Корисний ресурс тижня: XSS Game

💡 Усі статті, обговорення, новини про тестування — в одному місці. Приєднуйтесь до QA спільноти!

XSS Game

До навчання

Здебільшого тестування вебдодатків зводиться до перевірки фіч: кнопка натискається, форма відправляється, текст на екрані правильний. Але зараз від QA все частіше очікують хоча б базового розуміння безпеки. Одна з найпопулярніших дірок у вебі — це XSS.

Щоб не просто наосліп копіпастити спецсимволи в поля вводу, а реально розуміти, як це працює, команда безпеки Google зробила XSS Game. Це така собі легальна пісочниця, де можна відчути себе хакером і помацати вразливості руками.

Як це працює

Ніяких довгих мануалів. Це браузерна гра на 6 рівнів. На кожному етапі вам дають шматок нібито реального сайту: сторінку пошуку, коментарі чи якийсь чат.

Ваша задача — знайти слабке місце в полі вводу або в URL і пропхнути туди свій JavaScript-код. Класичний доказ того, що ви успішно зламали сторінку — це змусити браузер показати віконце alert().

Перший рівень проходиться за хвилину, але далі розробники починають закручувати гайки. Доведеться обходити фільтри, думати, як браузер парсить атрибути тегів, і колупатися в DOM-дереві.

Якщо застрягли — не біда. Там є підказки, а головне — можна прямо в браузері відкрити вихідний код цього дірявого застосунку (і фронт, і бекенд), щоб розібратися, де саме розробник схибив і забув засанітайзити дані користувача.

Для кого підійде

Зайде мануальникам і автоматизаторам, які хочуть трохи вийти за рамки функціонального тестування і зрозуміти ази Security. Ну і розробникам теж буде дуже корисно поклацати, щоб наочно побачити, до чого призводить сліпа довіра до того, що юзер вводить у формочку.

Ціна питання

Абсолютно безкоштовно. Не треба ні реєструватися, ні підв’язувати картки. Просто відкриваєте лінк і починаєте ламати.

А які корисні ресурси для QA ви можете порадити?