Get best of the week

MosQA # 2 - bahan dari mitap dan mencari semua bendera dari pencarian



Pada 25 Februari, pertemuan kedua komunitas penguji MosQA diadakan di kantor Moskow di Grup Mail.ru. Kami berbicara tentang bagaimana, di Badoo, pengembang juga mulai menulis tes, berbagi tugas universal untuk wawancara dengan Python, dan orang-orang dari OK berbicara tentang bagaimana mereka mengukur kinerja aplikasi Android. Dan untuk menambah aktivitas berkendara dan otak, kami menawarkan para peserta kuis - itu diadakan dalam format CTF (Capture The Flag). CTFs biasanya diadakan untuk peretasan dan profesional keamanan dan selama kompetisi mereka menawarkan untuk mengambil bendera yang mengeksploitasi kerentanan tertentu. Kami harus menguji formulir untuk menambahkan komentar dan situs itu sendiri di mana formulir itu berada. Anda dapat menonton dan mencoba tangan Anda di situs web MosQA CTF. Dan bagi mereka yang telah lama menunggu analisis, selamat datang di kucing.

Program:


โ€œBahasa yang umum dengan pengembang, atau mengapa kami mulai menulis tes di Goโ€


Ekaterina Kharitonova, Sr. Insinyur QA,

Laporan Badoo - tentang pengalaman kami dalam layanan pengujian menggunakan kerangka kerja pengujian di PHP dan Go. Dan juga tentang mengapa dokumentasi pengujian tidak menjadi usang di sini dan bagaimana pengembang dan penguji belajar berinteraksi seefisien mungkin - tanpa mengganggu satu sama lain dengan komunikasi yang tidak perlu.



"Bagaimana menemukan pahlawanmu? Kami akan mewawancarai pengembang autotests (dengan Python) ยป


Andrey Yakovlev, Spesialis Utama dalam Otomasi Uji, Mail.ru Grup I akan

berbagi yang menarik, menurut pendapat saya, studi kasus, cara mewawancarai dan mengevaluasi pengembang tes otomatis dengan Python menggunakan contoh satu masalah.



"Pengukuran kinerja di aplikasi android OK.RU"


Anton Smolyanin, Test Automation Engineer, proyek Odnoklassniki, Mail.ru Group

Dalam laporan ini saya akan memberi tahu Anda mengapa, pada prinsipnya, berurusan dengan pengukuran, menunjukkan grafik akselerasi, berbagi cerita tentang bagaimana lambatnya bagian aplikasi ditemukan dan diperbaiki, saya akan memperhatikan rekomendasi Google mengenai hal ini isu.



Quest KKP


Platform yang tepat untuk CTF tidak ditemukan saat itu juga: ada solusi terbuka untuk keamanan CTF, tetapi formatnya tidak sesuai dengan kami. Akibatnya, selama dua malam di bar (di tempat yang sama di mana ada pesta setelah pertemuan) Alexey Androsovdoochikmembuat sketsa solusi di lututnya. Dan kami menggunakan case dan UI hanya beberapa jam sebelum acara. Sudah diuji dalam produksi. Nah, seperti biasa, ditemukan beberapa ujung yang kasar. Tentang mereka di bawah ini. Jangan menilai dengan ketat, saya ingin penggemar - dan, sepertinya, kami berhasil memberi Anda kesenangan.

Tanggapan diterima di bidang "Nama". Mereka berada dalam dua format: kasus dan bendera. Kasing - teks yang sesuai dengan pelanggan tetap dan merupakan ujian untuk bidang teks. Pemeriksaan batas standar, pemrosesan input pengguna, dll.

Total ada 15 kasus:

  1. Baris kosong
  2. 1 karakter
  3. Ruang di awal
  4. Ruang tunggal
  5. Ruang di ujung
  6. Spaces di tengah
  7. 9 karakter
  8. 10 karakter
  9. 11 karakter
  10. Tag HTML misalnya <h1>
  11. Injeksi XSS mis. <script>alert()</script>
  12. Injeksi SQL, baris dimulai dengan tanda kutip
  13. Karakter apa pun yang tidak dalam [a-za-za0-9]
  14. Bukan karakter ASCII, itu mungkin untuk mengganti emoji
  15. Karakter baris baru

Item terakhir dengan tanda bintang. Formulir lolos dari baris baru, dan untuk mendapatkan bendera, Anda bisa menggunakan feedler, misalnya:



Format respons kedua adalah bendera. Mereka berada di berbagai bagian situs, di mana, menurut pendapat kami, Anda perlu melihat musang madu yang bertanggung jawab. Mereka adalah serangkaian karakter acak, mirip dengan hash - untuk melihatnya dan lewat akan sulit. Di sinilah mereka harus ditemukan:

  1. Di halaman 404
  2. Di robots.txt
  3. Tag OG. Ya, mereka perlu diperiksa juga!
  4. Di kode sumber halaman
  5. Dalam cookie x-token
  6. Atas nama sumber daya, yang tidak ada di server dan di konsol, itu bersinar dengan status ke-404
  7. Pada halaman saat masuk dari IE. Yah, atau gantikan dengan User-Agent)
  8. Menggunakan metode GET alih-alih POST, untuk URL tempat data formulir pergi.
  9. Dan dalam kode sumber halaman mosqa.ru/admin

Total: 24 poin.

Sekali lagi, selamat untuk para pemenang yang membawa t-shirt keren bersama mereka. Sonic, jika Anda membaca kami, temukan diri Anda! Kaos Anda menunggu Anda.

Kami ingin meletakkan platform kami di OpenSource . Didistribusikan di bawah lisensi MIT. Tambahkan ke kasing dan bendera Anda, perbaiki bug, buat pencarian keren baru.

Kami selalu senang melihat musang madu baru di obrolan nyaman kami . Kami ingin lebih banyak musang madu. Karena itu, jika Anda siap melakukan intisari, cari speaker, platform baru - Anda akan mendapatkan T-shirt keren. Dan jika Anda merasakan kekuatan dalam diri Anda untuk menyiapkan laporan, maka kami akan menurunkan berat badan!

PS Semua materi (foto, presentasi, dan secara terpisah video) dapat ditemukan di Cloud kami .

Musang madu, silakan! :)

More articles:


All Articles