Нашел интересное задание, GET /demo/action.php?login= Антон&pass=Wksk369088Hghduam38GhK
Нужно: предоставить тестовую тестовую документацию для тестирования GET запроса
Может кто подскажет с чем есть это.
Отправлено 04 ноября 2017 - 08:48
Нашел интересное задание, GET /demo/action.php?login= Антон&pass=Wksk369088Hghduam38GhK
Нужно: предоставить тестовую тестовую документацию для тестирования GET запроса
Может кто подскажет с чем есть это.
Отправлено 07 ноября 2017 - 18:49
Senior QA/ Wix.com / qaacademy.net
Отправлено 07 ноября 2017 - 20:33
Отправлено 08 ноября 2017 - 05:40
Senior QA/ Wix.com / qaacademy.net
Отправлено 08 ноября 2017 - 07:50
тут секрет в том, что если кандидат на позицию начнёт тестировать этот запрос, ну там тесты придумывать - то он "сразу не прошёл", так как не понимает ничего
ну или максимум джуном пойдёт
Отправлено 08 ноября 2017 - 08:17
Несвоевременные знания хуже их отсутствия. Им не на что опираться, они плохо матчатся с окружающей действительностью.Хуже от этих знаний не будет
Отправлено 08 ноября 2017 - 11:57
Не могли бы вы расписать более подробно, почему вы так думаете?тут секрет в том, что если кандидат на позицию начнёт тестировать этот запрос, ну там тесты придумывать - то он "сразу не прошёл", так как не понимает ничего
ну или максимум джуном пойдёт
Отправлено 08 ноября 2017 - 12:31
Не могли бы вы расписать более подробно, почему вы так думаете?
передача логина и пароля в параметрах запроса - это потенциальная дыра в безопасности. Эти логин и пароль можно будет увидеть и в логах веб-сервера и на всех прокси через которые проходит запрос, и в истории и букмарках браузера
хорошо если испытуемый сразу укажет на этот "баг", и скажет что надо передавать эти параметры в теле POST запроса и по защищённому протоколу. Конечно есть вариант что эта система внутренняя, машин-ту-машин интефейс и полная защита везде, тогда ещё как-то может прокатить такая имплементация
Отправлено 08 ноября 2017 - 12:52
Зачем так занудствовать, это ж просто тестовая задачка :)передача логина и пароля в параметрах запроса - это потенциальная дыра в безопасности. Эти логин и пароль можно будет увидеть и в логах веб-сервера и на всех прокси через которые проходит запрос, и в истории и букмарках браузера
хорошо если испытуемый сразу укажет на этот "баг", и скажет что надо передавать эти параметры в теле POST запроса и по защищённому протоколу. Конечно есть вариант что эта система внутренняя, машин-ту-машин интефейс и полная защита везде, тогда ещё как-то может прокатить такая имплементация
Отправлено 08 ноября 2017 - 12:59
Зачем так занудствовать, это ж просто тестовая задачка :)
ну это же очевидный баг, почему бы не указать на него? ;)
может экзаменатор так и отличает мидлов от джунов?
джун наверное сразу кинется писать тест-кейсы типа
1. правильный логин неправильный пароль
2. ...
это в Гугле похожие задачки с подвохом дают, и ожидают не "тестов" а размышлений экзаменуемого, вопросов и чтобы указал на недостатки самого задания. А всех тех кто "не занудствовал и просто писал кейсы" и не взяли на работу ;)
и вообще эта задачка показывает понимает ли человек как веб работает, либо просто умеет составить кейсы
Отправлено 08 ноября 2017 - 14:11
Отправлено 08 ноября 2017 - 14:19
Но, с другой стороны, я и логинов/паролей там никогда не видел
ну это достаточно детская ошибка, передавать так пароли, уже так никто не делает
https://www.owasp.or..._Out_of_the_URL
"Sensitive data must not be transmitted via URL arguments"
Отправлено 08 ноября 2017 - 17:26
Если подходить к заданию критически, то такой запрос вообще не пройдет.
Русский текст и пробелы должны кодирвоанны, в таком формате его вообще не примет. Но нужно же в начале понимать как оно работает в принципе. Перед тем как тестировать. Я на это намекал
Senior QA/ Wix.com / qaacademy.net
Отправлено 08 ноября 2017 - 17:45
Если подходить к заданию критически, то такой запрос вообще не пройдет.
Русский текст и пробелы должны кодирвоанны, в таком формате его вообще не примет.
в браузер кстати прекрасно можно ввести такой запрос, так как браузер его потом перед отправкой закодирует
Отправлено 08 ноября 2017 - 21:36
Что такое наивность? Это когда дочка думает что мама девственница.ну это достаточно детская ошибка, передавать так пароли, уже так никто не делаетНо, с другой стороны, я и логинов/паролей там никогда не видел
Отправлено 09 ноября 2017 - 08:09
Вы пишете это утверждение на форуме отправляющем логин/пароль плэин текстом в незащищенной сессии, правда в теле запроса, а не в query-string
Да, действительно, и логин и хэш пароля в хедерах на хттп. Почему-то думал сейчас разработчики стали повнимательнее, ошибался
Отправлено 09 ноября 2017 - 10:26
Да, действительно, и логин и хэш пароля в хедерах на хттп. Почему-то думал сейчас разработчики стали повнимательнее, ошибалсяВы пишете это утверждение на форуме отправляющем логин/пароль плэин текстом в незащищенной сессии, правда в теле запроса, а не в query-string
Отправлено 09 ноября 2017 - 12:36
зарегистрированному пользователю банальной подменой id в запросе слить клиентскую базу
да, такое очень часто встречается, когда в качестве айди используют последовательные числа, типа 1, 2 ... 4749 и т.д.
тогда если случайно нет дополнительной проверки прав, то любой клиент может простым перебором айди слить всю базу
лучше использовать uuid
0 пользователей, 0 гостей, 0 анонимных