Ссылка на Amazon.
Как тестировать web-приложения? Если у вас возникает этот вопрос — покупайте книжку!
В ней очень много полезной информации — тут даже прошаренный тестировщик узнает что-то новенькое. А уж новичка так и вовсе завалит информацией!
И я не шучу, у меня уже больше 7 лет опыта, но часть материала в книжке я просто не поняла, не смогла переваривать. Оставила на потом, перечитать и обдумать. Знаете, это как с любым тренингом или любой книжкой — можно перечитывать и каждый раз узнавать что-то новенькое.
Все просто, на текущий момент у вас знаний Х и есть какие-то насущные проблемы. Читая книгу, вы вольно или невольно примеряете опыт авторов на себя. Иногда настигает озарение "О, круто! То, что надо", иногда читаете в виде "Пфе, я это и так знал". Однако через полгода у вас возникнет проблема, которую непонятно как решать. И тогда уже это "Пфе" превратится в "О, круто! То, что надо"
Поэтому и тренинги по углубленному изучению тестирования (тест-дизайн, тест-менеджмент, автоматизация) надо проходить тогда, когда есть на чем тренироваться. Тогда и знания из тренинга наложатся на опыт и будет полезнее.
Но вернемся к книжке. Формат — введение в главу и описание атак. Атаки самых разных типов -на сервер, на клиент, state based... Описание атаки состоит из нескольких частей:
- Общее описание.
- Когда применяется атака.
- Как ее применять.
- Как от нее защититься.
Всего в книге описаны 24 атаки + много полезной информации о том, как утсроены web-приложения, что такое WSDL, SOAP и прочие "страшные слова".
Первая же атака — промывка в лотке в поисках золота. Автор предлагает нам вообразить себя золотоискателями, которые методично просматривают код, ища там "золотые кусочки" (комментарии в исходном коде, сообщения об ошибках и прочая). Этот метод очень интересен тем, что мы часто им пользуемся. Новички — когда не уверены, где искать. Опытные — когда необходимо методично проверить приложение, когда "я тут немного порефакторил, могло сломаться все, что угодно, тестируйте ВСЕ!".
Понравилось описание XSS и SQL-атак, автор приводит прям куски кода, бери да вставляй в свое приложение для проверки! А примеры - это всегда круто! Взяла их себе на заметочку.
Вообще в книге у меня с десяток защипанных страниц, не думаю, что стоит выписывать сюда все свои открытия. Могу только сказать, что что-то из прочитанного я уже знала, но о многом просто понятия не имела. Это так странно. Я 4 года работала с web-приложениями. Но это было до того, как я нашла http://software-testing.ru/ и начала активно прокачиваться и развиваться. Тогда я была еще совсем молодой и неопытной и обо всех этих атаках даже не догадывалась...
Поэтому начинающим книгу крайне рекомендую! У вас есть шанс уже в начале своего пути узнать столько, сколько ваши коллеги знают сейчас. И это здорово! А я уверена, что к книге еще вернусь и снова многое узнаю. И даже снова что-то останется за гранью моего понимания. Но это же хорошо — значит, мне есть куда развиваться!
Единственная проблема — английский язык. Да-да, придется учить, чтобы прочитать книжку Книги я уже читаю, а вот пробежаться по своим закладкам быстро не удается, приходится вникать во фразы... Но это все фигня, главное — знания )))
Я настоятельно рекомендую книги из серии "How to..." всем тестировщикам. И начинать советую как раз с тех, с чем вы сейчас работаете. С вебом я сейчас сталкиваюсь и мне было интересно узнать что-то новое. Я узнала )))) Чего и вам желаю!
PS - Добавила книгу в общий список прочитанных мною книг.
Книга действительно хороша. Кроме нее для начинающих в качестве справочника могу порекомендовать "Web Application Hacker Handbook".
ОтветитьУдалитьА вообще книга показывает, что тестирование безопасности - это совершенно отдельная ветка в развитии и требует очень большого багажа знаний в самых различных технологиях
Спасибо! Полностью согласна, багаж нужен большой :)
Удалить