-

Забезпечення Якості -- Quality Assurance
-

понеділок, 21 жовтня 2013 р.

Якісний Менеджмент: Від чого залежить успішність виконання поставленого завдання.

Від чого залежить успішність виконання поставленого завдання?


Успішність виконання поставленого завдання залежить насамперед від чіткості та зрозумілості посталеного завдання, а також від бажання працівника виконати це завдання, як не дивно :).

Працюючи з людьми, переконуюсь, що вміння чітко та зрозуміло формулювати завдання значно полегшує роботу кожного менеджера.

Зібрала список причин чому працівник може спокійно, без зайвих хвилювань, не виконати завдання і не буде вважатися таким, що не справляється з обов’язками.

Оскільки усім відомо, що за успішність проекту відповідальність несе керівник, то само собою є зрозумілим, що за невиконання завдання, відповідальність несе той самий керівник. І це просто не може не тішити підлеглих, які часто користуються недосконалістю формулювання завдання.

Причини, чому працівник може не виконати завдання, і репутація «старанного працівника» залишиться цілою.

 1. Завдання не зрозуміле.

Під час отримання завдання в усному режимі, працівник може не дочути, не додумати, не насмілитись задати додаткові запитання (погодьтесь, що у кожного є свій фіксований словничок «не» J). Працівник повертається на робоче місце, і найчастіше забуває деталі.  У найкращому випадку він виконає завдання, але не так як керівник очікує.

Якщо завдання раніше виконувалось, то можливі наступні причини недосконалості виконання: «не дозрозумів», «забув та переплутав», «гадав та не вгадав», «старався та не достарався».
Якщо завадання раніше не виконувалось, то можливі ті ж самі наступні причини, тільки от цього разу цілковитого невиконання завдання: «не дозрозумів», «забув та переплутав», «гадав та невгадав», «старався та не достарався».

Найкраще перепитати у працівника, яке саме завдання було поставлено, і яка послідовність виконання, якщо це буде виконуватись вперше.

Висновок: Керівнику не достатньо роздати завдання, керівник несе відповідальність за впевнення в тому, що працівник виконає це завдання.

2. Завдання не записане.

«Завданням, яке не записане, можна знехтувати». Цим замовчуваним законом користуються усі, без винятку.

Незаписані завдання так само старанно як і записані, виконують тільки відповідальні працівники.

Висновок: Записане завдання слугує підказкою, береже пам'ять. Його завжди можна перечитати.

3. ‘Креативне’ завдання.

Керівнику прийшла ідея. Не мав/ла часу добре продумати, але є працівник, розумний, спритний, ми в нього віримо, тож йому це швиденько і дамо на доопрацювання та реалізацію.

Якщо працівник смикалистий і не переповнений страхом, то результати реалізації такого ‘креативного’ завдання повернуться до керівника, у найкращому випадку, у точно такій самій формі, як його було поставлено. Вирази на обличчі у двох будуть майже подібними. Правда у керівника буде більше здивування ніж задоволення. Це у випадку, якщо керівник пам’ятає усі свої ‘креативи’ і запитує про результати. Розумні працівники добре орієнтуються, коли керівник прийде за результатом і чи будуть йому цікаві результати взагалі. А ще частіше вони нічого не роблять, до моменту, поки керівник не запитає про результат. Таким чином вони зменшують свій об’єм робіт на кількість завдань, по які ніхто не приходить. J

Періодично запитувати про поточні результати неабияка корисна традиція. По-перше, дає впевненість працівнику, що це не той ‘креатив’, а по-друге, вчасно довідаєтесь, якщо виникнуть проблеми із виконанням завдання і швидко зможете прийняти коригуюче рішення.

четвер, 1 листопада 2012 р.

Security testing: unvalidated redirects and forwards

What are unvalidated redirects and forwards?

As websites are developed, enhanced and modified, old site functionality is frequently redirected to new URLs. As sites introduce support requirements for various platforms, requests are frequently redirected to applications catering to non-standard form factors. These redirects and forwards are a benefit to the user because they direct the user to improved functionality without requiring user input. They can, however, serve as an attack vector for malicious users. Very often, redirects and forwards are programmatically built based on user input; for instance, a request for the “myapp” portion of a site may be redirected when a mobile browser is detected. That redirect is often built using a request parameter, as in the example below: http://www.mysite.com/myapp/redirect.jsp?http://m.mysite.com/myapp In this example, the request is redirected via the \myapp\redirect.jsp functionality. The query string parameter of the requested URL is passed into the redirect function. The redirect function is often implemented in a secure manner—it simply issues a redirect based on the parameter, without any validation—which could look something like this: response.sendRedirect(request.getParameter(“redirURL”)
How can this be used for malicious purposes? Hackers can easily leverage a redirect like this to launch a cross-site scripting or drive-by download attack. By sending a user of the Web application link like this: http://www.mysite.com/myapp/redirect.jsp?http://myevilsite.org/myAttack.html The hacker can trick the user into clicking what appears to be a valid link (it’s linking to www.mysite.com), but which results in sending traffic to the hacker’s malicious site.

Testing for unvalidated redirects

As a tester, you have a number of responsibilities. One of the greatest is ensuring the security of the Web application you test. Your first job in testing unvalidated redirects and forwards is to detect them in your application. There are four ways to accomplish this: Automated code scanning with security-aware source code analysis tools Automated detection with website spidering or crawling tools Manual code scanning Manual testing Most second-generation code scanning tools (of which few open source solutions exist; most are commercial products) do a great job of detecting unvalidated redirects. Using a tool like this can reduce the effort required by testing. If a code analysis tool isn’t available, a site crawling tool like Xenu, or even a quickly-assembled Python script, can be used to make requests. As requests are made, the tool should categorize responses based on the server response code. Any request which results in a “300” HTTP response code is generally a redirection. Once the automated spider is complete, it’s a simple task to filter out all requests which resulted in a 300 HTTP response—you now know where to focus your manual testing efforts. The manual discovery process is obviously more intensive. Manually reviewing source code generally requires a working knowledge of the language in which the application has been programmed. Most development environments include a search function, which reduces the scope of effort somewhat. Simply searching for “sendRedirect” can help you uncover instances in site source code where redirects are being performed. Remember to keep your manual code review to small, manageable chunks – in my experience, productivity plummets after four consecutive hours of manual code review, and it begins to drop after just two hours. Finally, manually spidering the site is an option – not one I advise, given that there are so many open source tools, but there may be a valid reason to take this approach. In that case, your test would be to look at all requests, keeping an eye out for application functionality which results in a redirect. To manually spider a site requires you to click on every link. The intensive work in this effort comes because Ajax-enabled sites often execute requests behind the scenes; you will need an interception proxy like Burp Suite or WebScarab to view and track requests in Ajax applications.  

Discovering vulnerabilities

Once you understand where your application performs redirection, it’s a simple task to detect redirection vulnerabilities. Examine the feature set to understand the intended scope of redirection (most redirects are intended to be within the site, or at least within a property owned by the organization). Test redirection with GET and POST parameters which fall outside of the scope. If the redirect attempts are successful, you likely have a vulnerability. Note that a vulnerability’s severity will be related to the access permissions applied to the redirect. If a redirect can only be performed when a user is logged in, it is still a security vulnerability. The severity is lower because the user must have an active account and an active session (or stored site credentials).  

Recognizing secure redirects

A secure redirect is one in which user input is limited, filtered or validated to include a small list of acceptable parameters. Several techniques exist to secure redirects, including: 1) validating all redirects fall within a pre-defined scope prior to sending the redirect response; 2) limiting user input to paths within the application; 3) mapping the input to a table of valid URLs 4) limiting user input to portions of a URL, and building the URL programmatically by controlling the base URL and portions of the file path. As you test, check the redirect result to ensure one of the four methods above is being implemented to protect your site’s users. Conclusion Testing for redirects and forwards is one of the many challenges that a tester faces. Fortunately, good tools and techniques exist to help limit the required effort. As you tighten your Web application, your users will benefit from a more secure experience, and you’ll sleep better at night too.

John Overbaugh
John Overbaugh is a software engineering leader with sixteen years of experience. His background covers pretty much everything from consumer applications to high-availability enterprise server applications and highly scalable Web services. He lives near Salt Lake City with his wife, Holly,and his three sons. John is the Director of Security for Medicity, a Salt Lake City-based medical software company, and a Certified HITRUST Practitioner. When he isn't working, John enjoys the outdoors and is an avid photographer and ham radio enthusiast (K7JTO).

пʼятницю, 23 грудня 2011 р.

SCRUM мовою регбі

Управлять IT-проектами, как играть в регби
http://www.youtube.com/watch?feature=player_embedded&v=kdhfyJnHqPU#

Test Engineer Professional positions and responsibilities

Junior Test Engineer
Responsibilities:
∙ Ad-hoc Testing, Functional Testing, GUI Testing
∙ Bug Finding and Tracking
∙ Test Case Development
∙ Requirements Analysis/ Testing

Test Engineer
Responsibilities:
∙ Ad-hoc Testing, Functional Testing, GUI Testing
∙ Bug Finding and Tracking
∙ Test Case Development
∙ Requirements Analysis/ Testing
∙ Test Report Development
∙ Traceability Matrix Development and Tracking
∙ Junior Test Engineer Leading
∙ Test Team Leading (1-3 Junior/Test Engineers)

Senior Test Engineer
Responsibilities:
∙ Ad-hoc Testing, Functional Testing, GUI Testing
∙ Bug Finding and Tracking
∙ Test Case Development
∙ Requirements Analysis/ Testing
∙ Test Report Development
∙ Traceability Matrix Development and Tracking
∙ Test Team Leading ( 1- 5 Junior/Test Engineers)
∙ Test Plan Development
∙ Test Project Management
∙ Communication with Customer/ Dev Team


QA Engineer

Responsibilities:
∙ Ad-hoc Testing, Functional Testing, GUI Testing
∙ Bug Finding and Tracking
∙ Requirements Analysis/Testing
∙ Test Team Leading ( 1- 5 Junior/Test Engineers)
∙ Required Test Documentation Development
∙ Test Project Management
∙ Communication with Customer/ Dev Team
∙ Test Process Development and Controlling
∙ Risks Monitoring

Senior QA Engineer
Responsibilities:
∙ Testing
∙ Bug Finding and Tracking
∙ Requirements Analysis/Testing
∙ Test Teams Leading
∙ Required Test Documentation Development
∙ Project Management
∙ Risks Mitigation, Monitoring and Management
∙ Project Process Tracking and Improvement

четвер, 17 листопада 2011 р.

Гибкое тестирование: практическое руководство для тестировщиков ПО и гибких команд.

Лайза Криспин, Джанет Грегори

Гибкое тестирование: практическое руководство для тестировщиков ПО и гибких команд.

Часть I. Введение

Глава 1. Что такое гибкое тестирование?

Глава 2. Десять принципов гибкого тестирования

Часть II. Организационные проблемы

Глава 3. Сложности, связанные с культурой

Глава 4. Логистика команды

Глава 5. Перенос типичных процессов

Часть III. Квадранты гибкого тестирования

Глава 6. Назначение тестирования

Глава 7. Технологически-ориентированные тесты для поддержки команды

Глава 8. Бизнес-ориентированные тесты для поддержки команды

Глава 9. Инструментарий для бизнес-ориентированных тестов,

Глава 10. Бизнес-ориентированные тесты, критикующие продукт

Глава 11. Критика продукта с использованием

Глава 12. Резюме по квадрантам тестирования

Часть IV. Автоматизация

Глава 13. Причины и препятствия к внедрению автоматизации тестов

Глава 14. Стратегия автоматизации тестирования

Глава 15. Действия тестировщика при планировании выпуска или темы

Глава 16. Сдвиг с мертвой точки

Глава 17. Запуск итерации

Глава 18. Кодирование и тестирование

Глава 19. Завершение итерации

Глава 20. Успешная поставка

Часть VI. Итоги

Глава 21. Ключевые факторы успеха

вівторок, 11 жовтня 2011 р.

Web Application Security Testing

.
Web Application Security Testing themes.

1. Vulnerability Analysis

2. Source Code Analysis

3. Penetration Testing

3.1. Pen Test Strategies

3.1.1. Targeted testing

3.1.2. External testing

3.1.3. Internal testing

3.1.4. Blind testing

3.1.5. Double blind testing

3.2. Issues of Input Validation

3.2.1. The Blackbox Testing Technique

3.2.2. SQL Injection Vulnerabilities

3.2.3. Code and Content Injection

3.2.4. Server Side Includes (SSI)

3.2.5. Miscellaneous Injection

3.2.6. Path Traversal and URIs

3.2.7. Cross Site Scripting

3.3. Session Security Issues

3.3.1. Cookies

3.3.2. Session Security and Session-IDs

3.3.3. Logic Flaws

3.3.4. Binary Attacks

4. Fuzz Testing

5. Obfuscation

6. Architectural Risk Analysis