SlideShare a Scribd company logo

Security zap and selenium

Download as ODP, PDF
Anton Shapin
Anton Shapin
1 of 20
Downloaded 21 times
Автоматическое тестирование безопасности ZAP и Selenium Шапин Антон @kirlionik
Немного мании величия Шапин Антон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: shapin.anton@gmail.com
Чего НЕ будет в докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
О чём пойдет речь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
Начнём!
Security zap and selenium
Zed Attack Proxy (ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
На что способен ZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
На что способен ZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
Ручное использование ZAP Web browser QA Expert ZAP Web Application
Ручное использование
Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
Build Tool + Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
Build Tool + Selenium + ZAP
Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy
Спасибо за внимание!
Ad

Recommended

Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
Alexei Lupan
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstm
Alexei Lupan
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Dmitry Evteev
 
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностямиТестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностями
SQALab
 
Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестирования
SQALab
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
Training center "Echelon"
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
Dmitry Evteev
 
SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017
Adam Sandman
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
SQALab
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
 
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
SQALab
 
About Testers
About TestersAbout Testers
About Testers
antsh
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
qqlan
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Внедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной ШинеВнедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной Шине
SQALab
 
Провокации автоматического тестирования
Провокации автоматического тестированияПровокации автоматического тестирования
Провокации автоматического тестирования
Igor Lyubin
 
Сергей Белов
Сергей БеловСергей Белов
Сергей Белов
CodeFest
 
В топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стекеВ топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стеке
COMAQA.BY
 
NPAPI
NPAPINPAPI
NPAPI
Timur Rakhmatillaev
 
Ad

More Related Content

What's hot (20)

Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестирования
SQALab
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
Training center "Echelon"
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
Dmitry Evteev
 
SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017
Adam Sandman
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
SQALab
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
 
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
SQALab
 
About Testers
About TestersAbout Testers
About Testers
antsh
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
qqlan
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Внедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной ШинеВнедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной Шине
SQALab
 
Провокации автоматического тестирования
Провокации автоматического тестированияПровокации автоматического тестирования
Провокации автоматического тестирования
Igor Lyubin
 
Сергей Белов
Сергей БеловСергей Белов
Сергей Белов
CodeFest
 
Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестирования
SQALab
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
Training center "Echelon"
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
Dmitry Evteev
 
SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017
Adam Sandman
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
SQALab
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
 
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
SQALab
 
About Testers
About TestersAbout Testers
About Testers
antsh
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
qqlan
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Внедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной ШинеВнедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной Шине
SQALab
 
Провокации автоматического тестирования
Провокации автоматического тестированияПровокации автоматического тестирования
Провокации автоматического тестирования
Igor Lyubin
 
Сергей Белов
Сергей БеловСергей Белов
Сергей Белов
CodeFest
 

Similar to Security zap and selenium (20)

В топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стекеВ топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стеке
COMAQA.BY
 
NPAPI
NPAPINPAPI
NPAPI
Timur Rakhmatillaev
 
The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)
Andrei Solntsev
 
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем сутьАвтоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
SQALab
 
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
2ГИС Технологии
 
Winium — это как Selenium, только под Windows
Winium — это как Selenium, только под WindowsWinium — это как Selenium, только под Windows
Winium — это как Selenium, только под Windows
SQALab
 
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNGДмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
DataArt
 
The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16
Andrei Solntsev
 
The fast and the continuous
The fast and the continuousThe fast and the continuous
The fast and the continuous
SQALab
 
Automation Overview
Automation OverviewAutomation Overview
Automation Overview
KiraKeiss
 
Appium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон СеменченкоAppium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон Семенченко
Alina Dolgikh
 
selenium stack in python
selenium stack in pythonselenium stack in python
selenium stack in python
COMAQA.BY
 
Экономически эффективный процесс тестирования
Экономически эффективный процесс тестированияЭкономически эффективный процесс тестирования
Экономически эффективный процесс тестирования
CodeFest
 
Андрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation ToolАндрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation Tool
QA Club Minsk
 
Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)
Andrei Solntsev
 
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Dakiry
 
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытанияCodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest
 
Вирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестированииВирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестировании
SQALab
 
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Ontico
 
Развитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три годаРазвитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три года
SQALab
 
В топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стекеВ топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стеке
COMAQA.BY
 
NPAPI
NPAPINPAPI
NPAPI
Timur Rakhmatillaev
 
The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)
Andrei Solntsev
 
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем сутьАвтоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
SQALab
 
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
2ГИС Технологии
 
Winium — это как Selenium, только под Windows
Winium — это как Selenium, только под WindowsWinium — это как Selenium, только под Windows
Winium — это как Selenium, только под Windows
SQALab
 
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNGДмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
DataArt
 
The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16
Andrei Solntsev
 
The fast and the continuous
The fast and the continuousThe fast and the continuous
The fast and the continuous
SQALab
 
Automation Overview
Automation OverviewAutomation Overview
Automation Overview
KiraKeiss
 
Appium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон СеменченкоAppium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон Семенченко
Alina Dolgikh
 
selenium stack in python
selenium stack in pythonselenium stack in python
selenium stack in python
COMAQA.BY
 
Экономически эффективный процесс тестирования
Экономически эффективный процесс тестированияЭкономически эффективный процесс тестирования
Экономически эффективный процесс тестирования
CodeFest
 
Андрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation ToolАндрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation Tool
QA Club Minsk
 
Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)
Andrei Solntsev
 
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Dakiry
 
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытанияCodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest
 
Вирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестированииВирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестировании
SQALab
 
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Ontico
 
Развитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три годаРазвитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три года
SQALab
 
Ad

Security zap and selenium

  • 2. Немного мании величия Шапин Антон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: [email protected]
  • 3. Чего НЕ будет в докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
  • 4. О чём пойдет речь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
  • 5. Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
  • 8. Zed Attack Proxy (ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
  • 9. На что способен ZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
  • 10. На что способен ZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
  • 11. Ручное использование ZAP Web browser QA Expert ZAP Web Application
  • 13. Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
  • 14. Build Tool + Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
  • 15. Build Tool + Selenium + ZAP
  • 16. Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
  • 17. Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
  • 18. Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
  • 19. Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy

Editor's Notes

  • #2: 1. Есть ли люди, которые специализируются на тестировании безопасности? 2. Есть ли тут люди, которым это интересно, но не хватает знаний для этого? 3. Есть ли разработчики веб приложений? Насколько вы уверены в безопасности своего кода?
  • #3: Занимаюсь нарузочным, функциональным тестированием. am.ru — Одна из крупнейших баз объявлений по продаже автомобилей России, которая обновляется и дополняется ежедневно. Более двадцати тысяч новых предложений каждый день, один проданный автомобиль каждые три минуты
  • #4: Для многих людей взлом веб порталов ассоциируется с черной магией. Существует масса инструментов для проведения тестирования по безопасности. Есть платные монстры, бесплатные. Есть просто руки. В докладе я не буду приводить сравнения этих инструментов.
  • #5: Я покажу, что такое инструмент ZAP, как с его помощью можно будет найти уязвимости. Ну и самое главное, как его можно интегрировать с уже существующей базой автоматических тестов без глобальных изменений.
  • #8: Вот так выглядят люди, которые уверены, что их приложение легко взломать не получится, и при этом не проводят периодические при
  • #9: История с использованием ZAP в нашей фирме началась с момента появления необходимости проводить тестирование на безопасность. Основные требования к системе: 1. Система должна быть автоматической. 2. Легко внедряемая в систему существующую систему тестирования. 3. Желательно бесплатна.
  • #11: Fuzz тестирование или Fuzzing это black box тестирование программного обеспечения техникой, которая в основном состоит в нахождении ошибки реализации передачи не правильных или полу правильных данных в параметрах веб приложения.