acunetix +

nessus когда-то был фришным, но вроде сейчас уже нет

юзал какое-то время, но иногда засерает псевдоуязвимостями

ну фолспозитивы везде есть :)

Вообще так себе идея без понимания чем-нибудь посканить, результат будет какой-нибудь

чем можно потестить веб-ресурс на уязвимости бесплатно?

вы только владельца ресурса спросите сначала об этом -)

я на своих тренеруюсь для начала :)

ну вы в любом случае спросите, когда не на своем решите, это слегка наказуемо в нашей стране

я на своих тренеруюсь для начала :)

а что конкретно ты хочешь искать?

ксстаааати было что-то в новостях или на хабре

типов веб-уязвимостей куча

xss

чувак там ломанул кого-то из отечественных гигантов, прислал им чегокуда ао ни на него в суд подали

когда то давно проходили на работе курс по тестированию на безопасность, первая тема была как не сесть потом за это -)

xss

достаточно странная затея

разве только для самообразования

есть требование по безопасности, надо галочку поставить

Я тоже, просто знаю что у нас в фирме секьюрити куа его юзают

Плагины пишут и смотрят на известные дырки.

я на своих тренеруюсь для начала :)

На степике курс был про безопасность веб приложений, после него поймешь куда гуглить

я бы еще на старые уязвимости сервер проверил (типа хёрдбит и всё вот это)

находить уязвимости это искусство, для этого есть специально обученные люди :)

посмотри OWASP

Ага урл ввел нажал атака профит

мне пока не требуется быть экспертом, просто убедится что огромных дыр нет

(Нет)

посмотри OWASP

для многих сложно будет

для многих сложно будет

искать уязвимости само по себе непросто

есть разница между подставлять кавычку и script alert script, и делать что-то осознано

на https://stepik.org есть ознакомительный курс

Ну вообще да

по мне дак пентест - одна из самых сложных и объемных зон тестирования

по мне дак пентест - одна из самых сложных и объемных зон тестирования

так и есть :) поэтому мне всегда очень смешно, когда на собесах пытаются спрашивать про тестирование безопасности

так и есть :) поэтому мне всегда очень смешно, когда на собесах пытаются спрашивать про тестирование безопасности

там про другое спрашивают же

типо "а эс ку эль инъекцию вы найти можете?"

а потом выясняется что на бэке ОРМ

сразу вспоминаю собеседование из пароль рыба меч

там про другое спрашивают же

про какое другое?

Не про пентест же. Про разграничение доступа - это тоже security тестирование

Хранение чего-то в открытом виде там

сразу вспоминаю собеседование из пароль рыба меч

нуа чотам чотам

со слабым ACL

и так далее

какая прелесть. Набор актеров из людей икс

это в люди икс набор актеров из пароль рыба меч)

Вот да.

ну хотя, пароль в 2001 вышел, а первые люди в 2000 =)

это уже оффтоп.

Не про пентест же. Про разграничение доступа - это тоже security тестирование

нет, я не это имею в виду

реально спрашивали какие уязвимости знаете и вот это все

что такое directory traversal и чем опасен

ну с этим все равно пентестером не стать :) Как-то не очень понятно, к чему такие вопросы вообще.

так и есть :) поэтому мне всегда очень смешно, когда на собесах пытаются спрашивать про тестирование безопасности

я про то же

И скорее всего систематического security тестирования в компании нет )

его нет практически нигде

Потому как нормальное стоит как весь продукт. Т.е. цена х2

Коллеги, опять вопрос по rest-assured. В json'е поле называется, как зарезервированное слово в java, т.е. я не могу поле в POJO так же назвать. С ходу не нагуглил. Что можно сделать?

давайте разведем флуд про json'ы лучше

Не уверен, что нагуглил ответ правильно, но ща вброшу в личку.

Ребят, всем хай) скажите, а здесь только автоматизаторы сидят? или Фтшники тоже есть?

фт-шники?

ооооооооой

ну да, те кто ручками тестируют

а расшифруйте, пожалуйста, что такое ФТ?

формально, функциональное тестирование может быть и автоматизированным

функциональное тестирование

ERROR: S client not available

всякие есть)

функциональные тестировщики) i guess

Formal testing

?

Field tester

а расшифруйте, пожалуйста, что такое ФТ?

функциональное тестирование, очевидно. Но сейчас все набегут и объяснят Дмитрию, что ФТ может быть как ручным так и автоматизированным)

Есть еще одно слово на ф но обидятся)

Ох, божечки-кошечки.

ну извините, что не достаточно точно выразился, просто у нас в компании есть два отдела - FT и AT, вот и сказал по привычке

А гуй кто тестит? Это же не функциональное.

GT?

ГТ-шники)

в любом случае тебе здесь рады)

но это не точно

Здесь всякие есть и попадаются, так что спрашивай - не стесняйся

кто пишет юнит тесты тот молодец

кто пишет юнит тесты тот молодец

тот поступает мудро

окей)) а то просто читаю чатик - а вопросы только об автотестах и тому подобных вещах

кто пишет юнит тесты тот молодец

Кто пишет юнит тесты - тот разработчик.

я считаю это логично

окей)) а то просто читаю чатик - а вопросы только об автотестах и тому подобных вещах

Просто про ручное и спрашивать-то нечего.

Ребят, всем хай) скажите, а здесь только автоматизаторы сидят? или Фтшники тоже есть?

а что, автоматизаторы не покрывают это самое ФТ?

А есть те кто тестировал десктоп приложения написанные на делфи? Интересует тестирование advstringgrid, без использования TestComplete

рви шаблоны пиши юнит тесты и будь QA

)

вообще не понимаю людей которые в ручном тестировании больше полугода сидят )

вообще не понимаю людей которые в ручном тестировании больше полугода сидят )

такой срачик уже был

думаю не стоит разводить срач по этому поводу

ок=) сорян)

это откровенный вброс)

да, есть такое )