Get best of the week

MosQA # 2 - materiais da mitap e procure por todas as bandeiras da missão



Em 25 de fevereiro, a segunda reunião da comunidade de testadores do MosQA foi realizada no escritório de Moscou do grupo Mail.ru. Conversamos sobre como, no Badoo, os desenvolvedores também começaram a escrever testes, compartilharam uma tarefa universal para uma entrevista em Python, e os caras da OK falaram sobre como eles medem o desempenho dos aplicativos Android. E, para adicionar atividade motriz e cerebral, oferecemos aos participantes um questionário - realizado no formato CTF (Capture The Flag). Os CTFs geralmente são mantidos por profissionais de hackers e segurança e, durante a competição, eles oferecem bandeiras que exploram uma vulnerabilidade específica. Tivemos que testar o formulário para adicionar comentários e o próprio site em que o formulário estava localizado. Você pode assistir e experimentar sua mão no site do MosQA CTF. E para aqueles que há muito aguardam análises, sejam bem-vindos ao gato.

Programa:


“Uma linguagem comum com os desenvolvedores ou por que começamos a escrever testes no Go”


Ekaterina Kharitonova, Sr. Engenheiro de controle de qualidade, Badoo

Report - sobre nossa experiência em serviços de teste usando estruturas de teste em PHP e Go. E também sobre por que a documentação de teste não se torna obsoleta aqui e como os desenvolvedores e testadores aprenderam a interagir da maneira mais eficiente possível - sem se incomodar com comunicações desnecessárias.



"Como encontrar o seu herói? Entrevistaremos o desenvolvedor de autotestes (em Python) »


Andrey Yakovlev, Especialista Líder em Automação de Testes, Grupo Mail.ru Vou

compartilhar um estudo de caso interessante, na minha opinião, como entrevistar e avaliar o desenvolvedor de testes automatizados em Python usando um exemplo de um problema.



"Medições de desempenho no aplicativo android OK.RU"


Anton Smolyanin, Automação de Testes Engenheiro, projeto Odnoklassniki, Mail.ru Grupo

No relatório Vou lhe dizer por que, em princípio, fazer medições, gráficos mostram aceleração, compartilhar a história de seções como lento da aplicação foram encontrados e corrigidos, eu vou prestar atenção às recomendações do Google sobre este questão.



CTF Quest


A plataforma certa para o CTF não foi encontrada imediatamente: existem soluções abertas para a segurança do CTF, mas seu formato não nos convinha. Como resultado, por duas noites no bar (no mesmo local em que houve uma festa após a reunião) Alexey Androsovdoochikesboçou uma solução no joelho. Colocamos os casos e a interface do usuário apenas algumas horas antes do evento. Já testado em produção. Bem, como sempre, encontrou algumas arestas. Sobre eles abaixo. Não julgue estritamente, eu queria um fã - e, ao que parece, conseguimos dar-lhe prazer.

As respostas foram recebidas no campo "Nome". Eles estavam em dois formatos: caixas e bandeiras. Casos - texto que se ajusta aos regulares e é um caso de teste para um campo de texto. Verificações de limites padrão, processamento de entrada do usuário, etc.

Havia 15 casos no total:

  1. Linha vazia
  2. 1 caractere
  3. Espaço no começo
  4. Espaço único
  5. Espaço no final
  6. Espaços no meio
  7. 9 caracteres
  8. 10 caracteres
  9. 11 caracteres
  10. Tag HTML por exemplo <h1>
  11. Injeção de XSS, por exemplo <script>alert()</script>
  12. Injeção SQL, a linha começa com um apóstrofo
  13. Qualquer caractere que não esteja em [a-za-za0-9]
  14. Não é um caractere ASCII, foi possível substituir emoji
  15. Caractere de nova linha

O último item com um asterisco. O formulário escapa a um caractere de nova linha e, para obter um sinalizador, você pode usar um driver de feed, por exemplo: O



segundo formato de resposta é sinalizadores. Eles estavam localizados em diferentes partes do site, nas quais, em nossa opinião, é necessário examinar o texugo de mel responsável. Eles eram um conjunto aleatório de caracteres, semelhante a um hash - ver e passar seria difícil. Aqui é onde eles precisavam ser encontrados:

  1. Na página 404
  2. No robots.txt
  3. Tags OG. Sim, eles precisam ser verificados também!
  4. No código fonte da página
  5. No cookie x-token
  6. No nome do recurso, que não estava no servidor e no console, ele brilhou com o status 404
  7. Na página ao entrar no IE. Bem, ou substituindo-o no User-Agent)
  8. Usando o método GET em vez de POST, para a URL para a qual os dados do formulário foram.
  9. E no código fonte da página mosqa.ru/admin

Total: 24 pontos.

Mais uma vez, parabéns aos vencedores que levaram camisetas legais com eles. Sonic, se você nos ler, encontre-se! Sua camiseta está esperando por você.

Queremos colocar nossa plataforma em código aberto . Distribuído sob a licença MIT. Adicione aos seus casos e sinalizadores, corrija bugs, crie novas missões legais.

Estamos sempre felizes em ver novos texugos de mel em nosso bate-papo aconchegante . Queremos mais texugos de mel. Portanto, se você estiver pronto para digerir, procure alto-falantes, novas plataformas - você receberá uma camiseta legal. E se você sentir a força de preparar um relatório, perderemos peso!

PS Todos os materiais (fotos, apresentações e vídeos separadamente) podem ser encontrados em nossa nuvem .

Texugos de mel, vá em frente! :)

More articles:


All Articles