Ни движки известных баз данных, ни СУБД мы тестировать не будем.
Мы будем тестировать известные типы уязвимостей, которые могут предоставить доступ злоумышленнику к базе.
Мы не просим доступ к внутренней сети и/или базе напрямую.
Замораживать проект не нужно, достаточно развернуть отдельное окружение, на которое не будут вноситься правки.
Подход будет выработан после выбора конкретного проекта.
Пожалуйста, см. комментарий.
Не спам, ребята, а поиск проекта для тестирования с целью обучения.
В команде, которая будет заниматься Security-тестированием сейчас находится 8 человек.
Предположу, что эта часть кода находится на сервере и участвует в логике авторизации пользователя. То есть, непосредственно логика определения верного пароля находится вне метода auth, а сам метод auth определяет, обозначить пользователя как вошедшего или «отправить плохой пароль»?
Ну, конечно же, я вас понял, sendBadPassword будет отправлять сообщение об ошибке о неверном введенном пароле, при этом, если на текущий момент времени у нас не будет доступна база данных, то вместо «попробуйте позже» пользователю покажем сообщение «неверный логин или пароль».
Я правильно понял логику написанного вами кода?:)
В использующемся классе/библеотеке бесспорно это может быть. Но для разработки/доработки, возможно, следует создать отдельный репозиторий. А при передаче в использование — обфусцировать.
Спасибо:)
И все-таки, если названия переменных не соответствуют Code Conventions, то вы, вероятно, вчитываетесь в код, понимаете его, и только после этого сможете дать корректное название переменной, правильно?:)
В смысле, названия переменных, методов, синтаксис? Поделитесь правилами ваших Code Conventions:)
«Работает — не трогай», так можно отвечать тем, кто интересуется, стоит ли рефакторить или переводить рабочий код на новые библиотеки.
Другое дело — когда мы вынуждены в чужой код вносить изменения.
И это один из случаев, когда нужно вырабатывать для себя умение читать чужой код.
Когда после парочки таких дедлайнов вам нужно внести изменения в код.
Вам спасибо:)
Все правильно, если вы стретите такой код (как на первом скрине), то, скорее всего, это уже минифицированный вариант, и нужно будет найти сами исходники. Важная мысль, спасибо. Кто-то может полезть менять код не в исходники.
Так и есть:) для примера взяты сокращенные названия переменных и функции, сохраняя синтаксис оригинального кода.
Хотя на практике подобный код встречается довольно редко, но мне приходилось получать «в наследство» нечто подобное. Не настолько ужасное, но похожее.
Да, для примера я взял сжатый (по названиям переменных, функций), но не обфусцированный код. Иначе еще и переносы строк с табуляциями отсутствовали бы, согласитесь:)
Вы правы, при написании кода нужно ссылаться на лучшие практики, паттерны, да и вообще читать «Clean Code», как уже советовали в комментариях.
Со стороны понимания чужого кода это действительно может стать еще одним пунктом в разделе «Что нужно для понимания».
Само собой. Ревьювить код нужно всем:)
Вы не объективны, что я вам еще скажу:) из-за этого и неверный вывод сделали.
Компания растет, и для тестирования секьюрити мы решили поискать «живые» проекты. Это удобно — и свои ребята обучаются, и проекты получают тестирование.