Когда фича «протестировать табуретку» вызывает нервный смех у тестировщиков и недоумение у менеджеров, пора разобраться, как на самом деле работает тестирование. Привет, Хабр. Меня зовут Елизавета Лященко, я работаю тестировщиком 5 лет, из которых 1.5 года в Самолете, и сегодня разложу по полочкам весь цикл проверки — от странных требований до стресс-тестов и финального релиза. Мы узнаем, почему тестировщик задает миллион вопросов, чем его работа отличается от «я всё проверил, всё ок» и как тестирование спасает команду от хаоса. Ну и готовьтесь увидеть табуретку так, как вы ещё никогда её не видели!
Тестирование веб-сервисов *
Семь раз оттесть, один раз деплой
Новости
Разный подход к CI/CD: опыт Amazon и Google
Несколько лет я был техническим лидером инфраструктуры для интеграционного тестирования на уровне компании в Amazon и в Google. Могу сказать, что подходы этих двух компаний к CI/CD значительно различаются.
В Amazon я проработал 11 лет (с 2009 по 2020 год). Я работал главным инженером в команде Developer Tools, которая управляла всей инфраструктурой и инструментами для CI/CD по всей компании. Мы обслуживали программное обеспечение, которое десятки тысяч сотрудников Amazon каждый день использовали для написания, проверки, сборки, тестирования и развёртывания кода.
В 2020 году я всё-таки решился на большие изменения и присоединился к Google, где провёл 4 года в качестве технического руководителя инфраструктуры для интеграционного тестирования — критически важной части инструментария CI/CD Google. Несмотря на схожесть сферы деятельности, технологические стеки различались кардинально.
Получив опыт работы в Google, другой компании с иным взглядом на процессы, я вернулся в Amazon. Без сомнений, взглянуть на вещи под другим углом было интересно и полезно.
Где и как искать этот ваш SSRF: первые шаги в багхантинге
Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем за год мне удалось ворваться в топ-10 исследователей на Standoff Bug Bounty (сейчас я на 5-м месте — можете проверить 😉).
В своем дебютном посте кратко расскажу об уязвимости с подделкой запросов на стороне сервера (SSRF) и ее видах, покажу, как обнаруживать этот баг и почему его стоит искать даже на статических сайтах, а заодно подсвечу особенности работы с Burp Suite, Collaborator Everywhere и Wappalyzer. Статья будет полезна для прокачки скилов и поможет легче и быстрее обнаруживать SSRF в сервисах, размещенных на площадках багбаунти.
Тестирование полей ввода. Реквизиты
Всем привет! Меня зовут Иван, третий год в тестировании. На данный момент нахожусь на мобильном проекте финтеха. Сегодня покажу ленивый чек-лист для тестирования маски и полей ввода. Заезженный номер телефона поберегите для себя, а мы тестируем реквизиты счёта!
Мы не будем использовать таблицу пересечений, которую преподают в Яндекс Практикуме, она очень полезная, но из-за дефицита времени часто приходится набрасывать чек-лист. Может уже от опыта перестают заполнять таблицу граничных значений и классов эквивалентности? Сейчас проверим)
У нас есть три поля на одной странице "Номер счёта", "БИК", "Наименование банка".
Истории
Apache OFBiz CVE-2024-32113
Ранее в наших статьях мы уже упоминали Вам об уязвимостях CVE-2023-49070 и CVE-2023-51467 в Apache OFBiz
, не прошло и пол года, как 05 августа 2024 была опубликована новая уязвимость с неправильным ограничением пути к закрытому каталогу CVE-2024-32113
(CVSS 3.x 9.8 баллов), затрагивающая версии ниже 18.12.14
.
Для тех, кто мало знаком с данным решением, давайте еще раз узнаем, что это за продукт.
Apache OFBiz - это open-source программное обеспечение, включающее в себя множество различных приложений для интеграции и автоматизации множества бизнес-процессов предприятий.
В этой статье мы развернем уязвимую версию OFBiz
и разберемся как эксплуатировать ее.
Интеграционное тестирование: виды, примеры и инструменты
Интеграционное тестирование нередко вспоминают на собеседованиях, когда спрашивают о видах и уровнях тестирования. И, как любую теорию, его сложно понять в отрыве от практики. В этой статье разбираем тестирование интеграций на конкретных примерах.
Автоматизация тестирования для системного аналитика. Применение Selenium и написание скрипта на Python
Привет, Хабр! Меня зовут Татьяна Ошуркова, я разработчик и системный аналитик. Не так давно у меня вышла статья Не базовые навыки. Как расширить свои возможности и найти новые подходы в работе, где я поделилась различными навыками и инструментами, которые могут быть полезны не только разработчику, но также и системному аналитику.
В этой статье я хотела бы более подробно поговорить о языке разработки Python, которого я касалась в предыдущей статье и разобрать, как системный аналитик может использовать его в своей работе.
Критерии качества требований с примерами (Часть 2)
Продолжение первой части статьи (ссылка) про критерии качества требований.
Будут разобраны:
- Атомарность
- Необходимость
- Прослеживаемость (трассируемость)
- Модифицируемость
- Понятность
Next.js + Playwright. Как мы начали писать автотесты и что из этого вышло
Привет! Меня зовут Данила, я фронтенд-тимлид в KTS.
В этой статье я поделюсь с вами нашим опытом внедрения автотестов на одном из боевых проектов. Расскажу, с какими задачами мы столкнулись, почему решили взяться за автотестирование и какие результаты это принесло.
Тестирование исключений
Разработка через тестирование (TDD) — это отличный метод, который позволяет быстро получать обратную связь по идеям дизайна и реализации, а также быстрее прийти к работающему решению.
Однако упор на «идеальный сценарий» может заставить забыть обо всех возможных ошибках и непредвиденных ситуациях. Рано или поздно вы осознаете, что реализация может дать сбой по ряду причин, и, стремясь сделать её более надёжной, вы захотите протестировать код обработки ошибок с помощью автоматизированных тестов.
Это не обязательно должно быть сложно, но может вызвать интересные вопросы. В этой статье я постараюсь затронуть некоторые из них.
Первые шаги в нагрузке
Всем привет! Меня зовут Александр Наумов, я работаю в IT больше 12 лет, из которых последние несколько лет занимаюсь тестированием. В SM Lab я курирую тестирование в продуктовых командах. Вообще, я адепт продуктового подхода — люблю, когда команды деплоят ценности продукта в продакшн, а не просто делают задачи.
Mockingbird, или Как убить всех зайцев одним выстрелом
Привет! Меня зовут Ольга Инеева, я ведущий инженер по обеспечению качества в Т-Банке. Расскажу о проблемах тестирования интеграции и об инструменте для мокирования Mockingbird. Мы решили проблему сложных связанных сценариев и хотим поделиться этим знанием. Добро пожаловать под кат!
Автотесты на Java для websocket на SockJS
Всем привет. Меня зовут Ирек, и я в профессиональном IT с 2012 года. Прошел путь от специалиста службы поддержки до разработчика. На данный момент занимаюсь автоматизацией тестирования в компании РТК ИТ.
В статье хочу рассказать о своём опыте автоматизации тестирования websocket. О том какие грабли собрал и какой в итоге велосипед изобрёл.
Ближайшие события
Критерии качества требований с примерами (Часть 1)
Требования проверяются на соответствие критериям качества. Часто этот процесс описывают как отдельный вид тестирования — тестирование требований. Понятие критериев качества требований скорее относится к бизнес-анализу, чем к QA. В разных источниках можно встретить разные наборы критериев. При написании этой статьи я руководствовалась своим опытом и тремя хорошими книгами.
В этой статье рассказывается про 7 самых часто встречающихся критериев качества c с примерами.
Лидерство в тестировании: тестирование сервисов
Тестирование сервисов включает проверку производительности, надежности и управляемости веб-приложения. Особое внимание уделяется анализу сбоев, нагрузочным испытаниям и способности системы работать непрерывно. В этой статье мы детально рассмотрим все эти аспекты тестирования сервисов.
WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)
Преимущества интеграции SOC и WAF для мониторинга API
Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры – добро пожаловать в комментарии!
Основные полезности, для условной 1-й линии SOC можно распределить на 2 группы:
Мониторинг API-активности. SOC может использовать интегрированные в WAF системы обнаружения API для мониторинга активности взаимодействия с API, включая запросы, ответы, аутентификацию и авторизацию. Это позволяет обнаруживать подозрительную или незаконную активность, такую как несанкционированные попытки доступа или использование API для атак.
Обнаружение аномалий в API-трафике: Интеграция с системами обнаружения API позволяет SOC анализировать трафик и обнаруживать аномалии, такие как необычные или аномально высокие объемы запросов, необычные паттерны поведения или подозрительные изменения в обработке данных. Подобные ситуации характерны для поведенческих атак, таких как: перебор паролей, перебор идентификаторов сессии, принудительный просмотр ресурсов веб‑приложения (Forced Browsing), подстановка учетных данных.
В каких ситуациях это может быть важно.
Аномалия в API-трафике, связанная с резким повышение количества запросов к конечным точкам инфраструктуры содержащих аутентификационные данные, например пароли, токены и секретные ключи. На иллюстрации ниже представлено отображение таких эндпоинтов в «ПроAPI Структура» с указанием типов чувствительных данных (токен, пароль и т.д.) и количества хитов/атак.
Руководство по нагрузочному тестированию для начинающих
Из этого руководства узнаем: зачем проводить нагрузочное тестирование, что от него зависит, какова архитектура, какой подход обеспечит его успешное проведение, как настроить среду, лучшие практики, а также актуальные инструменты для нагрузочного тестирования, доступные на рынке. Статья будет полезна для начинающих тестировщиков.
AdGuard: Технический Обзор для Системных Администраторов
В современном мире цифровых технологий реклама и трекеры становятся все более навязчивыми. Для системных администраторов критически важно поддерживать чистоту и безопасность сетевой инфраструктуры, а также оптимизировать пользовательский опыт. AdGuard — это мощный инструмент для блокировки рекламы и защиты частной информации, который может быть интегрирован в различные системы и среды. В этой статье мы рассмотрим технические аспекты AdGuard, его основные функции и возможности интеграции, которые будут полезны для системных администраторов.
КОТ РСХБ-Интех или «Как Обучить Тестировщика»
Три года назад мы завели КОТа — основали школу «Как Обучить Тестировщика» для подготовки кадров внутри компании, решения задач по подготовке новых инженеров-тестировщиков, а также повышения компетенций действующих сотрудников. За несколько лет КОТ стал незаменимым помощником в деле формирования качественных кадров и слаженного комьюнити тестировщиков внутри компании. В статье расскажу, как появилась школа, как мы ее развивали и к чему в итоге пришли.
Компьютерное зрение в автотестах. Поиск элемента по фото
В автотестах для web-приложений, мы привыкли искать элементы по селектору. Это обязывает наделять html-элементы уникальными атрибутами, будь то класс или data-атрибут. Но когда проект становится достаточно большим, команда начинает задумываться над сокращением размера index.html, чтобы переходя по ссылке пользователь как можно быстрее получил полезную для него информацию. Тут-то и начинается гонка за каждый байт и каждую миллисекунду и необходимость любого «лишнего» символа в html разметке ставится под сомнение. В такие моменты data-атрибуты для автотестов это первые кандидаты на удаление из конечного html. Уже довольно давно я думал о том как же находить элементы на странице не привязываясь к DOM-дереву, результатом этих поисков является плагин, который я написал для Cypress. О нем, и о подходе, который в нем применяется, пойдет речь в данной статье.
Вклад авторов
phillennium 739.0olegchir 471.0Molechka 396.0w9w 389.0Gorodnya 374.0moskowsky 337.0nizkopal 309.0ARG89 247.2rikki_tikki 244.0m1rko 239.6