“Testowanie oprogramowania” to, można powiedzieć, kultowa książka, którą powinien przeczytać każdy adept zawodu testera. Jest to bodajże pierwsza pozycja przetłumaczona na język polski, traktująca o testowaniu.

Od bardzo dawna jest już niedostępna w księgarniach, upolowanie jej np. na Allegro graniczy z cudem, a na pewno wielu chciałoby tą książkę przeczytać. Teraz jest już taka możliwość. Książka w wersji PDF została upubliczniona przez p. Bogdana Berezę, pierwszego tłumacza “Testowania oprogramowania” Rona Pattona, pod adresem victo.eu/patton.

Jak pisze p. Bereza – jest to wersja sprzed korekty, więc może zawierać liczne literówki i inne błędy, za to “znajdziemy [tam] komplet oryginalnych przypisów tłumacza, których część usunęło niegdyś wydawnictwo”. Książka została udostępniona w 13 plikach PDF. Natomiast u nas możecie ją pobrać w całości w jednym pliku:

Ron Patton – Testowanie oprogramowania (pdf)

Autorem artykułu jest S.G., ekspert ds. testów bezpieczeństwa serwisów internetowych.

Cross-site scripting (XSS) jest to metoda ataku na aplikacje internetowe, polegająca na osadzeniu kodu (skryptu) na stronie internetowej.

Wielu z testerów umie sprawdzić podatność danej witryny na tego rodzaju atak.
Używamy podstawowych wstrzyknięć kodu typu: <script>alert(1);</script>. W momencie, kiedy wyskoczy okienko, to już wiemy, że witryna jest podatna. Jednak, ilu z was potrafi wykorzystać tego typu błąd w praktyce? Poniżej opiszę w jaki sposób, wykorzystując podatność XSS, można przejąć kogoś konto.

Na przykładzie strony pewnej firmy telekomunikacyjnej X.

Od dawna jestem klientem X. Mam lepsze i gorsze doświadczenia z tą firmą.
Praktycznie od początku korzystam z konta online na www.X.pl. Wiele opcji można sprawnie zmienić, zobaczyć opłaty, połączenia, doładować komuś konto… Pewnego razu postanowiłem, że zobaczę, jakie telefony są dostępne w aktualnych promocjach. Wybrałem więc kilka telefonów do porównania. Jako, że już długo jestem testerem zabezpieczeń i uwielbiam swoje hobby, mam pewne nawyki, ciekawi mnie budowa mechanizmów witryny. Zajrzałem w źródło strony i zobaczyłem, że jej część jest ładowana poprzez AJAX. Po przeanalizowaniu zapytanie do serwera wyglądało tak:

http://www.X.pl/gear/commerce/ajax?toGet=phone-information-area&model=HTC7272_DESIRE_Z

gdzie HTC7272_DESIRE_Z to model telefonu.

Continue Reading