Сообщений в теме: 24

[baranceva]

Тестирование веб-приложений интересно тем, что оно требует наиболее широкого владения различными видами тестирования. Одно из ключевых мест занимает тестирование защищенности (security testing) или проверка отсутствия известных уязвимостей.

Почему тестирование защищенности имеет такое большое значение именно для веб-приложений?

• Веб-приложения ориентированы на массовое использование, поэтому сбои в работе, вызванные действиями злоумышленника, могут оказать негативное воздействие на большое количество ни в чём неповинных пользователей.
• Веб-приложения могут хранить конфиденциальную информацию, утечка этих данных может иметь очень серьёзные последствия.
• Доступ к веб-приложению имеет множество “недоверенных” пользователей, при этом владельцы или разработчики приложения как правило не могут контролировать или ограничивать их действия.
• Обмен информацией между браузером и сервером происходит по открытым каналам с использованием открытых протоколов, поэтому сложно контролировать данные, передаваемые клиентами.
• Разработка веб-приложений не всегда ведётся с должным вниманием к обеспечению защищенности и надёжности, потому что рынок в первую очередь требует “быстро”!

Разумеется, тестирование защищенности не ограничивается тестированием самого веб-приложения. Уязвимость может находиться в веб-сервере, операционной системе, почтовой системе, ftp-сервере или ещё где-то. Но задача создания защищенного окружения в большей степени находится в зоне ответственности системных администраторов, а вот защищенность вашего собственного веб-приложения -- целиком на совести его разработчиков и тестировщиков.

На тренинге мы рассмотрим как общие принципы компроментации защиты веб-приложений, так и отдельные наиболее распространенные виды уязвимостей, которые могут быть использованы даже не слишком квалифицированным злоумышленником, что существенно повышает вероятность их эксплуатации.

Подробная программа и условия участия

[Mystery_Andrew]

К сожалению, время тренингов для меня не очень удачно. Можно ли будет приобрести записи?
В описании тренинга звучит фраза "В случае, если Вы пропустите какое-либо занятие, Вы получите его запись и домашнее задание.". Подразумевается, что будут выданы записи всех занятий, или же только пропущенных?
Заранее спасибо за ответ!

[baranceva]

К сожалению, время тренингов для меня не очень удачно. Можно ли будет приобрести записи?
В описании тренинга звучит фраза "В случае, если Вы пропустите какое-либо занятие, Вы получите его запись и домашнее задание.". Подразумевается, что будут выданы записи всех занятий, или же только пропущенных?
Заранее спасибо за ответ!

Как обычно в наших онлайн-тренингах все участники получат записи всех занятий.
На занятиях присутствовать не обязательно, главное найти время для выполнения домашних заданий.

Просто записи мы продавать не планировали, так как в таких тренингах все-таки основа -- это домашняя работа.

[bestester]

Добрый день. Зашла в систему GotoWebinar для консультации, но там никого нет... и написано время 15.00. А сказано, что консультация будет с 17.00 до 17.30.

[baranceva]

Добрый день. Зашла в систему GotoWebinar для консультации, но там никого нет... и написано время 15.00. А сказано, что консультация будет с 17.00 до 17.30.

Честно говоря не поняла вашего сообщения.
Консультация была с 17 до 17-30 по московскому времени.
Вы подключены к скайп-чату тренера? А к закрытому форуму курса?
По логину, к сожалению, не могу определить, кто Вы :-(
Если Вы участник курса и у Вас возникли проблемы -- напишите мне либо на почту trainings@software-testing.ru, либо в закрытый скайп-чат тренера, либо в закрытую группу в форуме.
Все инструкции как это сделать есть в системе дистанционного обучения, к которой имеют доступ все участники курса.

[marinavs]

Добрый день!
Хочу оставить свой отзыв о прослушанном вебинаре (4 видео + домашние задания).

Интересно было послушать о разных подходах, инструментах и их применении.
Так же полезен презентованый чек-лист.

Из минусов хотелось бы отметить следующее:
учитывая то, что это была запись, а не живое выступление, можно было бы исключить из вебинара листание страниц, долгий поиск нужной закладки среди всех открытых,
умершую виртуалку, открытие-закрытие окон скайпа (можно его открывать в другом мониторе) и т.д.
Так же не очень понятен подход к домашнему заданию. Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д.
А так вы заставляете нас тренироваться устанавливать WAMP Server (Apache + PHP + MySQL) вместо того, чтобы сразу приступить к работе по делу.

[Molechka]

Так же не очень понятен подход к домашнему заданию. Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д.
А так вы заставляете нас тренироваться устанавливать WAMP Server (Apache + PHP + MySQL) вместо того, чтобы сразу приступить к работе по делу.

Ужасно, ужасно...
А на новую работу Вы, наверное, сразу со своим ноутбуком приходите? И пользуетесь личным багтрекером...
Ну действительно, зачем тратить время, регистрируясь во всяких там джирах и вики, устанавливать корпоративную почту... Вместо того, чтобы сразу приступить к работе по делу!

[Rebz]

Так же не очень понятен подход к домашнему заданию. Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д.
А так вы заставляете нас тренироваться устанавливать WAMP Server (Apache + PHP + MySQL) вместо того, чтобы сразу приступить к работе по делу.

Ужасно, ужасно...
А на новую работу Вы, наверное, сразу со своим ноутбуком приходите? И пользуетесь личным багтрекером...
Ну действительно, зачем тратить время, регистрируясь во всяких там джирах и вики, устанавливать корпоративную почту... Вместо того, чтобы сразу приступить к работе по делу! />/>/>/>

Ольга, вы зря ёрничайте.
Комментарий вполне уместен. Если видео записанное, там не должно быть каких-то затяжных моментов, насчет того, как ставить WAMP - это вообще можно написать в требованиях к тренингу или сказать буквально пару слов в оном. Посетители данного тренинга должны понимать что такое веб-сервер и как его ставить, если уж они хотят научиться тестировать веб-приложения на защищенность.

Имхо, в тренинге надо обучать тому, что потом понадобится при домашних заданиях. Установка веб-сервера сюда вряд ли относится.

PS это здорово, когда есть такие пользователи, которые описывают отрицательные стороны, значит, есть куда двигаться дальше и что можно улучшить!

[baranceva]

Из минусов хотелось бы отметить следующее:
учитывая то, что это была запись, а не живое выступление, можно было бы исключить из вебинара листание страниц, долгий поиск нужной закладки среди всех открытых,
умершую виртуалку, открытие-закрытие окон скайпа (можно его открывать в другом мониторе) и т.д.
Так же не очень понятен подход к домашнему заданию. Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д.
А так вы заставляете нас тренироваться устанавливать WAMP Server (Apache + PHP + MySQL) вместо того, чтобы сразу приступить к работе по делу.

Про то, есть ли необходимость устанавливать WAMP Server в рамках домашнего задания, я надеюсь, что Алексей сам ответит. Часто смежные навыки и знания бывают не менее важными, чем основной материал.

А что касается "вычистки записей", то полностью согласна. В оправдание Алексея лишь скажу, что как только он вычистит какую-то запись, так сразу что-то обновляется и он записывает новую :-).

Несмотря на то, что живых занятий нет (и не потому-что тренер не хочет проводить живые занятие, а просто потому, что участникам удобнее смотреть запись со своей скоростью, в удобное время, а потом просто задать вопросы на консультациях или в скайпе и закрытом форуме -- практически все ученики после обучения соглашаются с этим, хотя поначалу побаиваются такого формата), тренер следит за актуальностью курса и постоянно обновляет записи.

И спасибо за отзыв, мы всегда рады любым отзывам, это помогает нам идти вперед и развиваться.

[barancev]

Добрый день!
Хочу оставить свой отзыв о прослушанном вебинаре (4 видео + домашние задания).

Интересно было послушать о разных подходах, инструментах и их применении.
Так же полезен презентованый чек-лист.

Из минусов хотелось бы отметить следующее:
учитывая то, что это была запись, а не живое выступление, можно было бы исключить из вебинара листание страниц, долгий поиск нужной закладки среди всех открытых,
умершую виртуалку, открытие-закрытие окон скайпа (можно его открывать в другом мониторе) и т.д.

Спасибо за отзыв! Да, надо признать, что в записях, которые сделаны во время "живых" онлайн-семинаров встречаются затянутости, сбои и прочие недоразумения. Мы их по мере возможностей чистим, а иногда даже полностью перезаписываем. Но до этого курса пока руки не дошли, к сожалению. Будем исправляться!

[barancev]

Так же не очень понятен подход к домашнему заданию. Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д.
А так вы заставляете нас тренироваться устанавливать WAMP Server (Apache + PHP + MySQL) вместо того, чтобы сразу приступить к работе по делу.

А вот на этот вопрос я хотел бы ответить комментарием Rebz, который хотя и "согласился с предыдущим комментатором", на самом деле сформулировал полностью противоположный тезис :)

... насчет того, как ставить WAMP - это вообще можно написать в требованиях к тренингу или сказать буквально пару слов в оном. Посетители данного тренинга должны понимать что такое веб-сервер и как его ставить, если уж они хотят научиться тестировать веб-приложения на защищенность.

Имхо, в тренинге надо обучать тому, что потом понадобится при домашних заданиях. Установка веб-сервера сюда вряд ли относится.

Видите, сколько людей -- столько мнений :)

В курсе как раз ничего не было рассказано о том, как ставить веб-сервер, потому что я тоже счёл, что не стоит на это тратить драгоценное время. Зато имеется текстовая инструкция по развёртыванию тестовых приложений на локальном веб-сервере, и естественно в эту инструкцию входит установка самого веб-сервера.

Можно было бы, конечно, сделать где-нибудь онлайн-приложение для тренировок, чтобы локально ничего устанавливать не нужно было. Но я придерживаюсь точки зрения, что смежные умения не являются лишними, и если участник тренинга по тестированию веб-приложений не умеет устанавливать веб-сервер -- это неправильно, и ему нужно научиться это делать. Тем более, что установку WAMP-сервера инсталлятором (!) в пять кликов нельзя назвать чем-то сверхсложным :)

[Rebz]

Я не видел сам тренинг, поэтому могу лишь опереться на те сведения, которые были озвучены :)
Ещё один вопрос остался без ответа - насчет тестируемого приложения.

[barancev]

Ещё один вопрос остался без ответа - насчет тестируемого приложения.

Какой именно вопрос? В курсе используется в качестве "подопытных кроликов" несколько приложений, некоторые были разработаны специально, некоторые были немного доработаны из существующих приложений, код которых доступен в Интернет. Что именно про них интересует?

[Rebz]

Ещё один вопрос остался без ответа - насчет тестируемого приложения.

Какой именно вопрос? В курсе используется в качестве "подопытных кроликов" несколько приложений, некоторые были разработаны специально, некоторые были немного доработаны из существующих приложений, код которых доступен в Интернет. Что именно про них интересует?

Гм, ладно, не буду лезть куда не надо)
Я насчет этой фразы : "Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д."
Почему она возникла, если в курсе все есть..

[barancev]

Я насчет этой фразы : "Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д."
Почему она возникла, если в курсе все есть..

Насколько я понял, суть замечания состояла в том, что хорошо бы сделать готовое учебное приложение, где-нибудь в Интернете, на котором можно было бы выполнять домашние задания.
Вместо этого в курсе мы используем локально установленные учебные приложения, и это требует усилий по установке и настройке веб-сервера.
Я не считаю, что это лишние, ненужные усилия, несмотря на то, что они напрямую не связаны с изучаемым материалом.

Мы и в некоторых других тренингах тоже практикуем такую "дополнительную" нагрузку.
Например, скажем, в курсе "Программирование для тестировщиков" все участники учатся работать с репозиторием для хранения кода Git, хотя это тоже не входит в программу, это "бонус" :)

[Rebz]

Я насчет этой фразы : "Раз уж вы продаете вебинары, неплохо было бы создать тренировочное приложение, на котором можно опробовать инструменты, плагины, сканеры и т.д."
Почему она возникла, если в курсе все есть..

Насколько я понял, суть замечания состояла в том, что хорошо бы сделать готовое учебное приложение, где-нибудь в Интернете, на котором можно было бы выполнять домашние задания.
Вместо этого в курсе мы используем локально установленные учебные приложения, и это требует усилий по установке и настройке веб-сервера.
Я не считаю, что это лишние, ненужные усилия, несмотря на то, что они напрямую не связаны с изучаемым материалом.

Мы и в некоторых других тренингах тоже практикуем такую "дополнительную" нагрузку.
Например, скажем, в курсе "Программирование для тестировщиков" все участники учатся работать с репозиторием для хранения кода Git, хотя это тоже не входит в программу, это "бонус" :)

Ах вот в чем дело!
Ну тогда иметь такое дырявое тренировочное приложение в Интернете смысла особого не имеет. Для тренировки конечно же локалхоста будет достаточно.

[curious_ja]

Спасибо за отзыв! Да, надо признать, что в записях, которые сделаны во время "живых" онлайн-семинаров встречаются затянутости, сбои и прочие недоразумения. Мы их по мере возможностей чистим, а иногда даже полностью перезаписываем. Но до этого курса пока руки не дошли, к сожалению. Будем исправляться!

Это было бы нормально, если бы ваши тренинги распространялись на добровольных началах. Но вы их продаёте. Люди платят деньги, а в обмен хотят получить качественный товар или услугу. Представьте, что вы нанимаете маляра, а он вам красит стену с дефектами, а в ответ на ваши притензии говорит, что он старается по мере возможности красить лучше.
Ну и запись-то была от января 2012 года. Уж за это время можно было подчистить её.
Иногда принцип "лучше меньше, но качественней" очень актуален.
Уважайте своих слушателей!

[baranceva]

Это было бы нормально, если бы ваши тренинги распространялись на добровольных началах. Но вы их продаёте. Люди платят деньги, а в обмен хотят получить качественный товар или услугу. Представьте, что вы нанимаете маляра, а он вам красит стену с дефектами, а в ответ на ваши притензии говорит, что он старается по мере возможности красить лучше.
Ну и запись-то была от января 2012 года. Уж за это время можно было подчистить её.
Иногда принцип "лучше меньше, но качественней" очень актуален.
Уважайте своих слушателей!

Я не знаю участвовали ли Вы в наших тренингах, но если участвовали, то наверное заметили, что контент уникальный и очень качественный. Бывают технические погрешности, мы даже не отрицаем этого, хотя справедливости ради отмечу, что "живой" рассказ, когда тренер иногда совершает ошибки и их исправляет, довольно эффективен в обучении. Когда люди слышат не робота, который говорит заученные фразы, а живого человека, который может ошибиться, может вдруг не найти в течении пары секунд нужную страницу (ну согласитесь, что в курсе нет моментов, когда тренер думает и молчит сильно дольше), то слушатели больше вовлекаются в процесс.

В любом случае, спасибо за замечание. Проблема услышана, она будет решена.

На самом деле, нам очень повезло, аудитория форума настолько лояльна, что негативных отзывов так мало. что каждый буквально выбивает меня из колеи. И это наверное правильно, что они есть. Это позволяет понять, что нельзя расслабляться. нужно двигаться дальше.

[baranceva]

Это было бы нормально, если бы ваши тренинги распространялись на добровольных началах. Но вы их продаёте. Люди платят деньги, а в обмен хотят получить качественный товар или услугу. Представьте, что вы нанимаете маляра, а он вам красит стену с дефектами, а в ответ на ваши притензии говорит, что он старается по мере возможности красить лучше.
Ну и запись-то была от января 2012 года. Уж за это время можно было подчистить её.
Иногда принцип "лучше меньше, но качественней" очень актуален.
Уважайте своих слушателей!

А насчет "маляра" -- ну вот такой "маляр" попался, красит как умеет. Но лучше почему-то не красит никто - ни бесплатно, ни за большие деньги :-(
И желающих пойти в "маляры" почему-то совсем нет :-( Многие пробуют и через пару месяцев бросают. Казалось бы: такая простая работа...

[Rebz]

Это было бы нормально, если бы ваши тренинги распространялись на добровольных началах. Но вы их продаёте. Люди платят деньги, а в обмен хотят получить качественный товар или услугу. Представьте, что вы нанимаете маляра, а он вам красит стену с дефектами, а в ответ на ваши притензии говорит, что он старается по мере возможности красить лучше.
Ну и запись-то была от января 2012 года. Уж за это время можно было подчистить её.
Иногда принцип "лучше меньше, но качественней" очень актуален.
Уважайте своих слушателей!

Ну уж ладно, качественная услуга получается, но все зависит от слушателя. Если ему интересна тема, он будет пытать тренера, а тренер обязан отвечать, ведь и за это заплачены деньги. Вы же сделали акцент на не очень важной детали. Вот если бы содержимое оказалось не тем, что описано в описании тренинга, это было бы уже серьёзной претензией на неоказание качественных услуг.

Наталья, на самом деле защищенность веб-приложений - это отдельная ниша и там есть кто и лучше и качественнее расскажет об уязвимостях, потому что это их хлеб, в данном контексте тестирование защищенности не является основой тестирования, а как очень хороший такой "довесок" к нему. Достоточно открыть любой известный форум хакерской тематики, там те же уязвимости расписаны от А до Я, от азов до профессионалов, только впитывай как губка. Это я к тому, что маляр маляру рознь :) Кто-то занимается малярством в свободное время, а для кого-то это основная работа :) Возможно не очень корректное сравнение, ну вы поняли :)