Тестирование веб-сервисов *

Когда фича «протестировать табуретку» вызывает нервный смех у тестировщиков и недоумение у менеджеров, пора разобраться, как на самом деле работает тестирование. Привет, Хабр. Меня зовут Елизавета Лященко, я работаю тестировщиком 5 лет, из которых 1.5 года в Самолете, и сегодня разложу по полочкам весь цикл проверки — от странных требований до стресс-тестов и финального релиза. Мы узнаем, почему тестировщик задает миллион вопросов, чем его работа отличается от «я всё проверил, всё ок» и как тестирование спасает команду от хаоса. Ну и готовьтесь увидеть табуретку так, как вы ещё никогда её не видели!

Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем за год мне удалось ворваться в топ-10 исследователей на Standoff Bug Bounty (сейчас я на 5-м месте — можете проверить 😉).

В своем дебютном посте кратко расскажу об уязвимости с подделкой запросов на стороне сервера (SSRF) и ее видах, покажу, как обнаруживать этот баг и почему его стоит искать даже на статических сайтах, а заодно подсвечу особенности работы с Burp Suite, Collaborator Everywhere и Wappalyzer. Статья будет полезна для прокачки скилов и поможет легче и быстрее обнаруживать SSRF в сервисах, размещенных на площадках багбаунти.

Всем привет! Меня зовут Иван, третий год в тестировании. На данный момент нахожусь на мобильном проекте финтеха. Сегодня покажу ленивый чек-лист для тестирования маски и полей ввода. Заезженный номер телефона поберегите для себя, а мы тестируем реквизиты счёта!

Мы не будем использовать таблицу пересечений, которую преподают в Яндекс Практикуме, она очень полезная, но из-за дефицита времени часто приходится набрасывать чек-лист. Может уже от опыта перестают заполнять таблицу граничных значений и классов эквивалентности? Сейчас проверим)

У нас есть три поля на одной странице "Номер счёта", "БИК", "Наименование банка".

Ранее в наших статьях мы уже упоминали Вам об уязвимостях CVE-2023-49070 и CVE-2023-51467 в Apache OFBiz, не прошло и пол года, как 05 августа 2024 была опубликована новая уязвимость с неправильным ограничением пути к закрытому каталогу CVE-2024-32113 (CVSS 3.x 9.8 баллов), затрагивающая версии ниже 18.12.14.

Для тех, кто мало знаком с данным решением, давайте еще раз узнаем, что это за продукт.

Apache OFBiz - это open-source программное обеспечение, включающее в себя множество различных приложений для интеграции и автоматизации множества бизнес-процессов предприятий.

В этой статье мы развернем уязвимую версию OFBiz и разберемся как эксплуатировать ее.

Интеграционное тестирование нередко вспоминают на собеседованиях, когда спрашивают о видах и уровнях тестирования. И, как любую теорию, его сложно понять в отрыве от практики. В этой статье разбираем тестирование интеграций на конкретных примерах.

Привет, Хабр! Меня зовут Татьяна Ошуркова, я разработчик и системный аналитик. Не так давно у меня вышла статья Не базовые навыки. Как расширить свои возможности и найти новые подходы в работе, где я поделилась различными навыками и инструментами, которые могут быть полезны не только разработчику, но также и системному аналитику.

В этой статье я хотела бы более подробно поговорить о языке разработки Python, которого я касалась в предыдущей статье и разобрать, как системный аналитик может использовать его в своей работе.

Продолжение первой части статьи (ссылка) про критерии качества требований.

Будут разобраны:

- Атомарность
- Необходимость
- Прослеживаемость (трассируемость)
- Модифицируемость
- Понятность

Привет! Меня зовут Данила, я фронтенд-тимлид в KTS.

В этой статье я поделюсь с вами нашим опытом внедрения автотестов на одном из боевых проектов. Расскажу, с какими задачами мы столкнулись, почему решили взяться за автотестирование и какие результаты это принесло.

Разработка через тестирование (TDD) — это отличный метод, который позволяет быстро получать обратную связь по идеям дизайна и реализации, а также быстрее прийти к работающему решению.

Однако упор на «идеальный сценарий» может заставить забыть обо всех возможных ошибках и непредвиденных ситуациях. Рано или поздно вы осознаете, что реализация может дать сбой по ряду причин, и, стремясь сделать её более надёжной, вы захотите протестировать код обработки ошибок с помощью автоматизированных тестов.

Это не обязательно должно быть сложно, но может вызвать интересные вопросы. В этой статье я постараюсь затронуть некоторые из них.

Всем привет! Меня зовут Александр Наумов, я работаю в IT больше 12 лет, из которых последние несколько лет занимаюсь тестированием. В SM Lab я курирую тестирование в продуктовых командах. Вообще, я адепт продуктового подхода — люблю, когда команды деплоят ценности продукта в продакшн, а не просто делают задачи.

Привет! Меня зовут Ольга Инеева, я ведущий инженер по обеспечению качества в Т-Банке. Расскажу о проблемах тестирования интеграции и об инструменте для мокирования Mockingbird. Мы решили проблему сложных связанных сценариев и хотим поделиться этим знанием. Добро пожаловать под кат!

Всем привет. Меня зовут Ирек, и я в профессиональном IT с 2012 года. Прошел путь от специалиста службы поддержки до разработчика. На данный момент занимаюсь автоматизацией тестирования в компании РТК ИТ.

В статье хочу рассказать о своём опыте автоматизации тестирования websocket. О том какие грабли собрал и какой в итоге велосипед изобрёл.

Требования проверяются на соответствие критериям качества. Часто этот процесс описывают как отдельный вид тестирования — тестирование требований. Понятие критериев качества требований скорее относится к бизнес-анализу, чем к QA. В разных источниках можно встретить разные наборы критериев. При написании этой статьи я руководствовалась своим опытом и тремя хорошими книгами.

В этой статье рассказывается про 7 самых часто встречающихся критериев качества c с примерами.

Тестирование сервисов включает проверку производительности, надежности и управляемости веб-приложения. Особое внимание уделяется анализу сбоев, нагрузочным испытаниям и способности системы работать непрерывно. В этой статье мы детально рассмотрим все эти аспекты тестирования сервисов.

Преимущества интеграции SOC и WAF для мониторинга API

Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры – добро пожаловать в комментарии!

Основные полезности, для условной 1-й линии SOC можно распределить на 2 группы:

Мониторинг API-активности. SOC может использовать интегрированные в WAF системы обнаружения API для мониторинга активности взаимодействия с API, включая запросы, ответы, аутентификацию и авторизацию. Это позволяет обнаруживать подозрительную или незаконную активность, такую как несанкционированные попытки доступа или использование API для атак.

Обнаружение аномалий в API-трафике: Интеграция с системами обнаружения API позволяет SOC анализировать трафик и обнаруживать аномалии, такие как необычные или аномально высокие объемы запросов, необычные паттерны поведения или подозрительные изменения в обработке данных. Подобные ситуации характерны для поведенческих атак, таких как:  перебор паролей, перебор идентификаторов сессии, принудительный просмотр  ресурсов веб‑приложения (Forced Browsing), подстановка учетных данных.

В каких ситуациях это может быть важно. 

Аномалия в API-трафике, связанная с резким повышение количества запросов к конечным точкам инфраструктуры содержащих аутентификационные данные, например пароли, токены и секретные ключи. На иллюстрации ниже представлено отображение таких эндпоинтов в «ПроAPI Структура» с указанием типов чувствительных данных (токен, пароль и т.д.) и количества хитов/атак.

Из этого руководства узнаем: зачем проводить нагрузочное тестирование, что от него зависит, какова архитектура, какой подход обеспечит его успешное проведение, как настроить среду, лучшие практики, а также актуальные инструменты для нагрузочного тестирования, доступные на рынке. Статья будет полезна для начинающих тестировщиков.

В современном мире цифровых технологий реклама и трекеры становятся все более навязчивыми. Для системных администраторов критически важно поддерживать чистоту и безопасность сетевой инфраструктуры, а также оптимизировать пользовательский опыт. AdGuard — это мощный инструмент для блокировки рекламы и защиты частной информации, который может быть интегрирован в различные системы и среды. В этой статье мы рассмотрим технические аспекты AdGuard, его основные функции и возможности интеграции, которые будут полезны для системных администраторов.

Три года назад мы завели КОТа — основали школу «Как Обучить Тестировщика» для подготовки кадров внутри компании, решения задач по подготовке новых инженеров-тестировщиков, а также повышения компетенций действующих сотрудников. За несколько лет КОТ стал незаменимым помощником в деле формирования качественных кадров и слаженного комьюнити тестировщиков внутри компании. В статье расскажу, как появилась школа, как мы ее развивали и к чему в итоге пришли.

В автотестах для web-приложений, мы привыкли искать элементы по селектору. Это обязывает наделять html-элементы уникальными атрибутами, будь то класс или data-атрибут. Но когда проект становится достаточно большим, команда начинает задумываться над сокращением размера index.html, чтобы переходя по ссылке пользователь как можно быстрее получил полезную для него информацию. Тут-то и начинается гонка за каждый байт и каждую миллисекунду и необходимость любого «лишнего» символа в html разметке ставится под сомнение. В такие моменты data-атрибуты для автотестов это первые кандидаты на удаление из конечного html. Уже довольно давно я думал о том как же находить элементы на странице не привязываясь к DOM-дереву, результатом этих поисков является плагин, который я написал для Cypress. О нем, и о подходе, который в нем применяется, пойдет речь в данной статье.