вторник, 24 марта 2015 г.

How to break web software. Mike Andrews, James A. Whittaker


Ссылка на Amazon.

Как тестировать web-приложения? Если у вас возникает этот вопрос — покупайте книжку! (smile)
В ней очень много полезной информации — тут даже прошаренный тестировщик узнает что-то новенькое. А уж новичка так и вовсе завалит информацией!

И я не шучу, у меня уже больше 7 лет опыта, но часть материала в книжке я просто не поняла, не смогла переваривать. Оставила на потом, перечитать и обдумать. Знаете, это как с любым тренингом или любой книжкой — можно перечитывать и каждый раз узнавать что-то новенькое.

Все просто, на текущий момент у вас знаний Х и есть какие-то насущные проблемы. Читая книгу, вы вольно или невольно примеряете опыт авторов на себя. Иногда настигает озарение "О, круто! То, что надо", иногда читаете в виде "Пфе, я это и так знал". Однако через полгода у вас возникнет проблема, которую непонятно как решать. И тогда уже это "Пфе" превратится в "О, круто! То, что надо" (smile)

Поэтому и тренинги по углубленному изучению тестирования (тест-дизайн, тест-менеджмент, автоматизация) надо проходить тогда, когда есть на чем тренироваться. Тогда и знания из тренинга наложатся на опыт и будет полезнее.

Но вернемся к книжке. Формат — введение в главу и описание атак. Атаки самых разных типов -на сервер, на клиент, state based... Описание атаки состоит из нескольких частей:

  • Общее описание.
  • Когда применяется атака.
  • Как ее применять.
  • Как от нее защититься.
Всего в книге описаны 24 атаки + много полезной информации о том, как утсроены web-приложения, что такое WSDL, SOAP и прочие "страшные слова".

Первая же атака —  промывка в лотке в поисках золота. Автор предлагает нам вообразить себя золотоискателями, которые методично просматривают код, ища там "золотые кусочки" (комментарии в исходном коде, сообщения об ошибках и прочая). Этот метод очень интересен тем, что мы часто им пользуемся. Новички — когда не уверены, где искать. Опытные — когда необходимо методично проверить приложение, когда "я тут немного порефакторил, могло сломаться все, что угодно, тестируйте ВСЕ!".

Понравилось описание XSS и SQL-атак, автор приводит прям куски кода, бери да вставляй в свое приложение для проверки! А примеры - это всегда круто! (smile) Взяла их себе на заметочку.

Вообще в книге у меня с десяток защипанных страниц, не думаю, что стоит выписывать сюда все свои открытия. Могу только сказать, что что-то из прочитанного я уже знала, но о многом просто понятия не имела. Это так странно. Я 4 года работала с web-приложениями. Но это было до того, как я нашла http://software-testing.ru/ и начала активно прокачиваться и развиваться. Тогда я была еще совсем молодой и неопытной и обо всех этих атаках даже не догадывалась...

Поэтому начинающим книгу крайне рекомендую! У вас есть шанс уже в начале своего пути узнать столько, сколько ваши коллеги знают сейчас. И это здорово! А я уверена, что к книге еще вернусь и снова многое узнаю. И даже снова что-то останется за гранью моего понимания. Но это же хорошо — значит, мне есть куда развиваться!

Единственная проблема — английский язык. Да-да, придется учить, чтобы прочитать книжку (smile) Книги я уже читаю, а вот пробежаться по своим закладкам быстро не удается, приходится вникать во фразы... Но это все фигня, главное — знания )))

Я настоятельно рекомендую книги из серии "How to..." всем тестировщикам. И начинать советую как раз с тех, с чем вы сейчас работаете. С вебом я сейчас сталкиваюсь и мне было интересно узнать что-то новое. Я узнала )))) Чего и вам желаю!

2 комментария:

  1. Книга действительно хороша. Кроме нее для начинающих в качестве справочника могу порекомендовать "Web Application Hacker Handbook".
    А вообще книга показывает, что тестирование безопасности - это совершенно отдельная ветка в развитии и требует очень большого багажа знаний в самых различных технологиях

    ОтветитьУдалить