Как стать автором
Обновить
103.54

Тестирование IT-систем *

Тестируем все и вся

Сначала показывать
Порог рейтинга
Уровень сложности

Как собрать контейнер и не вооружить хакера

Время на прочтение 15 мин
Количество просмотров 902

Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе,  связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис — разбираемся в этой статье. 

Привет, Хабр! Это Алексей Федулаев и Антон Жаболенко из Wildberries. Мы работаем в сфере информационной безопасности (ИБ) уже больше 10 лет.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 1

Новости

Математическое моделирование технологических объектов и систем глазами и руками студента

Уровень сложности Средний
Время на прочтение 4 мин
Количество просмотров 243

В рамках нашего продолжающегося цикла статей по теме математического моделирования, рады ознакомить вас с новой моделью, разработанной на основе ПО REPEAT. Эта модель представляет методологию экструзионного производства синтетических нитей.
Наша энергия обычно направлена на исследования и проектирование в области атомной и тепловой энергетики, но мы приветствуем и ценим возможность выхода за рамки стандартных пределов и расширения наших горизонтов в рамках проекта "Школа Моделирования". Данную модель и статью разработала талантливая студентка, Анастасия, из РГУ им. Косыгина.
Мы надеемся, что данный материал заинтересует вас и позволит вам с новой точки зрения взглянуть на процесс производства синтетических нитей, а также понять все преимущества использования нашего ПО REPEAT в данных задачах.

Ссылка на телеграм-канал REPEAT: https://t.me/repeatlab

Читать далее
Рейтинг 0
Комментарии 0

Monkey patching в Go, или грабли от Apple

Уровень сложности Средний
Время на прочтение 8 мин
Количество просмотров 737

Все началось с того, что я в очередной раз немного поменял структуры БД, и в некоторых SQL-запросах добавилась новая колонка. Нормальная ситуация - взять и легким движением руки сломать половину unit test’ов, потому что БДшные моки ожидают определенный текст запроса.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 4

Спринт с багами, или как (не) создать себе проблем

Уровень сложности Простой
Время на прочтение 3 мин
Количество просмотров 4.2K

В этой статье постараюсь описать своё видение планирования спринта с учетом тестирования спринтовых задач и исправления багов по итогам тестирования. Внезапно для меня тема вызвала дискуссию на проекте, в разработке которого я участвую.

Читать далее
Всего голосов 15: ↑10 и ↓5 +5
Комментарии 24

Истории

Разница ролей QA Lead, QA Manager и QA Head

Уровень сложности Средний
Время на прочтение 5 мин
Количество просмотров 3K

Привет! Я Люда, QA Lead в компании TrendTech.

За 2,5 года в компании наше направление сильно выросло, а у меня сменился спектр задач. И я задалась вопросом, в какой момент лид перестает быть лидом и становится, например, менеджером. В данной статье я попробую рассказать, какие структуры есть в разных компаниях, и какие задачи выполняют QA руководители в них.

Читать далее
Всего голосов 8: ↑5 и ↓3 +2
Комментарии 11

Частые ошибки при освоении профессии QA Engineer

Время на прочтение 2 мин
Количество просмотров 3K

Уже больше двух лет я занимаюсь обучением ребят с нуля одному из IT направлений, в котором, как мне кажется я неплохо разобрался за время своей практики. Сегодня хотел бы разобрать некоторые частые ошибки, которые допускают абсолютно все ученики и начинающие специалисты.

Читать далее
Всего голосов 10: ↑2 и ↓8 -6
Комментарии 4

Внутренняя разведка Active Directory через Cobalt Strike

Уровень сложности Средний
Время на прочтение 5 мин
Количество просмотров 3.1K

С ростом автоматизированных вычислительных систем и с увеличением атак на данные системы резко возник вопрос мониторинга за операционными системами на базе которых и работает любая информационная система в компании. В данных операционных системах устанавливаются/подключаются новые классы средств защиты. Мониторинг за информационными системами углубляется, а аналитика атомарных событий усложняется.

В рамках внутренней разведки атакующие часто используют инструмент PowerShell для сбора информации о домене, что порождает больший интерес к контролю за данным инструментом со стороны подразделений мониторинга событий информационной безопасности.

Чтобы отойти от концепции использования PowerShell и .NET, оставаться более незаметными и минимизировать время на разведку контроллера-домена эксперты из Red Team Outflank создали скрипт для Cobalt Strike - Recon-AD, написанный на языках на C/C++ на основе ADSI и reflective DLL.

Ну что же, приступим к более детальному изучению данного решения.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

Беда «войти в айти» или курсы тестировщика отзывы: Сколько студентов на самом деле находит работу после Skillbox

Уровень сложности Простой
Время на прочтение 10 мин
Количество просмотров 36K

В 2021 году я начал масштабное исследование трудоустройства 400 QA-студентов более десятка различных курсов. Исследование получилось настолько длинным, что превратилось в дюжину хабр-статей с 500'000 просмотрами, а некоторые из его участников успели пройти путь от "какой курс посоветуете?" до "поздравьте, мне предложили позицию сеньора".

Как выяснилось позднее, в исследовании статистики трудоустройства я был не одинок. Высшая школа экономики в 2021 и 2022 годах делала для нескольких крупных обучающих платформ исследования по достижению целей обучающихся.

В публично размещенном отчете есть данные по реальному трудоустройству после обучения в Skillbox на профессию тестировщика. Они не лежат на поверхности, но вычленить их из отчета несложно. 

Удивительнейшим образом эти собственные данные выглядят иначе, чем числа, которые Skillbox публикует на своих лендингах.

Читать далее
Всего голосов 53: ↑45 и ↓8 +37
Комментарии 138

JIRA + AI = LOVE или Как Product manager-у найти друзей и перестать страдать

Уровень сложности Простой
Время на прочтение 7 мин
Количество просмотров 1.8K

Развитие AI-инструментов на базе современных LLM запустило в последние годы тренд на автоматизацию всего, что прибито меньше, чем на 2 гвоздя, и первыми адоптерами здесь традиционно выступает IT сообщество. Как Луи Пастер некогда ставил себе и друзьям намешанные на голой коленке вакцины, так сейчас разработчики активно ставят Code Copilot-ы, дизайнеры экспериментируют с Midjourney, скромно к этой очереди пристраиваемся и мы, Product Manager-ы.

Меня зовут Алексей, и я более 15 лет занимаюсь управлением b2b-b2c продуктами и руководством командами в энтерпрайзе и стартапах.

И сейчас предлагаю продолжить исследование того, какое влияние AI и ML инструменты оказывают на бизнес. Предыдущий эксперимент касался применения современных моделей машинного обучения в решении задачи прогнозирования цены в золотодобыче, в статье же ниже мы рассмотрим пример того, как очередные порождения ChatGPT могут помочь в управлении продуктовой разработкой и повысить эффективность взаимодействия в команде.

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Комментарии 4

Fullstack QA — путь самурая, или раскрытие потенциала тестировщика

Уровень сложности Простой
Время на прочтение 6 мин
Количество просмотров 6.2K

Специалисты fullstack QA весьма востребованы работодателями. В сегодняшней статье расскажу, в чем ценность таких сотрудников, какие hard и soft skills нужны и почему будущее именно за fullstack QA.

Читать далее
Всего голосов 16: ↑13 и ↓3 +10
Комментарии 24

В помощь IT-команде — «Регламент создания багов» или «Как сделать задачу ясной для тебя из отпуска»

Уровень сложности Средний
Время на прочтение 4 мин
Количество просмотров 1.1K

Данный регламент я написал на основании опыта работы лидом в IT компании с веб-приложением. Пункты из него прошли проверку практикой. Изначальные версии были (естественно) основаны на best practice из интернета, agile и опыта предыдущих и текущих руководителей.

Стоит отметить, что я хоть и находился в какой-то момент в роли QA-лида, но не имею соответствующей подготовки, но имею много знакомых QA-инженеров и лидов.

От себя рекомендую следующий алгоритм: копипаст, корректирование под свою специфику, практика использования. Важно обращать внимание на потребности разработчиков, ПМов, системных аналитиков и других участников команды, которые будут анализировать баги.

Данный регламент не ориентируется на какую-то определенную систему трекинга задач. Использование возможно как для JIRA, Kaiten, GitLab, Trello, так и для excel-таблицы.

Читать далее
Всего голосов 13: ↑10 и ↓3 +7
Комментарии 1

Долой баги! Рандомизация веб-тестирования

Время на прочтение 5 мин
Количество просмотров 1.9K

В своей книге "Методы тестирования программного обеспечения" Борис Бейзер описывает парадокс пестицидов. В контексте тестирования программного обеспечения - независимо от того, какой метод тестирования вы выберете, вы все равно пропустите более незаметных “вредителей”, то есть баги.

Объяснение Бейзера заключается в том, что со временем все меньше и меньше ошибок будут находиться в тех частях кода, которые были тщательно протестированы, а ошибки, которые обнаружат пользователи, будут в областях, которые были протестированы менее тщательно.

Как же с этим справиться? Расширить охват тестирования, добавив в свой процесс фаззинг.

Читать далее
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 0

Инфраструктурный пентест по шагам: сканирование и получение доступа

Время на прочтение 12 мин
Количество просмотров 6.2K


Продолжение цикла статей, в котором мы раскрываем подходы к аудиту внутренней инфраструктуры. В предыдущей части подробно рассказывали про инструменты и методологии, которые используем в повседневной практике, а также про первый этап пентеста — разведку.


Эта статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное. Под катом вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.


Около 90% наших проектов связаны с доменом, поэтому сначала поговорим про работу с Active Directory. Начнем с терминологии и затем перейдем к практике.

Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Комментарии 2

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн

Bazel, stamping, remote cache (часть 2)

Время на прочтение 3 мин
Количество просмотров 582

В Bazel есть две крайне полезные фичи: stamping — позволяет встроить в артефакт данные о том, от какого коммита можно собрать аналогичный артефакт и remote cache и remote build — позволяет иметь общий кэш между сборщиками или даже собрать артефакты на ферме.

Ранее, к сожалению, эти фичи были взаимоисключающими, но с версии Bazel 7.0 можно использовать stamping с remote cache при помощи scrubbing-а. А сегодня вышла версия Bazel 7.1, в которой появилась возможность использовать stamping с remote build.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

Как игрушечный свисток помог взломать телефонную систему: история Джона Дрейпера

Время на прочтение 6 мин
Количество просмотров 3.9K

В небольшой комнате студенческого общежития Калифорнийского университета группа молодых людей напряженно разглядывала синюю коробочку. Это были Джон Дрейпер, Стив Джобс и Стив Возняк. Они проверяли свое изобретение и собирались совершить бесплатный звонок в Ватикан. 

После нескольких попыток на другом конце провода ответили. Взволнованный Стив Возняк, едва сдерживая смех, произнес: «Это Генри Киссинджер, я должен немедленно поговорить с Папой Римским. Я должен признаться в своих преступлениях». 

Джон Дрейпер всегда вспоминает этот случай с улыбкой. Именно он сумел взломать телефонную систему и научил этому будущих создателей Apple. Это история о программисте, который, по его собственному выражению, «прошел путь от хакера без гроша в кармане до миллионера и обратно».

Читать далее
Всего голосов 22: ↑21 и ↓1 +20
Комментарии 0

Microsoft Outlook Remote Code Execution CVE-2024-21413

Уровень сложности Простой
Время на прочтение 5 мин
Количество просмотров 1.7K

13 февраля 2024 года компания Microsoft выпустила предупреждение для своих пользователей о критической уязвимости в пакете Office, которая позволяет злоумышленникам удаленно выполнять вредоносный код.

Уязвимость затрагивает несколько продуктов Microsoft Office, включая приложения 365 Enterprise, Office 2016 и 2019, а также Office LTSC 2021.

Уязвимость была обнаружена исследователями компании Check Point и получила идентификатор CVE-2024-21413.

Check Point в своем отчете объясняют, что уязвимость, которую они назвали "Moniker Link", позволяет обойти встроенные средства защиты Outlook от вредоносных ссылок в электронных письмах. Для этого используется протокол file:// и специальный символ ! в ссылке для доступа к удаленному серверу злоумышленников.

Особенно примечательным становится тот факт, что дефект позволяет хакерам обойти функцию "Защищенный вид", предназначенную для блокировки вредоносного содержимого файлов для ПО Office. Это может оказаться отдельным вектором атаки, который мы рассмотрим в этой статье.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 4

Что можно и стоит писать в поле Pre-conditions в тест-кейсах

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 1.9K

Тестирование продуктов является неотъемлемой частью процесса разработки программного обеспечения. В его основе лежит создание и выполнение тест‑кейсов — документированных инструкций, определяющих шаги для проверки определенных функций или аспектов программы. Тест‑кейсы играют важную роль в обеспечении качества программного продукта. Они помогают не только выявить ошибки и дефекты, но и удостовериться в соответствии функциональности программы заявленным требованиям.

Каждый тест-кейс разрабатывается с целью проверить определенный аспект продукта, будь то функция, интерфейс или производительность. Ключевым элементом каждого тест-кейса являются предварительные условия, или Pre-conditions, которые определяют состояние системы перед началом тестирования.

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 4

Восемь опаснейших уязвимостей февраля 2024 года

Уровень сложности Простой
Время на прочтение 6 мин
Количество просмотров 2.6K

Привет друзья! Я Александр Леонов, и вместе с отделом аналитиков Positive Technologies мы подготовили для вас дайджест трендовых уязвимостей за прошедший месяц.

Вы, наверно, сразу спросите: а что это за уязвимости такие — трендовые? Это опасные уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время.

При этом трендовые не тоже самое, что критические. Уязвимость может быть критической, способной потенциально «положить» работу массового сервиса на периметре организации, но при этом сложной в эксплуатации. Поэтому уязвимость вроде и есть, и критичная, а до реальной эксплуатации дело может дойти через месяцы и годы, а может совсем не дойти. А трендовые уязвимости несут опасность здесь и сейчас, поэтому и исправлять их требуется в первую очередь и кратчайшие сроки.

Какие уязвимости были в тренде в феврале
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 1

Как мы тестируем устройства, которые производим: Python, Grafana и крафтовые стенды

Уровень сложности Простой
Время на прочтение 10 мин
Количество просмотров 3.6K

Мы продолжаем рассказывать о внутренней кухне Wiren Board. В предыдущей статье мы заставили работать китайский паяльный робот, который выполняет рутинную часть работы монтажников на нашем производстве.

Все наши «железки» должны поступать клиентам в рабочем состоянии и служить максимально долго. Именно по этой причине после производства все устройства проходят тестирование.

Расскажем, как разрабатывали фирменный тестовый пакет test-suite, с какими проблемами столкнулись и как мы их решили. Также покажем наши стенды, на которых тестируем все выпускаемые продукты.

Интересно? Ныряйте под кат.

Читать далее
Всего голосов 23: ↑23 и ↓0 +23
Комментарии 4

Тест-дизайн на практике: комбинируем разные техники тестирования, на примере проверки систем оплаты

Время на прочтение 6 мин
Количество просмотров 6.3K

Привет, Хабр! Меня зовут Сергей, я тестировщик в “Петрович-Тех”. В этой статье хочу поговорить о комбинировании различных техник тестирования и поделиться опытом тест-дизайна для проверки системы оплаты.

На всем своем профессиональном пути тестировщика я так или иначе всегда работал с оплатами (люблю деньги, что поделать). Вместе с командой Петрович-Тех успел поучаствовать во внедрении оплаты частями, добавлении СБП, полном редизайне корзины в интернет-магазине, сейчас тестирую оформление заказа.

В статье постараюсь простым языком рассказать о своем опыте работы с техниками тест-дизайна на примере проверки оплат – расскажу, как проверяю интеграционные сервисы и всё, что этого касается. 

В известном смысле это основы тестирования, но по моему опыту как раз из-за этого (“это база, ну что там может быть такого”) о подобных вещах на практике забываешь чаще, чем хотелось бы. К тому же в любом домене есть свои тонкости, в случае проверки систем оплат – налоги, чеки, возвратные чеки, регионы, экономические зоны. Кажется, для насмотренности может быть полезно разобраться, как тест-дизайн адаптируется под эти нюансы. 

Приступим!

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 5