QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин

Introduction to A-frame and WEB-VR.WebVR is an open specification that makes it possible to experience VR in your browser. The goal is to make it easier for everyone to get into VR experiences, no matter what device you have. Make WebVR with HTML and Entity-Component Works on Vive, Rift, Daydream, GearVR, desktop

This document summarizes top security threats for .NET developers. It begins with definitions of key security terms like threats, impacts, attacks, weaknesses and vulnerabilities. It then covers common types of threats like injection attacks, cross-site scripting, insecure direct object reference, security misconfiguration and sensitive data exposure. Code examples are provided to illustrate SQL injection, cross-site scripting and business logic errors. The presentation concludes with a list of additional resources for developers to learn secure coding best practices.

This document discusses techniques for hijacking the .NET framework and Just-In-Time compiler to monitor and analyze PowerShell commands at runtime. It provides background on PowerShell attacks, .NET fundamentals like assemblies and the JIT compiler, and methods for decompiling and manipulating .NET binaries. The goal is to allow PowerShell to run normally while analyzing obfuscated commands and remaining stealthy to avoid detection.

Presentation about code analysis framework for CDT which is C/C++ IDE based on Eclipse. How to write a good static analysis tool? How to integrate right where develop introduces bugs? Catch bugs as you type!

The document discusses securing Java EE web applications by addressing common vulnerabilities like XSS, CSRF, and SQL injection. It begins with an overview of these attacks and how they work. It then demonstrates exploiting vulnerabilities in an open source blog application by using XSS to run a browser exploitation framework, CSRF to change a privileged setting, and SQL injection to dump passwords from the database. Finally, it provides recommendations for secure coding practices like input validation, output encoding, using CSRF tokens, and parameterized queries to prevent these attacks.

SQL injection is a common web application vulnerability that allows attackers to inject malicious SQL statements into an application's database. It can allow data leakage, modification, denial of access, and complete host takeover. SQL injection occurs when user-supplied input is not properly sanitized before being used in SQL queries. Developers can prevent SQL injection by using prepared statements with parameterized queries, stored procedures, and properly escaping all user input. Web application firewalls and additional defenses like whitelist input validation can also help mitigate SQL injection risks.

1. The document introduces macros in Scala and Clojure, providing an example of a macro that implements an assert function. 2. It demonstrates a Clojure macro that implements infix notation and shows how macros allow transforming code at compilation. 3. Various libraries and tools that use macros are listed, such as Wartremover, Datomisca, Expecty, Async, and MacWire.

The document provides an overview of SQL injection, including what SQL is, how SQL injection works by exploiting vulnerabilities in user input validation, and a methodology for testing for and exploiting SQL injection vulnerabilities. It covers topics like determining the database type, user privileges, and extracting information to expand the impact of SQL injection attacks.

This document discusses SQL injection and ways to prevent it. SQL injection occurs when malicious SQL statements are inserted into an insufficiently validated string that is later executed as a database command. It can allow attackers to read or modify data in the database. The document outlines different types of SQL injection attacks and provides examples of how input validation and prepared statements can prevent injection. It also discusses command injection and file path traversal attacks.

Relational Databases have been a blocker for systems incorporating a fully reactive stack since the inception of the Reactive Streams specification. The new Reactive Relational Database Connectivity (R2DBC) can be considered as a game-changer towards achieving efficiency and resiliency on persistence level. Being one of the early adopters, incorporating R2DBC on an ETL that is processing 5 billion flight tickets per year, I will compare it with the existing alternatives in the same space. We will go through the existing APIs, the current limitations, the new Spring 5.2 reactive transactions, and some of the most useful constructs and patterns that emerge from using R2DBC.

With the rise of attacks implementing PowerShell in the recent months, there hasn’t been a solid solution for monitoring or prevention. Currently Microsoft released the AMSI solution for PowerShell v5 however this can also be bypassed. This talk will focus on utilizing various stealthy runtime .NET hijacking techniques implemented for blue teamer defenses for PowerShell attacks. The paper will start with a light intro into .NET and PowerShell, then a deeper explanation of various attacker techniques which will be explained in the perspective of the blue teamer. Techniques include assembly modification, class and method injection, compiler profiling, and C based function hooking.

Talk delivered by Chema Alonso & Jose Palazon "Palako" in ShmooCON 2009 at Washington about SQL Injection, Blind SQL Injection, Time-Based Blind SQL Injection, RFD (Remote File Downloading) and Serialized SQL Injection. http://www.slideshare.net/chemai64/timebased-blind-sql-injection-using-heavy-queries-34887073

The document discusses Java SE 7 adoption rates over time, the Java SE 7 and 8 roadmap, new features in Java SE 8 like lambda expressions and streams, and the Java Mission Control toolset. It also summarizes Java FX, Java EE 7 themes, and the future of Java including Project Jigsaw.

This document discusses the importance of escaping HTML in various web development frameworks and languages like Flask, PHP, and Vue.js to prevent cross-site scripting (XSS) vulnerabilities. It provides examples of how unescaped user input can enable XSS and recommendations to always use escaping functions like htmlspecialchars() in PHP to sanitize user input before displaying it. The document also mentions server-side template injection risks if frameworks like Flask are not configured securely and properly escape user input in templates.

This document contains a quiz on Java programming concepts like NullPointerException, floating point numbers, StringBuffer, inheritance, and stacks. It includes 10 multiple choice questions related to code snippets that demonstrate these concepts, along with explanations of some answers.

Building and shipping iOS app could be a real challenge many developers have to solve. While there are plenty of solutions of continuous integration/delivery out there I will give an introduce to our build process and infrastructure based on Jenkins Pipelines and Fastlane running on Macstadium cloud services.

Gradle released versions 2.2 and 2.3 with several new features such as improved component selection rules, declaring module replacements, Sonar Runner plugin improvements, and compatibility with OpenShift. The ANTLR plugin was updated to support ANTLR versions 3.x and 4.x, and the ANTLR task now runs in a separate process. Gradle continues to improve build configuration, dependency management, and integration with tools like Ant and ANTLR.

Мы уже разговаривали о self-healing автоматизации, как она работает, какие есть подходы, чем они хороши, плохи и о новом инструменте, который мы разрабатываем в EPAM. Наш продукт завершает стадию POC и настало время поделиться результатами и понять, насколько self-healing автоматизация поможет вашим тестам стать стабильнее? Или наоборот, навредит?... Приходи и узнаешь!

Mobile apps and websites are now the predominant ways that users interact with brands. Research has shown that slow sites and apps lose customer engagement. Despite this, most mobile sites and apps have performance issues that can be easily resolved once diagnosed. In this talk, we will walk through steps to diagnose network performance bottlenecks in mobile services. We'll discuss real-world examples and how they were resolved. Attendees will leave this talk armed with the tools to test, diagnose and resolve the top network performance issues that affect mobile today.

Раньше мы в Badoo фокусировались в основным на ручном тестировании. Получался этакий дедлок мануальной регрессии: не было времени, чтоб писать тесты, потому что много тестировали руками, а много тестировали руками, потому что не было автотестов. Но мы смогли наладить свою систему автоматизации и процессы, разорвали этот порочный круг и начали писать годные тесты. В своем докладе я расскажу, как нам удалось сократить ручную регрессию с 90% до 30% рабочего времени, при этом сохранить достойный уровень качества и профессионально вырасти!

Вам знаком термин mindshift? Именно его вы испытаете от этого доклада. Он будет не о QA процессах или инструментах, он будет о деньгах и бизнесе, о рисках и коммуникациях. Все это с примерами из Украинского и мировом IT в формате живого общения с аудиторией.

In this talk, I will cover the pain points of the Test Automation process. We will discuss traps, mistakes and crazy decisions that lead to test automation failure and lost budgets.

Поговорим о мотивации простым языком, проясним, что стимулирует нас работать лучше. Поисследуем обратную сторону мотивации – выгорание. Выясним, как диагностировать выгорание и не допустить неприятных последствий.

Для разработки современных программных решений необходимо обеспечить эффективную систему тестирования, которая состоит из большого количества компонентов и задает требования ко всем этапам разработки. Владимир Никонов, руководитель департамента разработки платформы в Terrasoft, эксперт в области проектирования приложений с опытом работы более 10 лет, поделится экспертным мнением с участниками QA Fest и расскажет: - об инструментах и процессах на каждом этапе создания и поставки функциональности: от unit-тестов до нефункционального тестирования; - о требования к инструментам тестирования и компетенциям команды QA-инженеров, которые необходимо выдвигать на каждом этапе тестирования; - как внедрять современные подходы в существующий проект с минимальными затратами; - как развивать команду и процессы тестирования в целом.

Доклад посвящен автоматизации тестирования WEB-приложений с SVG-графикой. В 1-ой части доклада даны короткое описание процессов разрабатываемого приложения и обоснование необходимости применения SVG-графики. Во 2-ой части сделан короткий обзор SVG-графики, показаны основные преимущества/недостатки такого типа графики, сделан обзор основных SVG-поверхностей и рассмотрен процесс их трансформации с помощью матрицы преобразования с разбором ее основных типов. В 3-ей части обозначены основные проблемы автоматизации действий с SVG-графикой, такие как drag’n’drop графических объектов (SVG на SVG), их масштабирование при помощи колесика мышки и выделение ломаный линий. В 4-ой части показаны решения обозначенных проблем с использованием JavaScript.

Browser tests are known to be the flakiest ones. This is partly because browser infrastructure is complicated to maintain. But the second reason is – mainstream browser automation tools such as Selenium server are far from being efficient. A year ago I have shown Selenoid - a truly efficient replacement of the standard Selenium server. This year I would like to demonstrate how to organize a fault-tolerant and easily scalable Selenium cluster using virtual machines in the cloud. I will start by setting up several Selenoid nodes and configure them to send logs and recorded videos to S3-compatible storage. Then I will run multiple Ggr load balancer instances allowing to use all running Selenoid nodes and organize a single entry point to the cluster. Finally, we'll discuss how to work with VNC and video recording in such a cluster.

Случалось ли вам запускать автоматизацию на проекте? Испытывать непревзойденное удовольствие от необходимости собеседовать технического специалиста, когда сам не имеешь технического опыта? Если да, т�� этот доклад для вас. Мы научимся анализировать сеньорность кандитата, его технический уровень и способность к организации команд. Но самое главное - все это мы сможем достичь без серьезного технического опыта. Будет интересно, заходи на огонек!

Це буде огляд підходів до побудови програми безпеки програмного забезпечення в команді розробки або кампанії загалом, доповнений висновками з мого власного досвіду виконання практичних та консультаційних проектів в сфері Application Security.

Веб-приложения и технологии стремительно развиваются. Мы уже вступили в эру Single Page Application и идем к Progressive Web Application. В большинстве современных проектов идет разделение команд на front-end и back-end, и не только команд, но идет раздельная релизная политика. Это требует более детальных подходов к тестированию front-end. В этом докладе мы рассмотрим кейсы, который есть на практике при тестировании задач front-end и инструменты автоматизации, которые могут решать задачи описанные в этих кейсах: чтение request/response browser network и соответственно мокирование response.

Проектирование и производство медицинских устройств — это регулируемый бизнес. Государственные органы во всем мире призваны гарантировать безопасность и эффективность медицинских устройств. Несоответствие нормативным требованиям ставит под угрозу жизнь и здоровье человека. Как медицинское регулирование влияет на рабочий процесс компании производителя? Мы поговорим о том, какие вызовы стоят перед тестировщиком медицинского софта, а также какие возможности при этом открываются.

This document discusses testability and provides advice on several topics related to keeping testability under control, including problem, product, people, proactivity, productivity, pipeline, project, process, and philosophy. For each topic, common issues are identified and recommendations are provided, with an emphasis on taking a whole team approach and focusing on customers, risks, automation, decision making, and continuous improvement.

Твою гениальность не замечает никто кроме мамы? Идеи и проекты нравятся только твоему коту? Одногруппники уже руководители подразделений, а ты завис между middle и senior? Пришло время найти баги не только на проекте, но и в своей голове! Прокачаем коммуникативные навыки:)

С каждым годом мобильных приложений становится все больше, но мало кто обращает внимание на безопасность этого приложения, когда оно находится в процессе разработки. Так как бизнес нацелен только на то, чтобы оторвать большую часть пользователей, которые будут использовать это приложение, они обращают внимание на конфиденциальность своих клиентов в последнюю очередь. В своем докладе я расскажу как мануал QA может проверить мобильное приложение на уязвимости и найти топовые дыры по рейтингу OWASP. В презентации будут использованы такие тулзы Santoku Linux + Genymotion.