Сообщений в теме: 10

[IgorZip]

Есть поле для вставки ссылки на картинку. После вставки ссылки она парсится и подтягивается изображение в соседнее поле. Как мне можно вызвать 500 ошибку связаную с этим полем. Пробовал много-много символов вводить- ничего

[baruk]

Интересно, с чего вы решили, что это вообще возможно? Если сервис написан нормально, то не получится =)

 

А так вариантов масса, считай любая негативная проверка может дать подобное поведение.

Например, битая ссылка, совсем не ссылка, слишком большое изображение (допустим, файлик на пару гигов), нулевой размер, неправильное расширение (например, ссыль на jpeg, хотя файл на самом деле архив) и т.д.

 

Если есть доступ к коду, то можно посмотреть, какие проверки не предусмотрены в нем и при каких условиях выкинется необработанное исключение

[IgorZip]

Интересно, с чего вы решили, что это вообще возможно? Если сервис написан нормально, то не получится =)

 

А так вариантов масса, считай любая негативная проверка может дать подобное поведение.

Например, битая ссылка, совсем не ссылка, слишком большое изображение (допустим, файлик на пару гигов), нулевой размер, неправильное расширение (например, ссыль на jpeg, хотя файл на самом деле архив) и т.д.

 

Если есть доступ к коду, то можно посмотреть, какие проверки не предусмотрены в нем и при каких условиях выкинется необработанное исключение

Спасибо)

[Spock]

делается легко

 

устанавливаем перехватывающий прокси типа ZAP

 

и перехватываем ответ сервера и меняем код ответа на 500 и тело ответа меняем на что угодно, например "123"

[baruk]

перехватываем ответ сервера и меняем код ответа на 500 и тело ответа меняем на что угодно, например "123"

Не опасно ли так, не зная как реально возвращаются 500ые?  Подсунем стандартный ответ веб-сервера, а реально в ответ прилетит какой-нить json, со структурой, отличной от всего что видели.

И вот он, потенциально пропущенный дефект

[Spock]

 

Не опасно ли так, не зная как реально возвращаются 500ые?  Подсунем стандартный ответ веб-сервера, а реально в ответ прилетит какой-нить json, со структурой, отличной от всего что видели.

И вот он, потенциально пропущенный дефект

почитайте выше, я написал что в тело подставляем "что угодно", например "123" - вот вам и "прилетает" структура которую мы не ожидаем

[baruk]

почитайте выше, я написал что в тело подставляем "что угодно", например "123" - вот вам и "прилетает" структура которую мы не ожидаем

Именно. А зачем нам такая структура? Ну начнут разрабы ловить ошибки при попадании "чего угодно", а прилетит реальная 500 и тут все упадет.

Я к тому, что при подмене данных нужно использовать правильную структуру ответа, иначе, как мне кажется, бессмысленно.

[Spock]

 

Именно. А зачем нам такая структура? Ну начнут разрабы ловить ошибки при попадании "чего угодно", а прилетит реальная 500 и тут все упадет.

Я к тому, что при подмене данных нужно использовать правильную структуру ответа, иначе, как мне кажется, бессмысленно.

смотрите как подменять надо чтобы "все ловилось":

 

кейс 1: подмена ответа на "ожидаемую" ошибку

подменяем хттп-код на например 403 либо что у вас там считается ошибкой, тело ответа подменяем на ошибку в вашем формате, например джейсон, с текстом например "баланс ниже нуля". смотрим система распарсила ошибку и отобразила в интерфейсе текст "баланс ниже нуля"

 

кейс 2: подмена ответа на "неожидаемую" ошибку

подменяем хтпп-код на например 500 и тело на что-то не по вашей структуре например "123". Смотрим что обработчик отобразил какую-то общую ошибку типа "Something went wrong"

[baruk]

В таком виде согласен с вами.

[77juli77]

Здравствуйте - можно но ли получить ошибку 500 или другую ошибку ( симитировать) - банк требует скриншот, а я его не сделала - не могла зайти вовремя списали 60 000 которые копились год. Буду признательна и готова заплатить если можно что то сделать - спасибо

[Snap]

Здравствуйте - можно но ли получить ошибку 500 или другую ошибку ( симитировать) - банк требует скриншот, а я его не сделала - не могла зайти вовремя списали 60 000 которые копились год. Буду признательна и готова заплатить если можно что то сделать - спасибо

Нет. Если банк честный и у них есть лог ошибок (например, на моем проекте есть), то если вы назовете им свой IP (правда IP у вас уже мог измениться) и точное время, они смогут посмотреть, была ли ошибка.

Еще, если не ошибаюсь, сейчас провайдер обязан хранить историю посещений сайтов полгода, можно попробовать обратиться к нему.