Get best of the week

MosQA # 2 - materiales de mitap y busca todas las banderas de la misión



El 25 de febrero, la segunda reunión de la comunidad de evaluadores de MosQA se celebró en la oficina de Moscú del Grupo Mail.ru. Hablamos sobre cómo, en Badoo, los desarrolladores también comenzaron a escribir pruebas, compartieron una tarea universal para una entrevista en Python, y los muchachos de OK hablaron sobre cómo miden el rendimiento de las aplicaciones de Android. Y para agregar impulso y actividad cerebral, les ofrecimos a los participantes una prueba: se realizó en formato CTF (Capture The Flag). Los CTF generalmente se llevan a cabo para profesionales de piratería y seguridad, y durante la competencia ofrecen tomar banderas que explotan una vulnerabilidad particular. Tuvimos que probar el formulario para agregar comentarios y el sitio mismo en el que se encontraba el formulario. Puedes mirar y probar suerte en el sitio web de MosQA CTF. Y para aquellos que llevan mucho tiempo esperando el análisis, bienvenidos a cat.

Programa:


"Un lenguaje común con los desarrolladores, o por qué comenzamos a escribir pruebas en Go"


Ekaterina Kharitonova, Sr. Ingeniero de control de calidad, Badoo

Report: sobre nuestra experiencia en servicios de prueba utilizando marcos de prueba en PHP y Go. Y también sobre por qué la documentación de prueba no se vuelve obsoleta aquí y cómo los desarrolladores y evaluadores aprendieron a interactuar de la manera más eficiente posible, sin molestarse mutuamente con una comunicación innecesaria.



"¿Cómo encontrar a tu héroe? Entrevistaremos al desarrollador de autotests (en Python) »


Andrey Yakovlev, especialista líder en automatización de pruebas, Mail.ru Group,

compartiré un interesante, en mi opinión, un estudio de caso, cómo entrevistar y evaluar al desarrollador de pruebas automatizadas en Python usando un ejemplo de un problema.



"Mediciones de rendimiento en la aplicación de Android OK.RU"


Anton Smolyanin, ingeniero de automatización de pruebas, proyecto Odnoklassniki, grupo Mail.ru

En el informe, le diré por qué, en principio, lidiar con mediciones, mostrar gráficos de aceleración, compartir la historia de cómo se encontraron y repararon secciones lentas de la aplicación, prestaré atención a las recomendaciones de Google al respecto problema.



CTF Quest


La plataforma correcta para CTF no se encontró de inmediato: existen soluciones abiertas para la seguridad de CTF, pero su formato no nos convenía. Como resultado, durante dos noches en el bar (en el mismo lugar donde había una fiesta después de la reunión) Alexey AndrosovdoochikEsbozó una solución en su rodilla. Y sacamos los casos y la interfaz de usuario solo unas horas antes del evento. Probado ya en producción. Bueno, como siempre, encontré un par de asperezas. Sobre ellos a continuación. No juzgues estrictamente, quería un fanático, y parece que logramos darte placer.

Se recibieron respuestas en el campo "Nombre". Estaban en dos formatos: estuches y banderas. Casos: texto que se ajusta a los clientes habituales y es un caso de prueba para un campo de texto. Verificación de límites estándar, procesamiento de entrada de usuario, etc.

Hubo 15 casos en total:

  1. Linea vacia
  2. 1 personaje
  3. Espacio al principio
  4. Único espacio
  5. Espacio al final
  6. Espacios en el medio
  7. 9 caracteres
  8. 10 caracteres
  9. 11 caracteres
  10. Etiqueta HTML por ejemplo <h1>
  11. Inyección de XSS, p. <script>alert()</script>
  12. Inyección SQL, la línea comienza con un apóstrofe
  13. Cualquier personaje que no esté en [a-za-za0-9]
  14. No es un personaje ASCII, fue posible sustituir emoji
  15. Personaje de nueva línea

El último elemento con un asterisco. El formulario escapa a un carácter de nueva línea y, para obtener un indicador, puede usar un controlador de fuente, por ejemplo: El



segundo formato de respuesta es indicadores. Se ubicaron en diferentes partes del sitio, en las que, en nuestra opinión, debe mirar al tejón responsable. Eran un conjunto aleatorio de personajes, similar a un hash: verlo y pasar sería difícil. Aquí es donde tuvieron que ser encontrados:

  1. En la página 404
  2. En robots.txt
  3. Etiquetas OG. Sí, ¡también deben ser revisados!
  4. En el código fuente de la página.
  5. En la cookie x-token
  6. En el nombre del recurso, que no estaba en el servidor y en la consola, brillaba con el estado 404
  7. En la página al ingresar desde IE. Bueno, o sustituyéndolo en el User-Agent)
  8. Usando el método GET en lugar de POST, para la URL a la que se enviaron los datos del formulario.
  9. Y en el código fuente de la página mosqa.ru/admin

Total: 24 puntos.

Una vez más, felicidades a los ganadores que se llevaron camisetas geniales con ellos. Sonic, si nos lees, ¡encuéntrate! Tu camiseta te está esperando.

Queremos poner nuestra plataforma en OpenSource . Distribuido bajo la licencia MIT. Agregue a sus casos y banderas, corrija errores, cree nuevas misiones geniales.

Siempre nos alegra ver nuevos tejones de miel en nuestro acogedor chat . Queremos más tejones de miel. Por lo tanto, si está listo para hacer un resumen, busque altavoces, nuevas plataformas: obtendrá una camiseta genial. Y si sientes dentro de ti mismo la fuerza para preparar un informe, ¡entonces perderemos peso!

PD Todos los materiales (fotos, presentaciones y videos por separado) se pueden encontrar en nuestra nube .

¡Tejones de miel, adelante! :)

More articles:


All Articles