Показаны сообщения с ярлыком xPath. Показать все сообщения
Показаны сообщения с ярлыком xPath. Показать все сообщения
понедельник, 4 марта 2013 г.
воскресенье, 3 марта 2013 г.
xPath: идентификация элементов на web-форме
Язык запросов xPath служит для упрощения доступа к элементам web-формы, расположенным в DOM. Очень часто его используют в таких средствах автоматизации тестирования, как Selenium IDE и Selenium WebDriver.
вторник, 25 сентября 2012 г.
Password Bruter - программа для многопоточного подбора учетных данных к страничкам с form-based авторизацией
Перед разработчиками и тестировщиками web-приложений периодически встают задачи тестирования безопасности разрабатываемого продукта. Один из наиболее известных классификаторов угроз и уязвимостей для web-приложений - The Web Application Security Consortium (The WASC) Threat Classification v2.0.
Одна из популярных уязвимостей (Weaknesses - в классификаторе), встречающихся для web-приложений - это недостатки подсистемы авторизации (WASC-02 Insufficient Authorization). На web-приложение, имеющее данную уязвимость, могут попытаться осуществить атаку (Attacks - в классификаторе) типа "Брутфорс" (WASC-11 Brute Force). При этом злоумышленник может попытаться осуществить подбор учетных данных на странице авторизации, если она недостаточно защищена.
К недостаткам защиты страницы авторизации можно отнести:
- отсутствие ограничения по числу попыток авторизации,
- отсутствие поля для ввода дополнительной информации - капчи (capture),
- отсутствие временной задержки между попытками авторизации и другие.
Наличие указанных недостатков в реализации подсистемы авторизации упрощает злоумышленнику доступ к web-приложению.
Одна из разновидностей атаки брутфорсом - подбор учетных данных (Brute Forcing Log-in Credentials) для страницы авторизации (Form-based Auth). Для имитации данного типа атаки был написан свой многопоточный брутфорсер Password Bruter на Python 3.2. В качестве цели было развернуто и использовано уязвимое web-приложение Damn Vulnerable Web Application (DVWA).
четверг, 13 сентября 2012 г.
Краулер ссылок и автоматизация процесса снятия скриншотов
Перед нами стояла задача: автоматизировать процесс снятия скриншотов со страничек web-приложения - некоторого сайта. Требовалось:
- Получать стартовый URL.
- Искать на страничке, полученной по стартовому URL все ссылки на другие странички.
- Переходить по всем найденным ссылкам и делать скриншоты со всех страничек.
- Ограничивать глубину вложенности при прохождении найденных ссылок.
воскресенье, 2 сентября 2012 г.
Безопасность и тестирование
Начинаю выкладывать в данный блог материалы связанные с информационной безопасностью и тестированием программного обеспечения. Статьи, в основном, будут иметь практическую и научную направленность. Статьи и их содержимое будут исправляться и дополняться по ходу изучения новых материалов.
Все материалы, представленные здесь, получены в ходе работ в Казанском государственном техническом университете им. А.Н. Туполева (КАИ), группе компаний Центр (г. Казань), компании Positive Technologies (г. Москва).
В качестве введения в область практического тестирования программного обеспечения, предлагаю ознакомиться со статьями:
Подписаться на:
Комментарии (Atom)