统的各种功能和性能要求,场景应模拟实际业务情况,以便全面评估系统的性能表现。4. 执行测试并记录结果:按照测试用例和场景执行测试,并记录测试结果。在测试过程中,需要关注系统的性能指标、响应时间、吞吐量等,以便及时发现问题并进行修复。5. 分析测试结果并给出结论:根据测试结果,分析系统的性能表现、瓶颈和问题,并给出相应的结论和建议。如果测试结果达到预期目标,则可以进一步推广系统;否则,需要进行相应的优化和改进。通过POC测试,客户可以更加了解系统的性能表现和未来业务扩展的可行性。测试人员也可以根据测试结果对系统进行优化和改进,提高系统的性能和稳定性,为客户的业务发展提供更好的支持和服务。发布于 2024-02-05 18:02・IP 属地上海POC (Proof Of Concept)系统测试赞同 1添加评论分享喜欢收藏申请
项目POC的作用是什么? - 知乎
项目POC的作用是什么? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册互联网产品经理软件外包项目POC的作用是什么?菜鸟产品一枚,经过一年的工作,参与的大多是项目的POC阶段,听带我的老员工说,老大打算日后让我参与更多项目的POC阶段,想问问,这对我来说是好事吗?P…显示全部 关注者170被浏览983,731关注问题写回答邀请回答好问题 121 条评论分享10 个回答默认排序JiaX风控数据分析师,Python爱好者一枚 关注站内有回答啊:https://zhuanlan.zhihu.com/p/39820024PoC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。验证内容1、产品的功能。产品功能由企业提供,企业可以根据自己的需求提供功能清单,也可以通过与多家供应商交流后,列出自己所需要的功能;2、产品的性能。性能指标也是由企业提供,并建议提供具体性能指标所应用的环境及硬件设备等测试环境要求;3、产品的API适用性;4、产品相关技术文档的规范性、完整性;5、涉及到自定义功能研发的,还需验证API开放性,供应商实施能力;6、企业资质规模及企业实施案例等。验证内容归根结底,就是证明企业选择的产品或供应商能够满足需求,并且提供的信息准确可靠。PoC测试工作准备前提1、前期调研充分,并已经对产品或供应商有了较深入的沟通了解;2、企业对自己的产品需求比较清晰。PoC测试工作参与者使用用户代表、业务负责人、项目负责人、技术架构师、测试工程师、商务经理等PoC测试工作准备文档1、PoC测试工作说明文档。内容包括测试内容、测试要求(如私有化部署)、测试标准、时间安排等;1、功能测试用例。主要确认功能可靠性,准确性。内容包括功能名称、功能描述等;2、场景测试用例。主要测试企业团队实施响应速度、实施能力、集成能力。这部分通常按照企业需求而定,不建议太复杂,毕竟需要供应商实施干活儿的嘛,拖得太长企业耐性受到影响,时间也会拉长。3、技术测评方案。主要验证产品的性能、功能覆盖情况 、集成效率、技术文档的质量。4、商务测评方案。主要包括企业实力、企业技术人才能力、版权验证、市场背景、产品报价等。PoC测试工作第一阶段 工作启动由商务或者对外代表对供应商发布正式邀请并附PoC测试工作说明。建立PoC协同群。以满足快速沟通,应答。涉及到私有化部署的,需要收集供应商部署环境要求,并与供应商一起进行部署工作,同时企业参与人员对部署工作情况做好记录。第二阶段 产品宣讲及现场集中测试供应商根据企业提供的PoC测试工作说明及相应测试模块的用例或方案进行产品现场测试论证。企业参与人员参与功能测试,并填写记录和意见。此阶段供应商往往需进行现场操作指导:。第三阶段 技术测评供应商根据企业提供的技术要求给出相关支持文档,企业进行现场比对,根据实际情况进行统计记录。并保留供应商提供的资料和对比记录。涉及到场景demo设计的,建议企业对实施人员能力、实施时长、实施准确性进行比对。第四阶段 间歇性测试工作该阶段是在第一阶段启动时,就可以开始了。测试功能外,还包括关键用户使用的体验心得、易用性评价。该部分允许企业用户主观评价,建议可以扩大范围组织间歇性测试,并做好测试用户记录。间歇时间1天或者多天根据实际情况安排。第五阶段 商务验证供应商根据企业提供的商务测评方案,积极配合工作。涉及到客户核实的,还需要企业进行考证。该部分工作也是从第一阶段启动时,就可以开始了。第六阶段 背书归档、分析总结每个阶段的工作都需要记录好参与人、时间、工作说明,并将测试过程中企业的、供应商的文档分类归档。对每个阶段进行分析对比,总结评价。进行整体工作分析总结。PoC工作按照不同企业,和程度,测试的方式和投入力度不一样。但是目的都是相同的——验证产品或供应商能力真实满足企业需求。对PoC的总结可能比较片面,甚至可能与大家理解有偏差,欢迎共同交流,一起成长。发布于 2020-05-11 21:41赞同 167添加评论分享收藏喜欢收起dbaplus社群已认证账号 关注随着分布式系统和微服务的日益发展,系统的开发和运维对于可观测性的需求越来越迫切,为了解决监控排障、链路梳理、性能分析等业务问题,将海量 Metrics/Trace/Log 数据进行整合与统一,构建站式全链路观测诊断平台成为了企业首选。9月28日晚8点,平安健康中间件架构师-张硕将阐述平安健康建设千亿级储能、毫秒级查询耗时的全链路追踪系统全过程,对于Pinpoint、Zipkin、Jaeger和SkyWalking进行选型分析,剖析评估SkyWalking的优势及适配场景,并讲解SkyWalking接入的POC阶段,包括对接发布系统及配置中心、完善插件补全链路及自监控系统、测试环境观测,以及接入核心应用时如何对启动耗时、kafka积压、存储查询等生产问题进行优化。活动信息主题:平安健康千亿级全链路追踪系统的建设与实践讲师:张硕 平安健康 中间件架构师时间:9月28日周三晚8点地点:线上直播间讲师信息直播地址>>>>更多直播干货关注【dbaplus社群】公众号,后台回复【220316】获取4期精选直播回看和PPT。云原生时代下,对运维模式提出了哪些新要求?7×24小时待命救火和背锅困局如何突破?结构复杂、技术变化、故障根因、人员管理、业务矛盾等问题如何逐一攻克?关于我们dbaplus社群是围绕Database、BigData、AIOps的企业级专业社群。资深大咖、技术干货,每天精品原创文章推送,每周线上技术分享,每月线下技术沙龙,每季度Gdevops&DAMS行业大会。发布于 2022-09-27 10:35赞同添加评论分享收藏喜欢
B端产品经理(三):如何做好项目POC | 人人都是产品经理
B端产品经理(三):如何做好项目POC | 人人都是产品经理
首页
培训课程
名师辅导课
产品经理入门实战班
90天B端产品实战班
AI重塑职场竞争力实战行动营
查看更多
个人自学课
互联网运营能力进阶
业务产品经理能力进阶
电商产品经理从入门到进阶
查看更多
企业内训课
数字化产品经理课
商业化产品实战课
数字化营销体系课
B端运营实战课
私域流量实战课
数据分析体系课
查看更多
分类浏览
业界动态
27977篇文章
产品设计
18064篇文章
产品运营
14472篇文章
产品经理
9484篇文章
职场攻略
4956篇文章
营销推广
4485篇文章
交互体验
3730篇文章
分析评测
3249篇文章
创业学院
2119篇文章
用户研究
1754篇文章
数据分析
1718篇文章
原型设计
1420篇文章
活动讲座
问答
企业培训
摸鱼
快讯
搜索
APP
起点课堂会员权益
职业体系课特权
线下行业大会特权
个人IP打造特权
30+门专项技能课
1300+专题课程
12场职场软技能直播
12场求职辅导直播
12场专业技能直播
会员专属社群
荣耀标识
{{ userInfo.member ? '查看权益' : '开通会员' }}
发布
注册 | 登录
登录人人都是产品经理即可获得以下权益
关注优质作者
收藏优质内容
查阅浏览足迹
免费发布作品
参与提问答疑
交流互动学习
立即登录
首次使用?
点我注册
B端产品经理(三):如何做好项目POC
森焱
2023-04-11
0 评论
12350 浏览
32 收藏
15 分钟
释放双眼,带上耳机,听听看~!
00:00
00:00
在客户对产品方案心动并感到满意之后,下一步要做的,便是推进项目落地,那么作为B端产品经理,你要如何做好这一步?也许,你可以借助POC,即“概念验证”来实现,让客户感受到产品可能的功能与实际效果。本文便讲述了如何做好项目POC的注意事项,一起来看。
一、前言
前文给大家讲述了如何用方案打动客户,那么在客户对我们的产品方案动心后,需要做些什么促进项目落地呢?按照“大B”产品的思路,我们往往会开始进入POC阶段,让客户切实感受产品的功能及效果,本文将给大家阐述有关B端产品POC的知识。
二、背景
部门遇到新的商机项目,经过几轮方案沟通后,客户对产品表现出极大兴趣,但是由于没有试用过,有些不信任,公司希望极力拿下这个项目,提高营收;
1)自身现状
产品能力:单一产品无法满足客户需求,最终方案由多个产品组合赋能。
2)客户现状
期望:对我们的方案有倾向性,但是不自信。
竞争:客户收到多个厂商的方案汇报,竞争对手较为活跃。
小结:当前的矛盾是如何增强客户信心,击败竞争对手。
三、何为POC
针对以上矛盾,此时最常用的合规手段就是产品POC,那么什么是产品POC呢,POC(Proof of Concept),即概念验证。通常是公司做产品选型或开展外部实施项目前,进行的一种产品或供应商能力验证工作。由准备参与投标工作的供应商进行产品部署,交由招标公司进行试用,并对产品能力进行打分,以此确保供应商具备良好的产品或项目交付能力。所以POC参与的两个对象是:
供应商:提供产品能力用于测试验证;
客户:负责产品测试及打分。
四、POC的内容
1. 产品硬实力
1)产品的功能:后期需要交付的产品功能,根据客户提供的需求,罗列功能清单;或者由客户提供所需要的功能清单均可。
产品的功能包括两个部分:
GU能力:即提供具备可视化界面能力的产品系统,方便非研发人员使用。
API能力:提供API或者SDK,便于客户(需要具备研发能力和研发环境)进行研发测试。
2)产品的性能
即对产品所要求的性能指标,通常由公司提供给客户做参考,也有客户会提出业务要求;一般在准备性能指标时,建议提供具体性能指标所应用的环境及硬件设备等测试环境要求,便于对指标约束。
2. 企业软实力
1)产品的相关文档:包括产品介绍文档、产品使用手册、产品白皮书、接口文档等,详细的文档方便客户查询,也会很好减轻对接工作。
2)企业资质材料:如安全认证、软著等材料,一般多用于正式投标阶段,POC如果准备,可以有备无患。
3)人员服务态度:在POC阶段是最容易忽视的一项事项,因为没有任何的明文要求,所以往往无意识,好的对客态度,往往能起到事半功倍的效果,可以给客户建设出两个心理状态。
重视项目:态度积极,客户会感觉自己被重视了,本次的项目我们是非常有诚意有信息的。
运维积极:对待问题不回避,响应及时,会让客户觉得我们及时后期项目交付后,也能积极响应运维问题,不会交付后,就开始甩手爱答不理。
小结:产品硬实力和企业软实力是相辅相成的,在跟友商的比拼中,如果产品硬实力过硬,那可以直接实施降维打击,获得头筹,如果双方产品硬实力相当,一定要凸显软实力态度,给客户良好的主观印象,也有利于后续的商务打分。
五、如何POC
理清了上面POC概念和目的后,就是要考虑如何POC,以及如何把POC做好,赢得客户的信任,争取最大机率将项目拿下,做好POC,我们可以从以下方向出发。
1. POC前
1)人员安排
由商务或者具体对接人进行协调安排,组建对接群,将双方的人员组织到同一个沟通群,方便快速沟通和应答;具体的人员角色可以安排参考如下表格,其中供应商侧最好是各个角色都有对应同事参与,以便解答客户各类问题(实际过程中各类问题会频繁问到)。
如果有条件,建议安排一位记录员将客户问题记录汇总,一方面可以收集客户问题用于产品迭代提升,一方面可以避免在正式中标后,产品部署时避免踩相同的坑。其中双方总负责人既要负责具体产品验证工作,还要对接商务问题,如果项目较大,可以灵活安排多位分负责任人,分别管理不同产品模块的POC。
2)POC启动
人员安排好后,下一步准备启动POC,具体可以从以下3个方面开始着手,如下:
① 准备POC测试方案
由供应商根据客户提供的需求清单,准备一份详细的POC测试方案,测试方案内容要包括“测试目的”、“测试人员及职责”、“测试时间”和“产品功能”,其中产品功能模块要包括产品验证的功能、操作流程、预期结果、打分规则等,后续案例详解将详细描述。该环节的人员职责如下:
核心人员包括:双方总负责人、供应商产品经理;负责输出整体方案,形式以word或excel为主。
其他参与人员:技术工程师和测试工程师,负责对POC方案评估,确保可行性。
② 部署POC测试环境
测试方案准备完后,根据需要测试的产品功能准备硬件环境和软件包,其中硬件通常由客户按照供应商要求准备,有些政企客户由于日常使用设备较为老旧,也可以是由供应商准备,测试环节准备要点如下:
硬件:确保硬件条件与日后实际交付的硬件条件尽量一致,尤其是AI类产品的GPU型号及参数一定是符合技术要求的,否则无法确保算法效果跟宣讲的一致。
软件:由产品经理从公司申请软件包,以License授权的形式打包,在POC测试期间可用,超过时间期间,授权将失效,无法使用,确保公司的软件资源不会因为复制或者其他因素流失。
③ 进行POC启动会
测试环境部署完后,就可以交付客户进行产品验证了,但是在这之前,建议准备一个启动会,一方面宣告POC可以正式启动了,同时宣讲测试细节;另一方面也是拉齐双方人员正式认识,同时对领导的交代,项目工作已进入新的阶段,该环节需要注意的要点如下:
角色明确:客户各个参与测试的人员明确。
材料归档:每天的测试结果需要统一汇总,并有固定的地方归档。
信息同步:除了日常群消息交流外,需要邮件作为正式沟通形式同步测试结果和重要需求。
2. POC进行
POC进入测试环节即转变为由客户进行主导,换句话说此时的测试是半可控状态,一方面客户会按照测试方案进行验证,此时基本是按照预设的形式在推进,另一方面有些客户测试人员会随意测试(大概率是破坏性的),尤其是AI类产品,无法预判客户自己准备的数据集是如何,可能引发很多预期外的问题,需要产品经理和技术工程师时刻准备着。
一般POC的测试验证可以包括集中测试和主观测试两个阶段,具体如下:
1)集中测试
客户根据测试方案对产品功能和模板进行集中化测试,在2-3天内将测试方案中的所有功能和性能验证完,并打分,供应商可以安排驻场人员根据客户测试需要进行现场指导,在指导过程中,可以适当引导客户,以利好于测试结果,便于最终项目成单,注意要点如下:
① 功能测试:客户按照测试流程确保实测结果与预期结果一致,如果不一致,按照计分规则打分,供应商需要监督客户确保测试流程符合要求,以证实扣分是有效的。
② 性能测试:性能测试较为困难,包括产品性能、算法性能、产品稳定性、安全性等,一般有3个方式推进:
如果是具备研发能力的客户,可以是由客户自发测试评估。
如果客户是不具备研发能力的,可以找第三方测试厂商对产品性能测试验证并出具测试报告。
如果客户不具备研发能力,还可以与供应商达成一致意见,由供应商出具测试报告,并附加测试公正性及可行性保证承诺。
2)主观测试
在集中测试后,客户可以扩大测试范围,包括测试人员,测试边界,测试时间,该环节主要由功能测试转向产品易用性、稳定性等测试,如果是AI类产品,还可以考虑扩大数据集,做更多边界测试,确保产品对实际业务环境的适应性。
3. POC结束
所有的测试完成后,即意味着POC阶段就要结束了,下一步就是需要对该阶段做一个收尾工作了,可以包括如下:
1)归档总结
将所有测试的信息进行材料归档,并输出总的测试验证报告,材料中需要包括5要素,“人、时间、测试模块、测试用例、测试结论及分值”,最后发送测试验证报告,其必须是由客户以正式沟通形式(邮件)形式发出,并抄送相关领导,作为供应商产品经理,在客户发出测试验证报告前,需要再次确认内容准确性
2)商务跟进
由于很多公司各司其职,作为供应商产品经理经常会忽略最后的“商务跟进”,虽然不一定要亲自跟进,但是一定要推动销售或者售前跟进POC之后的商务情况,比如客户还有什么新的需求,后续是否要分期、招投标时间,本次POC通过的供应商有几家等
六、案例说明
案例说明章节以供应商产品经理视角给出如何编写POC测试方案的产品功能模块的模板。
首先确定测试模块所占分值,然后评估每个功能所占的分值,不超过该模块的总分值。
给出产品功能的操作流程、预期结果,其中预期结果中给出每个功能点的分值,其中仅核心功能给到分值,其他常见基础功能不需要占分。
具体的模板样例可以如下:
七、结论
作为对外的toB产品经理不管角色是客户还是供应商,都会不可避免的遇到项目POC,所以了解项目POC,并做好项目POC非常重要,如果角色是供应商,做好项目POC,就有很大机会推动项目落地,如果角色是客户,做好项目POC,就可以严控供应商质量,不会后期因为采购到不靠谱的供应商,耽误业务进度,被公司发难。
专栏作家
Eric_d,人人都是产品经理专栏作家。关注AI、大数据等领域,擅长需求分析、产品流程和架构设计等,日常喜欢徒步。
本文原创发布于人人都是产品经理,未经许可,禁止转载。
题图来自 Unsplash,基于CC0协议。
该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。
收藏已收藏{{ postmeta.bookmark }}
点赞已赞{{ postmeta.postlike }}
更多精彩内容,请关注人人都是产品经理微信公众号或下载App
2年POC初级
森焱
微信号17720216122
18篇作品
188078总阅读量
为你推荐
HMI设计 | 用户画像构建流程
07-067744 浏览
社区团购“黄金时代”,画下句点?
10-182070 浏览
从苦情戏直播到“免费”评书机,为什么骗子专盯老年人?
03-194597 浏览
抖音做外卖,对美团威胁有多大?
02-134873 浏览
同期Z世代社交死差不多了,Wizz为什么能月入200万美元
01-112705 浏览
评论
评论请登录
目前还没评论,等你发挥!
为你推荐
系统重构实战:多平台电商订单履约系统设计
10-175837 浏览
产品项目管理的智慧
09-213857 浏览
拆解问卷星——问卷调查领域份额超过80%的 SaaS 产品
04-175177 浏览
快讯
查看更多
热门文章
自媒体要转咨询吗?
03-04
【案例分享】数字化金融银行企微私域营销,赋能业务增长
03-06
周受资再谈TikTok:信任、AI和沙特计划
03-07
交互型数字人发展现状
03-05
一文搞懂Saas产品定价(附7种定价模式)
03-05
AI电商「军备赛」:一个新时代的电商产业序曲
03-07
文章导航
一、前言
二、背景
三、何为POC
四、POC的内容
五、如何POC
六、案例说明
七、结论
关于
人人都是产品经理(woshipm.com)是以产品经理、运营为核心的学习、交流、分享平台,集媒体、培训、社群为一体,全方位服务产品人和运营人,成立12年举办在线讲座1000+期,线下分享会500+场,产品经理大会、运营大会50+场,覆盖北上广深杭成都等20个城市,在行业有较高的影响力和知名度。平台聚集了众多BAT美团京东滴滴360小米网易等知名互联网公司产品总监和运营总监,他们在这里与你一起成长。
合作伙伴
链接
隐私政策
投稿须知
意见反馈
帮助中心
公众号
视频号
友情链接
PM265
产品经理导航
起点课堂
猪八戒网
人才热线
伙伴云表格
网易易盾
个推
友盟+
粮仓
创业邦
每日报告
鸟哥笔记
慕课网
旗下品牌: 起点课堂 | 运营派 | 粮仓企微管家
©2010-2024 - 人人都是产品经理 - 粤ICP备14037330号-粤公网安备 44030502001309号
广播电视节目制作经营许可证(粤)字第03109号 版权所有 © 深圳聚力创想信息科技有限公司
POC (Proof Of Concept) - 知乎
POC (Proof Of Concept) - 知乎首页知乎知学堂发现等你来答切换模式登录/注册POC (Proof Of Concept)暂无话题描述关注话题管理分享讨论精华视频等待回答什么是 PoC?如何做好概念验证?获客多 Hokdo已认证账号[图片] 在今天,客户们往往都十分理智,在确认了产品的实际价值后才会进行购买。因此,作为销售流程中的一环,概念验证(PoC),就愈发被企业所重视。那么到底什么是 PoC?企业应当怎么做好 PoC?这篇文章,我们就来帮助各位了解一下。 [图片] [图片] 什么是 PoC?PoC 的定义是什么?概念验证(PoC,Proof of Concept),指用简单的方式证明某想法、概念、或理论的可行性。在具体的 销售场景里,PoC 指企业在实际场景中给客户进行产品演示或试用,来…阅读全文赞同 92添加评论分享收藏PoC相关概念hell02006security waterPoC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。 验证内容 1、产品的功能。产品功能由企业提供,企业可以根据自己的需求提供功能清单,也可以通过与多家供应商交流后,列出自己所需要的功能; 2、产品的性能。性能指标也是由企业提供,并建议提供具体性能指标所应用的环境及硬件设备等测试环境要求; 3、产品的API适用性; 4、产品相关技术文档的规…阅读全文赞同 251 条评论分享收藏chia挖矿已经一些新人是否能入场分析大胡子石韭菜屌丝最近几天CHIA很火 很多人加我 我发现有一大部分人直接就什么都不懂 就问矿机怎么卖了 矿怎么挖啊 你这让我如何回答 最近很多什么社团 社区都冒出来了 一个字 割死你们 CHIA这个币P盘比较慢 还有很多人 这些所谓的社团 社区 盘都没有P出来 都收钱卖算力了 我实在是看不下去 就发表下自己看法 不想让很多小白 被忽悠 现在硬盘已经涨价断货了 这些社团 社区 有没有硬盘你都不知道 你们却把钱打给人家 难道真是猪?再说你们现在入手…阅读全文赞同 1111 条评论分享收藏关于概念证实 — POCYang Tony道在日常万事中一、 POC是英语Proof of Concept的缩写,Proof of Concept翻译过来就是概念证明, 是指对某些想法的一个较小而不完整的实现,目的是通过示范原理,来证明其可行性。在我从事的软件行业里,Concept 直译成概念这个词不太准确,我这里把它翻成观点,观点包括了管理要求的透明度,管理深度和便利性上的取舍程度。这样定义更符合软件行业的习惯。 在软件销售的过程中,我们经常会遇到客户要求做POC,来证实自己的软件系统可以满足客户…阅读全文赞同 7添加评论分享收藏CVE-2021-26411漏洞分析笔记看雪看雪,为IT专业人士、技术专家提供了一个民间交流与合作空间。本文为看雪论坛优秀文章 看雪论坛作者ID:AshCrimson 一、漏洞信息 CVE-2021-26411 该漏洞存在于iexplore.exe mshtml.dll模块,在JS9引擎处理dom对象时,由于未对nodevalue对象的有效性做判断,所导致的UAF漏洞,该漏洞可实现RCE。 二、漏洞分析 漏洞poc poc比较简单,首先创建了一个element。创建了2个Attribute属性。 声明了一个对象obj,将obj的valueof函数进行了重载,重载后的函数会清空element的所有属性。attr1赋值obj,a…阅读全文赞同 72 条评论分享收藏最近忙着搞矿机玩玩 硬盘 CHia(post)大胡子石韭菜屌丝Chia于2017年8月成立,旨在开发改进的区块链和智能交易平台。我们正在建立Chia网络,以改善全球金融和支付系统。Chia将是一个企业级数字货币。Chia正在使用自比特币以来的第一个新的区块链共识算法。它被称为“时空证明”,它是由现役最好的网络协议工程师,BitTorrent的发明者Bram Cohen创建的。Chialisp是Chia的新型智能交易编程语言,功能强大,易于审核且安全。当前可用的参考智能交易包括:原子掉期,授权收款人,可恢复钱…阅读全文赞同 518 条评论分享收藏CHia P盘教程大胡子石韭菜屌丝[图片] [图片] [图片] [图片] [图片] [图片] [图片] P盘开始后一旦中断需要删除相应的缓存文件重新P盘阅读全文赞同 45 条评论分享收藏如何讲好POC的一些总结大羽飞鹤业财数字化转型(财务共享、全面预算、业务中台)首先POC是以客户提供的某个测试项目进行实施和演示,不是产品功能演示介绍,POC的核心是按照故事线将产品功能进行讲解,主要考虑以下几点: 第一,按照用户使用的故事线逐步讲解。 在给客户讲解时,由于信息量比较大,客户在接收信息时如果无法抓住重点,不利于客户对我们产品的认可。需要我们按照用户使用的故事线逐步讲解,让客户形成总览的概念。比如全面预算系统,可以站在最终用户使用的角度从战略的分解,计划的制定、预算…阅读全文赞同 43 条评论分享收藏国外大牛之我如何使用 mxGraph 和 VueJS 构建高级 SDN PoC 设计器代码放牧人SwiftUI爱好者国外大牛之我如何使用 mxGraph 和 VueJS 构建高级 SDN PoC 设计器 什么是 mxGraph?简而言之,它是一个 JavaScript 开发人员库,旨在提供即插即用的组件来绘制、移动上下文图或具有属性的图形元素并与之交互。它是用纯 JavaScript 编写的,没有转译器或 NPM 依赖项。一个普通的 mxGraph 编辑器看起来像: [图片] 最左侧是模具(形状)库或您可以放置 、交互和连接的节点对象,中间是画布,最右侧是画布或选定节点对象的属性面板。在布…阅读全文赞同 41 条评论分享收藏POC、EXP、Payload与Shellcode的区别Michael在网络安全和人工智能方面分享一些小知识1. POC、EXP、Payload与ShellcodePOC:全称 ' Proof of Concept ',中文 ' 概念验证 ' ,常指一段漏洞证明的代码。 EXP:全称 ' Exploit ',中文 ' 利用 ',指利用系统漏洞进行攻击的动作。 Payload:中文 ' 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。 Shellcode:简单翻译 ' shell代码 ',是Payload的一种,由于其建立正向/反向shell而得名。 2. 几点注意POC是用来证明漏洞存在的,EXP是用来利用漏洞的…阅读全文赞同 41 条评论分享收藏Pocsuite3的安装和使用及poc代码的学习雷石安全实验室向安全工作者不定期分享渗透、APT、企业安全建设等干货。简 介: Pocsuite 是由知道创宇404实验室打造的一款开源的远程漏洞测试框架。你可以直接使用 Pocsuite 进行漏洞的验证与利用;你也可以基于 Pocsuite 进行 PoC/Exp 的开发,因为它也是一个 PoC 开发框架; 同时,你还可以在你的漏洞测试工具里直接集成 Pocsuite,它也提供标准的调用类。 Pocsuite3是完全由Python3编写,支持Windows/Linux/Mac OSX等系统,在原Pocsuite的基础上进行了整体的重写与升级,使整个框架更具有操作性和…阅读全文赞同 32 条评论分享收藏ghostscript 命令注入漏洞分析看雪看雪,为IT专业人士、技术专家提供了一个民间交流与合作空间。本文为看雪论坛优秀文章 看雪论坛作者ID:。_879907 最近在网上看到一个关于ghostscript软件的一个poc生成脚本,看了下生成的poc感觉应该挺简单的,随手分析下,该漏洞目前在野。 一、漏洞信息 1、漏洞简述• 漏洞名称:无 • 漏洞编号:无 • 漏洞类型:命令注入 • 漏洞影响:远程命令执行 • CVSS评分:无 • 利用难度:简单 • 基础权限:不需要 2、组件概述ghostscript是一款图像浏览工具。ghostscript能够查…阅读全文赞同 4添加评论分享收藏Mendix POC 项目分享——系统需求说明书Mendix面向所有人的应用开发平台,帮助企业更好地推动业务发展。 项目概述 1. 项目简介本项目基于西门子 Mendix 的POC,包含私有化环境部署、Mendix 产品特性体验、基于客户IT&DT 部门的业务 POC 验证。 采用客户的私有化环境部署,使用 Mendix Studio Pro 8.5 开发工具。 其主要内容有: 基于 Mendix 的Demo 验证Mendix 扩展性验证POC 场景 1:营销系统-在线订单管理POC 场景 2:供应链系统-合同管理POC 场景 3:SUC 集成、异常零件审批工作流和数仓API 调用 2. 使用者需求目标用户:本项目目…阅读全文赞同 2添加评论分享收藏在软件项目或者产品中,POC(为观点提供证明)和Demo(样本,示例)的实质区别是什么?栈江湖软件开发行业 研发经理好像百度也没有明确的答案,个人感觉POC偏重点在为自己的观点提供证明,一般在项目前期或投标阶段出现。demo偏重点在示例,例如微信官网提供了一个java、python等语言的支付的demo程序,系统或接口为了方便别人使用时提供的一个样例。 当然在项目中也会有“演示demo”这个我感觉与poc就有点相同了。阅读全文赞同 2添加评论分享收藏CVE-2021-24074 分享与学习看雪看雪,为IT专业人士、技术专家提供了一个民间交流与合作空间。CVE-2021-24074 分享与学习 本文为看雪论坛优秀文章 看雪论坛作者ID:50u1w4y 0x00 前言 这篇文章主要是想分享一下CVE-2021-24074的漏洞细节,并根据博客作者的方案写了一个连poc都算不上的测试代码。所以如果你只是想找份能用的poc 的话,那么这篇文章是没法满足你的需求的。 而如果你正打算分析该漏洞的话,这篇文章应该能对你有一点小帮助吧,或许对你理解 CVE-2021-24086 的细节也能有所帮助。(我没有去看这个IPv6 的洞,但…阅读全文赞同 1添加评论分享收藏什么是POC?验证性测试用途是什么?DIA数皆智能已认证账号POC是指业界流行的针对客户具体应用的验证性测试 名词:验证性测试 英文全称:POC(Proof of Concept) 中文名称:验证性测试 名词解释: 验证性测试(Proof of Concept,简称POC)是业界流行的针对客户具体应用的测试方法。它的主要目的是验证客户提出的性能要求和扩展需求是否能够得到满足。 在POC过程中,测试人员会根据用户的需求,在选定的服务器上进行真实数据的运行,通过实际测算来评估系统的承载能力和性能变化。 在进…阅读全文赞同 1添加评论分享收藏[论文总结]a-22-s&p-GREBE: Unveiling Exploitation Potential for Linux Kernel BugsAniston0x00 Big Question0x01 论文研究的问题是什么,为什么要研究这个问题?这篇论文研究的问题是 Linux 内核漏洞的多种触发漏洞行为的探索和利用潜力评估。之所以要研究这个问题,是因为在 Linux 内核中存在许多漏洞,但 传统的模糊测试方法只能发现一个错误行为,无法全面评估漏洞的利用潜力。因此,他们提出了一种新的内核模糊测试技术 GREBE,旨在探索一个内核漏洞的所有可能错误行为,并提高漏洞的利用潜力评估。这项研究的目的…阅读全文赞同 1添加评论分享收藏POC 推出 Elicit Ti 3D打印钛制骑行眼镜,环保与科技的结合许方雷 Leo北京斯克莱特科技有限公司 总经理来自瑞典的防护设备制造商POC推出了一款名为Elicit Ti 的钛制自行车太阳镜,以提供具有高性能竞争水平的运动自行车,同时也在自行车制作过程中考虑到了资源的可持续性问题。作为一家为雪上运动和自行车运动提供高性能保护设备的制造商,POC 是所开发的 Elicit Ti 自行车太阳镜是结合瑞典金属增材制造专家 AIM Sweden 及其 EBM 技术完成制作的。 [图片] 增材制造技术凭借其高精度和较好的成形质量而得到使用和信赖,这对于自行车行业来说…阅读全文赞同 1添加评论分享收藏浏览量27.2 万讨论量124 帮助中心知乎隐私保护指引申请开通机构号联系我们 举报中心涉未成年举报网络谣言举报涉企虚假举报更多 关于知乎下载知乎知乎招聘知乎指南知乎协议更多京 ICP 证 110745 号 · 京 ICP 备 13052560 号 - 1 · 京公网安备 11010802020088 号 · 京网文[2022]2674-081 号 · 药品医疗器械网络信息服务备案(京)网药械信息备字(2022)第00334号 · 广播电视节目制作经营许可证:(京)字第06591号 · 服务热线:400-919-0001 · Investor Relations · © 2024 知乎 北京智者天下科技有限公司版权所有 · 违法和不良信息举报:010-82716601 · 举报邮箱:jubao@zhihu.
白嫖大法 | 编写POC之腰缠万贯-腾讯云开发者社区-腾讯云
| 编写POC之腰缠万贯-腾讯云开发者社区-腾讯云Khan安全团队白嫖大法 | 编写POC之腰缠万贯关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网Khan安全团队首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >白嫖大法 | 编写POC之腰缠万贯白嫖大法 | 编写POC之腰缠万贯Khan安全团队关注发布于 2020-12-11 11:50:104.3K0发布于 2020-12-11 11:50:10举报文章被收录于专栏:Khan安全团队Khan安全团队一、前言:POC&EXP什么是POC:即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行,对承载用户数据量和运行时间进行实际测算,并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。在信息安全里,POC为漏洞验证程序,功能为检测漏洞是否存在。poc和exp(全称Exploit)的区别就是,poc是漏洞验证程序,exp是漏洞利用程序。针对通用型应用漏洞编写poc,可以使漏洞测试大大加快速度,可以在漏洞发现时批量检测资产漏洞情况。什么是通用型应用漏洞?有一定使用量或者说是用户量的第三方框架、软件、应用、系统等对应的漏洞,拿web层应用来说需要满足:1、 两个站点以上使用了该应用,可参考cnvd(国家信息安全漏洞共享平台)的漏洞;2、 路径固定、参数固定。为什么要编写POC?如果仅是停留在使用别人的渗透工具上来说,对个人自身进步来说,单纯的涨了姿势,久了可能还会忘记。编写POC不仅可以提高对漏洞原理的理解,一定程度上提高了编程开发能力,还可以规范自己的武器库,在做渗透测试项目的时候更加得心应手。为什么要做好POC的质量和数量?一个安全检测工具或者说是一个安全检测产品最重要的是POC插件,为其赋能的POC插件质量和数量决定了它的检测能力。为什么需要漏洞、POC平台?为网络安全出一份力和众人拾柴火焰高的道理:用户社区的力量。PoC++平台是数字观星科技有限公司自主开发并运营的POC收录平台,旨在通过凝聚全社会的安全技术力量,打造覆盖面更广、检测能力更强的一流漏洞扫描、验证平台。提交POC到我们的POC++平台可以获取丰厚的奖励,积分兑换京东卡等。二、关于POC编写流程通常编写POC流程:1、漏洞发现或者说是找漏洞2、寻找线上目标或搭建漏洞环境复现3、理解漏洞的触发点、判断是否存在漏洞4、编写POC5、POC测试,通用漏洞,找到足够的url证明这是个通用可用的POC如果写POC是为了提交到观星的POC++平台,建议先查重,当有人已经提交相关的POC,可以使用星豆(平台积分)去兑换,省下的时间可以写其他的POC。三、WEB常见漏洞POC类型介绍1、敏感信息泄露配置信息泄露、日志泄露、路径泄露等。你觉得它是漏洞,可能会漏洞触发关联到危害,那就是漏洞。2、未授权访问按照理解,应该设认证的功能没设置认证。需要安全配置或权限认证的功能、页面存在缺陷导致可以直接访问,从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。3、默认密码顾名思义,常见的路由器、摄像头等设备或应用的默认密码,以账号密码admin/admin为经典。4、SQL注入SQL注入是比较常见的网络攻击方式之一,sql语句注入,可以说是研究得最多最深的漏洞。攻击者提交的恶意数据可以被数据库解析执行,常见数据库有mysql、mssql、oracle、access、postgresql、sqlite等,各有差异。按照回显效果分:有回显:联合注入和报错注入。无回显:时间盲注、布尔盲注。联合注入:利用显示位,注入爆出想要的数据。报错注入:报错注入是利用数据库在出错的时候会引出查询信息。时间盲注:注入不同的延时语句,再通过页面响应时间判断是否存在注入。布尔盲注:注入使数据库得到true和false的场景,比如判断某个数据表是否存在sql注入的两个payload,页面的响应不同判断注入存在。5、XSSXSS(Cross Site Scripting,跨站脚本攻击)分三种类型:1)反射型:攻击者准备攻击链接, 需要受害者访问链接触发XSS代码,一般容易出现在搜索页面。2)存储型:XSS代码存在服务器中的,如在发表文章的时候插入payload,如果没有过滤或过滤不严payload存储在服务器中,当有用户访问插入payload的文章链接之后触发XSS代码执行。3)Dom型:基于Dom(DocumentObjeet Model基于文档对象模型)的漏洞,DOM中有很多对象,其中一些是用户可以操纵的,如location等。客户端的脚本不依赖于提交数据到服务器端,如果没有将DOM中传入的数据做严格的过滤,将其限制在可控范围内,就会产生DOM XSS。6、目录穿越、文件下载、文件包含目录穿越:目录穿越是未设置访问边界,用户可以越界访问到不该提供文件,会造成任意文件读取漏洞。文件下载:网站提供了文件(附件)下载功能,如果对下载的文件没有做限制,恶意利用这种方式下载服务器的敏感文件,如config.prorertie敏感文件等。文件包含:为了使用代码的重用性,通过文件包含函数将代码文件包含进来,从而使用里面的代码,文件包含在php开发中很常见。当文件包含函数的文件参数可控时,文件参数又未进行校验或者校验被绕过,就会产生文件包含漏洞,导致读取文件、代码执行等。7、文件上传web项目通常提供了文件上传的功能,当上传功能没有限制校验或者限制被绕过时,攻击者上传了恶意脚本且恶意脚本被web服务器解析成脚本文件执行脚本内容,就会导致代码执行。8.远程代码、命令执行远程代码执行:拿功能可能出现的漏洞来说。当有了方便传输、提高性能等需求,web项目中就可能会用到序列化。序列化是将对象的状态信息转换为可以存储或传输的形式的过程,反序列化为相反过程。当不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能导致任意代码执行。为了方便开发,项目使用的一些组件可能会支持一些表达式,当安全策略被绕过时,攻击者就可以通过构造特定数据带入表达式造成远程代码执行。功能强大的背后可能出现的漏洞就越多,需要做的安全措施就越多。远程命令执行:常见的web应用调用服务器程序,当参数被直接带入程序执行命令或过滤被绕过时,就可能会出现命令注入漏洞,导致远程命令执行。如支持ping功能的web程序参数IP,使用管道符|进行拼接恶意命令,就可能导致远程命令执行。9.URL跳转比如一些场景为登录之后跳转到个人中心,跳转的url可控或者过滤被绕过,就会导致任意URL链接跳转。以上仅列举常见漏洞,POC++平台接收包含但不限于以上漏洞的POC。四、常见漏洞POC类型编写按照如上漏洞类型,通过案例了解漏洞,并使用python编写poc。所以该章节学习前提:可以看懂python基础语法,看不懂的童鞋建议学习一下python基础语法,进一步有进一步的快乐呀。python2和python3如何选择?基础语法,学习哪个版本不重要,都行。个人推荐菜鸟教程的python教程,链接:https://www.runoob.com/python/python-tutorial.html。1、敏感信息泄露漏洞案例:在2019年出现的Coremail邮件系统配置文件信息泄露漏洞,Coremail mailsms接口配置存在未授权访问导致敏感信息泄露。漏洞的配置文件泄露地址是/mailsms/s?func=ADMIN:appState&dumpConfig=/。我们可以打开一个存在漏洞的链接:我们可以发现漏洞确实存在,/mailsms/s?func=ADMIN:appState&dumpConfig=/页面存在coremail关键字作为应用指纹,配置信息也直接显示泄露了,现在我们可以开始编写这个漏洞的POC了。关于指纹信息学习编写可以查看以往文章介绍,欢迎将指纹信息提交至我们平台获取丰厚奖励,链接:https://fp.shuziguanxing.com/。写POC之前我们先确认这是个通用漏洞,且POC的原则是以最少请求、最准确确认当前应用存在漏洞(少请求、低误报漏报)。所以我们的POC可以用python2编写为:2、未授权访问漏洞案例:互联网上存在很多暴露在公网上的摄像头等安防设备,且未设置认证,导致可以实时查看监控等操作。作为安防设备不安全,本身就是一种讽刺笑话。这里我们使用空间搜索引擎搜索找一款派尔高 Sarix网络摄像头。访问/liveview即可查看摄像头实时监控,且查看源码Copyright内容部分可以作为指纹信息。所以判断是否存在漏洞可以写成:请求状态码200&Copyright © 2007-2010, PELCO· Pelco.com。但是在测试POC的时候发现有些跳转到登录界面也会满足这个条件,页面里面有执行js页面跳转代码window.location.replace("/auth/login",所以还要加跳转代码未在页面里。POC可以写为:# coding:utf-8import re
import requests as req
def verify(target):
headers = {
"User-Agent": "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0",
}
action = "/liveview"
target = target.rstrip("/")
verfy_url = target + action#有时候路由URL会出现//liveview访问不到资源404,所以要确保访问到http://xxxx/liveview