Рубрика «Тестирование веб-сервисов»

OAuth 2 overview

This article assumes that readers are familiar with OAuth 2. However, below a brief description of it is presented below.

The most common OAuth 2.0 Hacks - 1

  1. The application requests authorization to access service resources from the user. The application needs to provide the client ID, client secret, redirect URI and the required scopes.
  2. If the user authorizes the request, the application receives an authorization grant
  3. The application requests an access token from the authorization server by presenting authentication of its own identity, and the authorization grant
  4. If the application identity is authenticated and the authorization grant is valid, the authorization server issues the access and refresh (if required) token to the application. Authorization is complete.
  5. The application requests the resource from the resource server and presents the access token for authentication
  6. If the access token is valid, the resource server serves the resource to the application

The are some main Pros and Cons in OAuth 2.0

+OAuth 2.0 is easier to use and implement (compared to OAuth 1.0)
+Wide spread and continuing growing
+Short lived Tokens
+Encapsulated Tokens

-No signature (relies solely on SSL/TLS ), Bearer Tokens
-No built-in security
-Can be dangerous if used from not experienced people
-Too many compromises. Working group did not make clear decisions
-Mobile integration (web views)
-Oauth 2.0 spec is not a protocol, it is rather a framework — RFC 6749

Читать полностью »

Повышение эффективности ручного тестирования на VueJS - 1

Сегодня я предлагаю затронуть вопрос ручного тестирования проектов на VueJS.

Независимо от уровня автоматизации процессов тестирования, практически всегда остается “живое общение” тестировщика с будущим релизом. Естественно, что оно должно быть комфортным и эффективным.

В своих проектах на VueJS мы внедрили простые, но эффективные решения, которые значительно облегчили жизнь нашим тестировщикам. Ими я и хочу с вами поделиться.
Читать полностью »

GraphQL Voyager как инструмент для поиска уязвимостей - 1

В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST.

Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов:

  • https://www.howtographql.com/ — интерактивное обучение с заданиями и контрольными точками. Обучение начинается с нуля и заканчивается разработкой GraphQL-приложения.
  • https://graphql.org/learn/ и https://graphql.github.io/graphql-spec/June2018 — обучение в формате документации. Подходит, если вы хотите изучить конкретную тему.

В этой статье я хочу поделиться одним из инструментов для поиска уязвимостей в GraphQL API. Если вы искали уязвимости в GraphQL API, то наверняка сталкивались с такими проблемами:

  • Вместо документации у вас огромный нечитаемый JSON (GraphQL schema).
  • Веб-приложение использует только часть GraphQL API, поэтому вы не видите все данные и эндпойнты.

В решении этих проблем хорошим помощником является GraphQL Voyager, который визуализирует GraphQL schema. Визуализация значительно облегчает понимание GraphQL API и помогает быстрее найти уязвимости.
Читать полностью »

Жизненный цикл программного обеспечения известен большинству современных программистов.

Даже школьник, написав свою первую программу

<?php 
echo "Hello! На пхп"
?>

или

fprintf( 'Привет Хабр на Матлабе!n');

понимает технологический процесс.

  1. Думает над задачей — этап появления идеи
  2. Думает над задачей и каким способом её нужно реализовать — Анализ и проработка требований,
    построение программной модели и плана на реализацию. Короче, архитектурный этап.
  3. Программирование.
  4. Тестирование. «А что там получилось»
  5. Эксплуатация.

Между 1-5 этапами нитиобразно мы имеем непрерывно взаимодействующие процессы.

Для этого существуют всякие Водопады, Скрамы итд.

Так вот дело в том, что когда у вас проект раздувается до нескольких типов фронтэнда,
как требует современный IT мир заказчику хочется максимально покруть аудиторию для максимизации собственной прибыли.

И по этой причине мы все наблюдаем обилие проектов, в которых одновременно существуют несколько типов фронэндов, взаимодействующих по API с централизованным бэкэндом.
Читать полностью »

Вместо вступления

Unittest — наверное самый известный фреймворк для написания тестов в Python. Он очень прост в освоении и его легко начать использовать в вашем проекте. Но ничто не бывает идеальным. В этом посте я хочу рассказать об одной возможности, которой лично мне (думаю, не одному) не хватает в unittest.
Читать полностью »

Обзор конференции SQA Days EU - 1

Привет! Меня зовут Алексей, я занимаюсь обеспечением качества в FunCorp. В конце марта я ездил в Ригу на SQA Days EU. Это первая конференция из линейки SQA Days, которая проводится за пределами СНГ. Программа выглядела многообещающе, а в списке докладчиков было много громких зарубежных имён. Ниже я поделюсь своим опытом и впечатлениями от этого путешествия.Читать полностью »

image

3 апреля при поддержке компании «Инфосистемы Джет» состоялась очередная встреча российского отделения сообщества OWASP, на которой собрались специалисты по информационной безопасности. Запись выступлений спикеров можно посмотреть в представленном ниже видеоролике.
Читать полностью »

18 апреля, в четверг, мы снова собираем митап QIWI SERVER PARTY.

На митапе подробно обсудим не только технические вопросы, но и поговорим о том, нужны ли хорошим программистам soft skills, на каких ошибках мы научились, обучая стажеров, и нужен ли сотруднику ментор, или достаточно менеджера.

Москва, 18 апреля — QIWI SERVER PARTY 4.0 - 1

О чем поговорим:

  • Зачем разработчику писать автотесты;
  • Метрики: как перестать бояться и начать понимать свою систему;
  • Soft skills и работа в команде;
  • Техническая устойчивость продукта при совместном владении кода;
  • Почему не обязательно ограничивать себя рамками одной технологии или языка программирования;
  • Менторство и обучение стажеров — как не надо делать.

Подробнее о докладах — под катом.
Читать полностью »

Статья публикуется от имени Ахальцева Иоанна, Jiga

Tinkoff.ru сегодня — это не просто банк, это IT-компания. Она предоставляет не только банковские услуги, но ещё выстраивает экосистему вокруг них.

Мы в Tinkoff.ru заключаем партнерство с различными сервисами для повышения качества обслуживания своих клиентов, и помогаем становиться этим сервисам лучше. Например, мы проводили нагрузочное тестирование и анализ производительности одного из таких сервисов, которые помогли найти узкие места в системе — включенные Transparent Huge Pages в конфигах ОС.

Если вы хотите узнать каким способом провести анализ производительности системы и что из этого получилось у нас, то добро пожаловать под кат.

Читать полностью »

Анонс FunTech QA-automation meetup - 1
Всем привет! Приглашаем QA-инженеров на наш первый митап по тестированию, посвящённый автоматизации.

Программа

«Автотесты, объединяющие подходы, платформы и сердца», Михаил Чирков, ivi.ru

Преимущества и недостатки кроссплатформенных автотестов (в нашем случае речь о платформах android и web), сложности реализации и пути решения проблем при выстраивании автотестирования from scratch, screenplay vs pageobject. А может быть выбирать и не нужно?

Доклад будет интересен как тем, кто только стоит перед выбором писать моноплатформенные тесты или кроссплатформенные, так и тем, кто уже определился с выбором.Читать полностью »