Кастомные вордлисты для самых маленьких

Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.

https://habr.com/ru/companies/deiteriylab/articles/1029012/

#информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing

Регресс без регресса: стратегия автотестов

Самый дорогой регрессионный набор не тот, который долго выполняется, а тот, которому команда перестала верить. Когда команда внедряет автоматизацию, она быстро приходит к соблазнительной идее: если автотесты ускоряют проверки и исключают человеческий фактор, значит автоматизировать нужно всё, до чего можно дотянуться. Но здесь и начинается ошибка. Автоматизировать всё, что можно, и автоматизировать то, что действительно нужно, не одно и то же. Меня зовут Гайнутдинов Роман, я старший инженер по автоматизированному тестированию в компании «БКС Мир инвестиций». За плечами построение автоматизации с нуля, поддержка готовых решений и оптимизация уже раздутых регрессионных наборов. В этой статье разберём логику приоритизации: что автоматизировать в первую очередь, что не стоит тащить в обязательный регресс совсем, и как выбрать уровень проверки. Если вам ближе автоматизация с расчётом на пользу и стоимость, а не всё подряд, сначала стоит разобраться, почему автоматизация без стратегии почти неизбежно превращается в набор дорогостоящих и малополезных проверок. Этот материал будет полезен тестировщикам, разработчикам, менеджерам и всем, кто связан или только знакомится с автоматизацией тестирования.

https://habr.com/ru/companies/bcs_company/articles/1021368/

#qa_automation #qa #unittesting #e2e #api_testing #тестирование #user_story

API и Security Testing на собеседованиях: полный разбор с примерами задач

Привет, Хабр! В прошлой статье я разобрал 5 техник тест-дизайна, которые спрашивают на собеседованиях. Статья будет полезна и новичкам, и тем, кто хочет систематизировать знания перед собеседованием. Каждую тему объясняю с нуля - с аналогиями из жизни, и тут же даю профессиональную глубину.

https://habr.com/ru/articles/996914/

#qa #тестирование #api_testing #security_testing #собеседование #owasp #rest_api #postman #тесткейсы #карьера

Mock API для QA: Mockoon + ngrok

Тестировщикам часто приходится работать в условиях, когда бэкенд ещё не готов, API нестабильно или внешние сервисы недоступны. В таких ситуациях тестирование либо откладывается, либо превращается в угадывание «на словах». В этой статье я показываю, как тестировщик может самостоятельно поднять управляемый mock API без написания серверного кода и сделать его доступным из интернета. Мы разберём связку Mockoon + ngrok: — как создавать mock endpoints; — как эмулировать 200 / 404 / 500 и другие ответы; — как тестировать фронт и интеграции без реального бэкенда. Статья ориентирована на QA-инженеров и подойдёт даже тем, кто никогда не писал backend.

https://habr.com/ru/articles/982628/

#qa #тестирование #mock_api #mockoon #ngrok #api_testing #webhooks #интеграционное_тестирование

Как вырасти из Manual QA в Automation: пошаговый план

Пошаговое руководство для Manual QA, которые хотят перейти в автоматизацию. Как выбрать направление, язык и инструменты, какие шаги пройти и что добавить в портфолио, чтобы уверенно расти в Automation QA.

https://habr.com/ru/articles/932374/

#manual_qa #manual_testing #api_testing #ui_testing #load_testing #python #playwright #allure #junior_qa #автоматизация_тестирования

15 типичных ошибок начинающих автоматизаторов (и как их избежать)

Начинающие автоматизаторы часто наступают на одни и те же грабли: от отсутствия параметризации до связанных автотестов. В этой статье — разбор ошибок и советы, как писать тесты так, чтобы они жили долго и стабильно.

https://habr.com/ru/articles/932590/

#тестирование #pytest #autotest #автотесты #автотестирование #qa #qa_automation #best_practices #api_testing #ui_testing

API автотесты на Python с запуском на CI/CD и Allure отчетом

В этой статье разберём процесс написания API автотестов на Python, используя современные best practices. Кроме того, мы настроим их запуск в CI/CD с помощью GitHub Actions и сформируем Allure-отчёт с историей запусков. Цель статьи — не только показать, как писать качественные API автотесты, но и научить запускать их в CI/CD, получая удобные отчёты о результатах.

https://habr.com/ru/articles/895452/

#python #qa_automation #testing #github_actions #github_pages #allure #pytest #api_testing #pydantic #cicd

Postman: Basic авторизация через скрипт

Всем привет, меня зовут Алексей Нихаенко и я дата инженер. Это мой первый пост на хабре и я хочу поведать вам свое более близкое знакомство с инструментом Postman. О чем пойдет речь?

https://habr.com/ru/articles/863318/

#postman #api #postman_тесты #javascript #api_testing #postman_api