Что пишут в блогах
- Мои 12 недель в году. Часть 26 (Лицензия на ИП и 3-я книжка!)
- Как войти в новый проект: взаимоотношения с командой и пользователями, тестовая лаборатория
- Баги - отдельные задачи или комментарии?
- Митап от Тинькофф “Техтолк инженеров по тестированию” 20 марта 2024
- Опрос: поделитесь мнением про техдолг
- Если вы стали QA-менеджером
- Книга "Баг-трекинг: локализация и оформление дефектов" уже в продаже!
- Топ 30 вопросов на собеседовании на тестировщика ПО (Junior QA)
- Идеальный час
- Обратная связь и самомотивация
Что пишут в блогах (EN)
- Five for Friday – April 5, 2024
- The Possible and Impossible: Mathematical Thinking for Planning
- Looking back at Agile Testing, 15 years on
- Does Test Automation Necessarily Make Our Jobs Easier?
- 10 Bad Reasons Why Companies Don’t Hire Testers
- Judging Developers by GitHub Contributions
- Five for Friday – March 29, 2024
- Translating Agile Testing Condensed the unconvential way – part 3
- From Head of QA to Freelancing – Interview with Leonardo
- Five for Friday – March 22, 2024
Онлайн-тренинги
-
Тестировщик ПО: интенсивный курс со стажировкой (ПОИНТ)Начало: 16 апреля 2024
-
Школа тест-менеджеров v. 2.0Начало: 17 апреля 2024
-
Bash: инструменты тестировщикаНачало: 18 апреля 2024
-
Charles Proxy как инструмент тестировщикаНачало: 18 апреля 2024
-
Chrome DevTools: Инструменты тестировщикаНачало: 18 апреля 2024
-
Git: инструменты тестировщикаНачало: 18 апреля 2024
-
Docker: инструменты тестировщикаНачало: 18 апреля 2024
-
Python для начинающихНачало: 18 апреля 2024
-
Азбука ITНачало: 18 апреля 2024
-
Консольные утилиты Android: инструменты тестировщикаНачало: 18 апреля 2024
-
SQL: Инструменты тестировщикаНачало: 18 апреля 2024
-
Инженер по тестированию программного обеспеченияНачало: 18 апреля 2024
-
Практикум по тест-дизайну 2.0Начало: 19 апреля 2024
-
Английский для тестировщиковНачало: 22 апреля 2024
-
Школа Тест-АналитикаНачало: 24 апреля 2024
-
Автоматизация тестов для REST API при помощи PostmanНачало: 25 апреля 2024
-
Школа для начинающих тестировщиковНачало: 25 апреля 2024
-
Тестирование производительности: JMeter 5Начало: 26 апреля 2024
-
Тестирование REST APIНачало: 29 апреля 2024
-
Логи как инструмент тестировщикаНачало: 29 апреля 2024
-
Автоматизация тестирования REST API на PythonНачало: 1 мая 2024
-
Тестирование безопасностиНачало: 1 мая 2024
-
Тестирование мобильных приложенийНачало: 1 мая 2024
-
Автоматизатор мобильных приложенийНачало: 1 мая 2024
-
Автоматизация тестирования REST API на JavaНачало: 3 мая 2024
-
Техники локализации плавающих дефектовНачало: 6 мая 2024
-
Тестирование без требований: выявление и восстановление информации о продуктеНачало: 13 мая 2024
-
Тестирование юзабилити (usability)Начало: 15 мая 2024
-
Регулярные выражения в тестированииНачало: 16 мая 2024
-
Организация автоматизированного тестированияНачало: 17 мая 2024
-
Тестирование веб-приложений 2.0Начало: 17 мая 2024
-
Создание и управление командой тестированияНачало: 23 мая 2024
-
Автоматизация функционального тестированияНачало: 24 мая 2024
-
SQL для тестировщиковНачало: 27 мая 2024
-
Selenium IDE 3: стартовый уровеньНачало: 31 мая 2024
-
Программирование на Java для тестировщиковНачало: 31 мая 2024
-
Погружение в тестирование. Jedi pointНачало: 3 июня 2024
-
Аудит и оптимизация QA-процессовНачало: 7 июня 2024
-
Программирование на C# для тестировщиковНачало: 7 июня 2024
-
Комплексная система подготовки тестировщиков по программе ISTQB FLНачало: 17 июня 2024
| Прятки на видном месте: использование инструментов разработчика для поиска уязвимостей безопасности |
| 08.05.2019 00:00 |
|
Большое заблуждение считать, что любое тестирование безопасности – это очень сложная штука. Конечно, зачастую оно требует изучения новых навыков и понимания таких вещей, как сети, IP-адреса и доменные имена, но оно может быть и невероятно простым. Сегодня мы поговорим о трех дырах безопасности, которые можно найти в приложении при помощи инструментов разработчика, встроенных в браузер. Этими уязвимостями может воспользоваться любой среднестатистический пользователь приложения, а не только высококвалифицированный черный хакер. Редактирование заблокированных кнопок Если на странице есть кнопка, которая заблокирована и срабатывает только тогда, когда выполнены определенные условия – например, заполнение полей формы, - возможно, ее можно активировать. Инструкции, как это сделать – в моей статье о тестировании кнопок. Пользователь вашего приложения может использовать эту уязвимость, чтобы обойти необходимость заполнения формы, в которой есть обязательные поля. Пользователь также может активировать кнопку редактирования и изменить данные, для изменения которых у него не должно быть прав. Просмотр скрытых данных Недавно мне показали уязвимость безопасности в приложении, выводящем контактные данные пользователей сайта. В зависимости от пользовательских прав на странице не отображались определенные поля – например, домашний адрес. Однако при открытых инструментах разработчика все скрытые поля были видны в секции "Elements"! Любой пользователь этого приложения мог открыть инструменты разработчика и с их помощью найти личные данные любого пользователя сайта. Скрытые страницы В секции Elements инструментов разработчика можно найти ссылки, не отображающиеся на странице. Давайте посмотрим, как это делается, используя OWASP Juice Shop. Я приведу инструкцию для Chrome, но это можно сделать также в Firefox и Internet Explorer. Перейдите в Juice Shop, затем нажмите на многоточие в верхнем правом углу браузера. Выберите "Дополнительные инструменты", а затем – "Инструменты разработчика". Откроется секция инструментов. Нажмите на вкладку "Elements", если она не выбрана по умолчанию. Мы посмотрим на HTML-код страницы и поищем ссылки, не отображающиеся в браузере. Начнем с нажатия на элемент страницы, который нам виден. На главной странице есть навигационная панель со ссылками вроде "About us" и "Contact us". Кликните на одном из элементов панели правой кнопкой и выберите "Просмотреть код". Обратите внимание, что в результате подсветится соответствующая секция HTML в инструментах разработчика. Вы увидите набор элементов, отмеченных тэгом <li> - это элементы навигационной панели. Откройте каждый из них, кликая на стрелочку слева, и вы найдете вот такой элемент: Статус этого элемента – скрытый, что показывает нам атрибут "ng-hide". Атрибут 'ng-show="isLoggedIn" говорит, что панель должна отображать этот элемент только для зарегистрированных пользователей. И, наконец, там содержится ссылка, по которой мы бы смогли перейти, если бы этот элемент отображался: "#/recycle". Попробуем перейти по этой ссылке, изменив URL страницы с https://juice-shop.herokuapp.com/#/search на https://juice-shop.herokuapp.com/#/recycle. Нажмите Enter, и вы попадете на страницу удаления. Вы успешно перешли на страницу, которая должна быть доступна только авторизованным! Вот почему так важно проводить проверки на авторизацию, когда пользователь переходит на страницу. Просто спрятать ссылку недостаточно, потому что скрытые ссылки легко найти через инструменты разработчика. Кто угодно может найти эти ссылки и перейти по ним, а это может дать доступ к странице администратора или данным других пользователей. Как видно, тестирование подобных уязвимостей безопасности – это легко и просто! Я рекомендую проверять их при любом тестировании веб-страницы. И бонусная уязвимость: если создать учетную запись и авторизоваться в Juice Shop, а потом посмотреть на вкладку Network в инструментах разработчика, вы увидите ваш логин и пароль, переданные чистым текстом! |
