Перейти к содержимому

Фотография

Тестирование запросов GET


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 17

#1 varanishe

varanishe

    Новый участник

  • Members
  • Pip
  • 1 сообщений
  • ФИО:Варанкевич Максим Викторович

Отправлено 04 ноября 2017 - 08:48

Нашел интересное задание, GET /demo/action.php?login= Антон&pass=Wksk369088Hghduam38GhK

 

Нужно: предоставить тестовую тестовую документацию для тестирования GET запроса

Может кто подскажет с чем есть это. 

 


  • 0

#2 DmitriyQA

DmitriyQA

    Постоянный участник

  • Members
  • PipPipPip
  • 183 сообщений
  • ФИО:Коваленко Дмитрий Владимирович
  • Город:Tel Aviv

Отправлено 07 ноября 2017 - 18:49

Молодой человек, читайте мат часть

https://habrahabr.ru/post/50147/


  • 0

Senior QA/ Wix.com / qaacademy.net


#3 Little_CJIOH

Little_CJIOH

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 515 сообщений
  • ФИО:Власкин Павел
  • Город:Санкт-Петербург


Отправлено 07 ноября 2017 - 20:33

С знанием HTTP протокола, основами тест-дизайна и здравым смыслом.
REST предложенный коллегой слегка избыточен, ибо это не REST
  • 0

#4 DmitriyQA

DmitriyQA

    Постоянный участник

  • Members
  • PipPipPip
  • 183 сообщений
  • ФИО:Коваленко Дмитрий Владимирович
  • Город:Tel Aviv

Отправлено 08 ноября 2017 - 05:40

Хуже от этих знаний не будет
  • 0

Senior QA/ Wix.com / qaacademy.net


#5 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 08 ноября 2017 - 07:50

тут секрет в том, что если кандидат на позицию начнёт тестировать этот запрос, ну там тесты придумывать - то он "сразу не прошёл", так как не понимает ничего

 

ну или максимум джуном пойдёт


  • 0

#6 Little_CJIOH

Little_CJIOH

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 515 сообщений
  • ФИО:Власкин Павел
  • Город:Санкт-Петербург


Отправлено 08 ноября 2017 - 08:17

Хуже от этих знаний не будет

Несвоевременные знания хуже их отсутствия. Им не на что опираться, они плохо матчатся с окружающей действительностью.
Разве хорошо, если человек будет пытаться найти REST там где его нет?
  • 4

#7 Freiman

Freiman

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 591 сообщений
  • ФИО:Андрей Адеркин
  • Город:Йошкар-Ола

Отправлено 08 ноября 2017 - 11:57

тут секрет в том, что если кандидат на позицию начнёт тестировать этот запрос, ну там тесты придумывать - то он "сразу не прошёл", так как не понимает ничего
 
ну или максимум джуном пойдёт

Не могли бы вы расписать более подробно, почему вы так думаете?
  • 0

#8 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 08 ноября 2017 - 12:31

 

Не могли бы вы расписать более подробно, почему вы так думаете? 

 

передача логина и пароля в параметрах запроса - это потенциальная дыра в безопасности. Эти логин и пароль можно будет увидеть и в логах веб-сервера и на всех прокси через которые проходит запрос, и в истории и букмарках браузера

 

хорошо если испытуемый сразу укажет на этот "баг", и скажет что надо передавать эти параметры в теле POST запроса и по защищённому протоколу. Конечно есть вариант что эта система внутренняя, машин-ту-машин интефейс и полная защита везде, тогда ещё как-то может прокатить такая имплементация


  • 0

#9 Freiman

Freiman

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 591 сообщений
  • ФИО:Андрей Адеркин
  • Город:Йошкар-Ола

Отправлено 08 ноября 2017 - 12:52

передача логина и пароля в параметрах запроса - это потенциальная дыра в безопасности. Эти логин и пароль можно будет увидеть и в логах веб-сервера и на всех прокси через которые проходит запрос, и в истории и букмарках браузера
 
хорошо если испытуемый сразу укажет на этот "баг", и скажет что надо передавать эти параметры в теле POST запроса и по защищённому протоколу. Конечно есть вариант что эта система внутренняя, машин-ту-машин интефейс и полная защита везде, тогда ещё как-то может прокатить такая имплементация

Зачем так занудствовать, это ж просто тестовая задачка :)
  • 0

#10 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 08 ноября 2017 - 12:59

 

 

Зачем так занудствовать, это ж просто тестовая задачка :) 

ну это же очевидный баг, почему бы не указать на него? ;)

может экзаменатор так и отличает мидлов от джунов?

 

джун наверное сразу кинется писать тест-кейсы типа

1. правильный логин неправильный пароль

2. ...

 

это в Гугле похожие задачки с подвохом дают, и ожидают не "тестов" а размышлений экзаменуемого, вопросов и чтобы указал на недостатки самого задания. А всех тех кто "не занудствовал и просто писал кейсы" и не взяли на работу ;)

 

и вообще эта задачка показывает понимает ли человек как веб работает, либо просто умеет составить кейсы


  • 0

#11 Little_CJIOH

Little_CJIOH

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 515 сообщений
  • ФИО:Власкин Павел
  • Город:Санкт-Петербург


Отправлено 08 ноября 2017 - 14:11

Кстати да, про то что query-string пропечатывается во всех логах я не подумал, хотя неоднократно в них смотрел. Но, с другой стороны, я и логинов/паролей там никогда не видел, на логины/пароли плэин текстом в открытом доступе я возбуждаюсь, проверено, особенно на свои :)
  • 0

#12 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 08 ноября 2017 - 14:19

 

 

Но, с другой стороны, я и логинов/паролей там никогда не видел

ну это достаточно детская ошибка, передавать так пароли, уже так никто не делает

 

https://www.owasp.or..._Out_of_the_URL
"Sensitive data must not be transmitted via URL arguments"


  • 0

#13 DmitriyQA

DmitriyQA

    Постоянный участник

  • Members
  • PipPipPip
  • 183 сообщений
  • ФИО:Коваленко Дмитрий Владимирович
  • Город:Tel Aviv

Отправлено 08 ноября 2017 - 17:26

Если подходить к заданию критически, то такой запрос вообще не пройдет. 

Русский текст и пробелы должны кодирвоанны, в таком формате его вообще не примет. Но нужно же в начале понимать как оно работает в принципе. Перед тем как тестировать. Я на это намекал


  • 0

Senior QA/ Wix.com / qaacademy.net


#14 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 08 ноября 2017 - 17:45

 

Если подходить к заданию критически, то такой запрос вообще не пройдет. 

Русский текст и пробелы должны кодирвоанны, в таком формате его вообще не примет. 

в браузер кстати прекрасно можно ввести такой запрос, так как браузер его потом перед отправкой закодирует


  • 0

#15 Little_CJIOH

Little_CJIOH

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 515 сообщений
  • ФИО:Власкин Павел
  • Город:Санкт-Петербург


Отправлено 08 ноября 2017 - 21:36

Но, с другой стороны, я и логинов/паролей там никогда не видел

ну это достаточно детская ошибка, передавать так пароли, уже так никто не делает

Что такое наивность? Это когда дочка думает что мама девственница.
Что такое сверх-наивность? Это когда мама думает что дочка девственница.

Вы пишете это утверждение на форуме отправляющем логин/пароль плэин текстом в незащищенной сессии, правда в теле запроса, а не в query-string
  • 1

#16 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 09 ноября 2017 - 08:09

 

 

Вы пишете это утверждение на форуме отправляющем логин/пароль плэин текстом в незащищенной сессии, правда в теле запроса, а не в query-string 

Да, действительно, и логин и хэш пароля в хедерах на хттп. Почему-то думал сейчас разработчики стали повнимательнее, ошибался


  • 0

#17 Little_CJIOH

Little_CJIOH

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 515 сообщений
  • ФИО:Власкин Павел
  • Город:Санкт-Петербург


Отправлено 09 ноября 2017 - 10:26

Вы пишете это утверждение на форуме отправляющем логин/пароль плэин текстом в незащищенной сессии, правда в теле запроса, а не в query-string 

Да, действительно, и логин и хэш пароля в хедерах на хттп. Почему-то думал сейчас разработчики стали повнимательнее, ошибался


"исторически так сложилось" А исправление не всегда целесобразно.
Ну и новые перлы тоже бывают.
На хабре недавно была статья про поставщика систем безопасности, который позволял зарегистрированному пользователю банальной подменой id в запросе слить клиентскую базу с описанием всех охраняемых объектов, посмотреть видео со всех камер, включать/выключать охранные системы.
Еще где-то пробегало как в какой-то из восточно-европейских столиц запустили систему электронных проездных к чемпионату по футболу. Там можно было копировать проездные. А стоимость билета, к списанию с карты, передавалась через клиента. ЕМНИП T-Systems отличились.
  • 1

#18 Spock

Spock

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 772 сообщений
  • ФИО:Роман

Отправлено 09 ноября 2017 - 12:36

 

 

зарегистрированному пользователю банальной подменой id в запросе слить клиентскую базу

да, такое очень часто встречается, когда в качестве айди используют последовательные числа, типа 1, 2 ... 4749 и т.д. 

тогда если случайно нет дополнительной проверки прав, то любой клиент может простым перебором айди слить всю базу

 

лучше использовать uuid


  • 0


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных