Get best of the week

MosQA # 2 - matériaux de mitap et recherche de tous les drapeaux de la quête



Le 25 février, la deuxième réunion de la communauté des testeurs MosQA a eu lieu au bureau de Moscou du Mail.ru Group. Nous avons expliqué comment, à Badoo, les développeurs ont également commencé à écrire des tests, partagé une tâche universelle pour une interview en Python, et les gars de OK ont expliqué comment ils mesuraient les performances des applications Android. Et pour ajouter de l'entraînement et de l'activité cérébrale, nous avons proposé aux participants un quiz - qui s'est déroulé au format CTF (Capture The Flag). Les FFC sont généralement détenus pour les professionnels du piratage et de la sécurité et pendant la compétition, ils proposent de prendre des drapeaux exploitant une vulnérabilité particulière. Nous avons dû tester le formulaire pour ajouter des commentaires et le site lui-même sur lequel se trouvait le formulaire. Vous pouvez regarder et vous essayer sur le site Web MosQA CTF. Et pour ceux qui attendent depuis longtemps l'analyse, bienvenue au chat.

Programme:


"Un langage commun avec les développeurs, ou pourquoi nous avons commencé à écrire des tests sur Go"


Ekaterina Kharitonova, Sr. Ingénieur QA, Badoo

Report - sur notre expérience dans les services de test utilisant des frameworks de test en PHP et Go. Et aussi pourquoi la documentation de test ne devient pas obsolète ici et comment les développeurs et les testeurs ont appris à interagir aussi efficacement que possible - sans se gêner mutuellement par une communication inutile.



"Comment trouver votre héros? Nous allons interviewer le développeur des autotests (en Python) »


Andrey Yakovlev, spécialiste principal de l'automatisation des tests, Mail.ru Group I

partagera une étude de cas intéressante, à mon avis, sur la façon d'interviewer et d'évaluer le développeur de tests automatisés en Python en utilisant un exemple d'un problème.



"Mesures des performances dans l'application Android OK.RU"


Anton Smolyanin, ingénieur en automatisation des tests, projet Odnoklassniki, groupe Mail.ru

Dans le rapport, je vais vous expliquer pourquoi, en principe, traiter les mesures, afficher des graphiques d'accélération, partager une histoire sur la façon dont les sections lentes de l'application ont été trouvées et corrigées, je prêterai attention aux recommandations de Google à ce sujet problème.



CTF Quest


La bonne plateforme pour CTF n'a pas été trouvée tout de suite: il existe des solutions ouvertes pour la sécurité CTF, mais leur format ne nous convenait pas. En conséquence, pendant deux soirées au bar (au même endroit où il y avait une after party après la réunion) Alexey Androsovdoochikesquissé une solution sur son genou. Et nous avons retiré les étuis et l'interface utilisateur quelques heures seulement avant l'événement. Testé déjà en production. Eh bien, comme d'habitude, j'ai trouvé quelques bords rugueux. À leur sujet ci-dessous. Ne jugez pas strictement, je voulais un fan - et, semble-t-il, nous avons réussi à vous faire plaisir.

Des réponses ont été reçues dans le champ "Nom". Ils étaient sous deux formats: étuis et drapeaux. Cas - texte qui s'adapte aux habitués et est un cas de test pour un champ de texte. Vérifications des limites standard, traitement des entrées utilisateur, etc.

Il y a eu 15 cas au total:

  1. Ligne vide
  2. 1 caractère
  3. L'espace au début
  4. Seul espace
  5. Espace à la fin
  6. Espaces au milieu
  7. 9 caractères
  8. 10 caractères
  9. 11 caractères
  10. Balise HTML par exemple <h1>
  11. Injection XSS par ex. <script>alert()</script>
  12. Injection SQL, la ligne commence par une apostrophe
  13. Tout caractère absent de [a-za-za0-9]
  14. Pas un caractère ASCII, il était possible de remplacer les emoji
  15. Caractère de nouvelle ligne

Le dernier élément avec un astérisque. Le formulaire échappe un caractère de nouvelle ligne, et pour obtenir un indicateur, vous pouvez utiliser un pilote de flux, par exemple: Le



deuxième format de réponse est les indicateurs. Ils étaient situés dans différentes parties du site, dans lesquelles, à notre avis, vous devez regarder le blaireau responsable. Ils étaient un ensemble aléatoire de caractères, semblable à un hachage - le voir et passer serait difficile. C'est là qu'il fallait les trouver:

  1. À la page 404
  2. Sur robots.txt
  3. Étiquettes OG. Oui, ils doivent également être vérifiés!
  4. Dans le code source de la page
  5. Dans le cookie x-token
  6. Au nom de la ressource, qui n'était pas sur le serveur et dans la console, elle brillait avec le 404ème statut
  7. Sur la page en entrant depuis IE. Eh bien, ou en le remplaçant dans l'agent utilisateur)
  8. Utilisation de la méthode GET au lieu de POST, pour l'URL à laquelle les données du formulaire sont allées.
  9. Et dans le code source de la page mosqa.ru/admin

Total: 24 points.

Encore une fois, félicitations aux gagnants qui ont emporté avec eux des t-shirts sympas. Sonic, si vous nous lisez, retrouvez-vous! Votre t-shirt vous attend.

Nous voulons mettre notre plateforme en OpenSource . Distribué sous licence MIT. Ajoutez à vos cas et à vos drapeaux, corrigez des bugs, créez de nouvelles quêtes cool.

Nous sommes toujours heureux de voir de nouveaux blaireaux de miel dans notre conversation chaleureuse . Nous voulons plus de blaireaux de miel. Par conséquent, si vous êtes prêt à faire un résumé, recherchez des haut-parleurs, de nouvelles plateformes - vous obtiendrez un T-shirt sympa. Et si vous sentez en vous la force de préparer un rapport, alors nous perdrons du poids!

PS Tous les matériaux (photos, présentations et vidéos séparément) peuvent être trouvés dans notre Cloud .

Honey blaireaux, allez-y! :)

More articles:


All Articles