Get best of the week

MosQA # 2 - Materialien von Mitap und Suche nach allen Flaggen der Quest



Am 25. Februar fand im Moskauer Büro der Mail.ru Group das zweite Treffen der MosQA-Testergemeinschaft statt. Wir sprachen darüber, wie Entwickler in Badoo auch anfingen, Tests zu schreiben, eine universelle Aufgabe für ein Interview in Python teilten und die Jungs von OK darüber sprachen, wie sie die Leistung von Android-Anwendungen messen. Um die Antriebs- und Gehirnaktivität zu steigern, haben wir den Teilnehmern ein Quiz angeboten - es wurde im CTF-Format (Capture The Flag) abgehalten. CTFs werden normalerweise für Hacking- und Sicherheitsexperten gehalten und bieten während des Wettbewerbs an, Flaggen zu nehmen, die eine bestimmte Sicherheitsanfälligkeit ausnutzen. Wir mussten das Formular testen, um Kommentare hinzuzufügen, und die Site selbst, auf der sich das Formular befand. Sie können sich auf der MosQA CTF- Website ansehen und versuchen. Und für diejenigen, die lange auf eine Analyse gewartet haben, willkommen bei cat.

Programm:


"Eine gemeinsame Sprache mit Entwicklern oder warum wir angefangen haben, Tests auf Go zu schreiben"


Ekaterina Kharitonova, Sr. QS-Ingenieur, Badoo

Report - über unsere Erfahrungen beim Testen von Services mit Test-Frameworks in PHP und Go. Und auch darüber, warum die Testdokumentation hier nicht veraltet ist und wie Entwickler und Tester gelernt haben, so effizient wie möglich zu interagieren - ohne sich gegenseitig durch unnötige Kommunikation zu ärgern.



"Wie findest du deinen Helden? Wir werden den Entwickler von Autotests (in Python) interviewen »


Andrey Yakovlev, führender Spezialist für Testautomatisierung, Mail.ru Group Ich werde

meiner Meinung nach eine interessante Fallstudie vorstellen, wie der Entwickler automatisierter Tests in Python anhand eines Beispiels eines Problems interviewt und bewertet werden kann.



"Leistungsmessungen in der OK.RU Android-Anwendung"


Anton Smolyanin, Testautomatisierungsingenieur, Odnoklassniki-Projekt, Mail.ru-Gruppe

In dem Bericht werde ich Ihnen erklären, warum Sie sich im Prinzip mit Messungen befassen, Beschleunigungsdiagramme anzeigen, eine Geschichte darüber teilen, wie langsam Abschnitte der Anwendung gefunden und behoben wurden. Ich werde die Empfehlungen von Google dazu beachten Problem.



CTF Quest


Die richtige Plattform für CTF wurde nicht sofort gefunden: Es gibt offene Lösungen für die CTF-Sicherheit, aber ihr Format passte nicht zu uns. Infolgedessen an zwei Abenden in der Bar (an derselben Stelle, an der nach dem Treffen eine After-Party stattfand) Alexey Androsovdoochikskizzierte eine Lösung auf seinem Knie. Und wir haben nur wenige Stunden vor der Veranstaltung an den Fällen und der Benutzeroberfläche gearbeitet. Bereits in Produktion getestet. Nun, wie immer, fand ein paar Ecken und Kanten. Über sie unten. Nicht streng beurteilen, ich wollte einen Fan - und anscheinend haben wir es geschafft, Ihnen Freude zu bereiten.

Die Antworten gingen in das Feld "Name" ein. Sie waren in zwei Formaten: Fälle und Flaggen. Fälle - Text, der zu den Stammgästen passt und ein Testfall für ein Textfeld ist. Standard-Grenzwertprüfungen, Verarbeitung von Benutzereingaben usw.

Insgesamt gab es 15 Fälle:

  1. Leere Leitung
  2. 1 Zeichen
  3. Platz am Anfang
  4. Einzelraum
  5. Platz am Ende
  6. Leerzeichen in der Mitte
  7. 9 Zeichen
  8. 10 Zeichen
  9. 11 Zeichen
  10. HTML-Tag zum Beispiel <h1>
  11. XSS-Injektion, z.B. <script>alert()</script>
  12. SQL-Injection beginnt die Zeile mit einem Apostroph
  13. Alle Zeichen, die nicht in [a-za-za0-9] enthalten sind
  14. Kein ASCII-Zeichen, es war möglich, Emoji zu ersetzen
  15. Newline-Zeichen

Das letzte Element mit einem Sternchen. Das Formular entgeht einem Zeilenumbruchzeichen. Um ein Flag zu erhalten, können Sie beispielsweise einen Feed-Treiber verwenden: Das



zweite Antwortformat sind Flags. Sie befanden sich an verschiedenen Stellen der Website, an denen Sie unserer Meinung nach den verantwortlichen Honigdachs anschauen müssen. Es handelte sich um eine zufällige Gruppe von Zeichen, ähnlich einem Hash - es wäre schwierig, sie zu sehen und vorbeizukommen. Hier mussten sie gefunden werden:

  1. Auf Seite 404
  2. Auf robots.txt
  3. OG-Tags. Ja, sie müssen auch überprüft werden!
  4. Im Quellcode der Seite
  5. Im x-Token-Cookie
  6. Im Namen der Ressource, die sich nicht auf dem Server und in der Konsole befand, leuchtete sie mit dem 404. Status
  7. Auf der Seite bei Eingabe aus dem IE. Nun, oder im User-Agent ersetzen)
  8. Verwenden Sie die GET-Methode anstelle von POST für die URL, an die die Formulardaten gesendet wurden.
  9. Und im Quellcode der Seite mosqa.ru/admin

Gesamt: 24 Punkte.

Nochmals herzlichen Glückwunsch an die Gewinner, die coole T-Shirts mitgenommen haben. Sonic, wenn Sie uns lesen, finden Sie sich selbst! Dein T-Shirt wartet auf dich.

Wir möchten unsere Plattform in OpenSource integrieren . Unter der MIT-Lizenz vertrieben. Fügen Sie Ihren Fällen und Flaggen hinzu, beheben Sie Fehler und erstellen Sie neue coole Quests.

Wir freuen uns immer über neue Honigdachs in unserem gemütlichen Chat . Wir wollen mehr Honigdachs. Wenn Sie bereit sind, einen Digest durchzuführen, suchen Sie nach Lautsprechern und neuen Plattformen - Sie erhalten ein cooles T-Shirt. Und wenn Sie die Kraft spüren, einen Bericht zu erstellen, verlieren wir Gewicht!

PS Alle Materialien (Fotos, Präsentationen und separate Videos) finden Sie in unserer Cloud .

Honigdachs, mach weiter! :) :)

More articles:


All Articles