Тестирование безопасности API – Неограниченное потребление ресурсов
#почитать
В этой серии статей я обращусь к уязвимостям из списка топ-10 OWASP, посвященного безопасности API. В каждой статье я покажу вам, как экспериментировать с API, тестируя уязвимость, и обсужу свои выводы.
В качестве подопытных я буду использовать разные API. Все они демонстрационные – в реальной жизни и публичных приложениях они не используются. Следовательно, все обсуждаемые уязвимости абсолютно безвредны, если вообще не внедрены специально.
⏱ Читать статью
#почитать
В этой серии статей я обращусь к уязвимостям из списка топ-10 OWASP, посвященного безопасности API. В каждой статье я покажу вам, как экспериментировать с API, тестируя уязвимость, и обсужу свои выводы.
В качестве подопытных я буду использовать разные API. Все они демонстрационные – в реальной жизни и публичных приложениях они не используются. Следовательно, все обсуждаемые уязвимости абсолютно безвредны, если вообще не внедрены специально.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from QA Live 🚩 Тестирование ПО
▫️Похороните меня под плинтусом
▫️ИИ-код создаёт больше проблем, чем решает
▫️QA и Dev в командах разработки: есть ли правильная пропорция или всё зависит
▫️Сhange requestы и баг-репорты, которые никто не понимает
▫️Распутаться: руководство для застрявших тестировщиков
▫️Контрактное тестирование на Kotlin: гайд автоматизатора
▫️Фикстуры в Go: как перестать писать инфраструктуру в автотестах
▫️Что такое качественный инжиниринг
▪️Как скормить слона нейросети по кусочкам
▪️Практика измерения эффективности AI-инструментов в инженерных командах
▪️Как мы разрабатывали AI-сервис поиска IT-вакансий
▪️Full-stack верификация: как Playwright-агент тестирует UI, затем проверяет базу данных без единой строки SQL
▪️Работа с автотестами внутри TMS
▪️Вышел Playwright 1.59: как тестировщикам с пользой применить каждую новую фичу
▪️Как работает система фейков для сквозного тестирования в Авито
▪️Playwright vs Selenium на Java: что выбрать для автотестов в 2026 году
▪️Как мы подружили QA и unit-тесты через Allure (и встроили их в регресс)
▪️Пара детективов с поиском багов в мобильных приложениях банков
▪️Скриншотное тестирование: практические советы из реального проекта
▪️9 принципов стабильных автотестов
▪️Строим внутренний контроль качества в компании по тестированию
▫️Где искать вакансии QA-инженеру, если HH уже не спасает
▫️Ваш собес уже в базе
▫️Как я с помощью автоматизации выиграл iPhone от McDonald’s
▫️Много лет пытался повысить продуктивность и качество жизни — эксперименты над собой
▫️Как развивать soft skills: практические шаги
▫️Как я перешла из тестирования в аппаратную верификацию без опыта в процессорных архитектурах
▫️Как QA-инженеру понять свою цену на рынке в 2026 году
▪️Курсы Артема Русова с ИИ. Личный опыт автора для новичков
▪️Мыслепреступление на Android: как скрыть Перехватчик трафика от Государственных приложений
▪️Тестировщик и вера в Бога: баг или фича
▪️Я установил все расширения Firefox
Дедлайн близко
Please open Telegram to view this post
VIEW IN TELEGRAM
Как тестирование влияет на репутацию бренда
#почитать
Восстановление репутации после кризиса зачастую требует значительно больших ресурсов, чем профилактика инцидентов и проблемных ситуаций. Например, после масштабного сбоя в системе онлайн-банкинга одного из крупнейших российских банков в 2023 году, банк понес многомиллионные затраты на компенсации клиентам, а также на маркетинговые и PR-кампании, направленные на восстановление доверия. По оценкам экспертов, эти затраты могли быть в 5-7 раз выше, чем стоимость превентивного тестирования и мер по предотвращению подобных инцидентов. Такие кейсы демонстрируют, что инвестиции в профилактику, безопасность и качественную подготовку инфраструктуры значительно экономят средства и помогают минимизировать репутационные риски.
⏱ Читать статью
#почитать
Восстановление репутации после кризиса зачастую требует значительно больших ресурсов, чем профилактика инцидентов и проблемных ситуаций. Например, после масштабного сбоя в системе онлайн-банкинга одного из крупнейших российских банков в 2023 году, банк понес многомиллионные затраты на компенсации клиентам, а также на маркетинговые и PR-кампании, направленные на восстановление доверия. По оценкам экспертов, эти затраты могли быть в 5-7 раз выше, чем стоимость превентивного тестирования и мер по предотвращению подобных инцидентов. Такие кейсы демонстрируют, что инвестиции в профилактику, безопасность и качественную подготовку инфраструктуры значительно экономят средства и помогают минимизировать репутационные риски.
Please open Telegram to view this post
VIEW IN TELEGRAM
SVG, Canvas, WebGL, WebGPU — кто здесь вообще главный? Большой тест 2D-графики в браузере
#почитать
В последние годы спрос на 2D/3D-инструменты в веб-сервисах растет довольно стремительно, технологии развиваются, появляются новые подходы и библиотеки — а вместе с ними растёт и путаница: что где использовать, где грань между похожими решениями и почему у разработчиков часто возникают противоположные мнения?
Так что я решила устроить небольшой тест 2D-решений: посмотреть, на что они реально способны, понять, почему результаты местами вызывают большое удивление, и ответить себе (и вам) на вопрос: а WebGPU вообще зачем?
⏱ Читать статью
#почитать
В последние годы спрос на 2D/3D-инструменты в веб-сервисах растет довольно стремительно, технологии развиваются, появляются новые подходы и библиотеки — а вместе с ними растёт и путаница: что где использовать, где грань между похожими решениями и почему у разработчиков часто возникают противоположные мнения?
Так что я решила устроить небольшой тест 2D-решений: посмотреть, на что они реально способны, понять, почему результаты местами вызывают большое удивление, и ответить себе (и вам) на вопрос: а WebGPU вообще зачем?
Please open Telegram to view this post
VIEW IN TELEGRAM
Как мы оптимизировали тестирование с помощью API-сервисов
#почитать
Иногда в процессе разработки внезапно выясняется, что привычные подходы к тестированию перестают работать: автотесты громоздкие, данные — одноразовые и неудобные, а тестовые фреймворки уже не спасают. В такой момент команда или буксует, или придумывает что-то новое.
⏱ Читать статью
#почитать
Иногда в процессе разработки внезапно выясняется, что привычные подходы к тестированию перестают работать: автотесты громоздкие, данные — одноразовые и неудобные, а тестовые фреймворки уже не спасают. В такой момент команда или буксует, или придумывает что-то новое.
Please open Telegram to view this post
VIEW IN TELEGRAM
5 промтов, которые сэкономили мне часы рутинной работы тестировщика
#почитать
Список не про генерацию тест-кейсов или чек-листов — про это уже написаны километры текстов.
Сегодня поговорим о сценариях, которые редко обсуждают, но которые могут сразу и заметно улучшить вашу работу с ИИ.
⏱ Читать статью
#почитать
Список не про генерацию тест-кейсов или чек-листов — про это уже написаны километры текстов.
Сегодня поговорим о сценариях, которые редко обсуждают, но которые могут сразу и заметно улучшить вашу работу с ИИ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Воспроизводим тот самый баг на $475 000 000
#почитать
Концом истории случился массовый отзыв дефектных чипов и многомиллионные убытки на их бесплатную замену. Работники Intel в назидание получили вот такой сувенир, где под слоем эпоксидки покоился кристалл того самого процессора. Хотя этот просчёт сам по себе никого не убил и ничего не уничтожил, удар по репутации был сокрушительным (хотя, конечно, и не фатальным).
⏱ Читать статью
#почитать
Концом истории случился массовый отзыв дефектных чипов и многомиллионные убытки на их бесплатную замену. Работники Intel в назидание получили вот такой сувенир, где под слоем эпоксидки покоился кристалл того самого процессора. Хотя этот просчёт сам по себе никого не убил и ничего не уничтожил, удар по репутации был сокрушительным (хотя, конечно, и не фатальным).
Please open Telegram to view this post
VIEW IN TELEGRAM
Тест-менеджмент по agile: работающая документация
#почитать
В крупных проектах управлять качеством вручную — весьма нетривиальная задача: объем требований и фичей, уточнений и доработок, баков и фиксов растет нелинейно, а риски — экспоненциально. В таких условиях необходимо структурировать процесс обеспечения качества (QA), чтобы предотвратить эффект «снежного кома», который независимо от первопричин может «завалить» в первую очередь тестировщиков — сначала фрустрацией от неэффективной рутины, которая превращается в дорогую, медленную и ненадежную «охоту на баги вслепую», а потом и недовольством менеджмента и заказчика.
Соответственно, инструменты QA — меньшее из двух зол. При этом, если привычные инструменты QA (тест-планы, матрицы покрытия требований, отчет по регрессу и т. д.) сделать интерактивными или хотя бы кликабельными, можно превратить их из бюрократической отчетности в инструменты на каждый день и выстроить в систему навигации, которая защитит от хаоса, QA — из узкого места в предсказуемый, масштабируемый и поддающийся аудиту процесс, а реактивное тестирование — в инженерию качества.
⏱ Читать статью
#почитать
В крупных проектах управлять качеством вручную — весьма нетривиальная задача: объем требований и фичей, уточнений и доработок, баков и фиксов растет нелинейно, а риски — экспоненциально. В таких условиях необходимо структурировать процесс обеспечения качества (QA), чтобы предотвратить эффект «снежного кома», который независимо от первопричин может «завалить» в первую очередь тестировщиков — сначала фрустрацией от неэффективной рутины, которая превращается в дорогую, медленную и ненадежную «охоту на баги вслепую», а потом и недовольством менеджмента и заказчика.
Соответственно, инструменты QA — меньшее из двух зол. При этом, если привычные инструменты QA (тест-планы, матрицы покрытия требований, отчет по регрессу и т. д.) сделать интерактивными или хотя бы кликабельными, можно превратить их из бюрократической отчетности в инструменты на каждый день и выстроить в систему навигации, которая защитит от хаоса, QA — из узкого места в предсказуемый, масштабируемый и поддающийся аудиту процесс, а реактивное тестирование — в инженерию качества.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Почему токсичные эксперты больше никому не нужны
#почитать
ИИ фактически обнулил модель «эксперта, который знает всё». Почему исчез поток джун-вопросов, куда делась токсичность и что теперь считается настоящей экспертностью — разбираю на примерах.
⏱ Читать статью
#почитать
ИИ фактически обнулил модель «эксперта, который знает всё». Почему исчез поток джун-вопросов, куда делась токсичность и что теперь считается настоящей экспертностью — разбираю на примерах.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from QA Live 🚩 Тестирование ПО
▫️GPT-шорткаты: что работает, а что нет
▫️Ты QA и у тебя баги. Какие из них блокируют релиз?
▫️Разбираемся в многообразии видов тестирования
▫️Почему классический подход к QA больше не работает (и виновата ли в этом эпоха ИИ)
▫️Как приручить сервисы-моки
▫️Apache Kafka: как настроить тестирование сообщений в топиках
▫️В агентскую эпоху не все архитектуры кода одинаково полезны
▫️10 способов тестировать iOS-приложения: состояния и стадии жизненного цикла
▫️Как тестировать внешние API в Python: от DI-мока до настоящего HTTP-сервера
▫️Могут ли LLM находить flaky‑тесты по одному только коду теста? Разбор одного исследования
▫️В логах Kibana лежат тест-кейсы. Вот CLI, чтобы их достать. С auth, заскрабленным по умолчанию
▫️Аналитики и нагрузочное тестирование: как это работает на практике
▫️AI-агент действительно ловит баги? Пусть докажет на бенчмарке
▫️Как я автоматизировал UI в Windows: UIAutomation и Win32
▫️Синергия E2E и скриншотных тестов: создание надежной системы тестирования iOS с помощью XCTest
▫️Как ускорить автотесты на Python в Pytest в 8,5 раз
▫️10 мощных тестов с Chrome DevTools
▫️Первый месяц в Bug Bounty: итоги, цифры и выученные уроки
▫️Внедряем Testcontainers за два дня или как перестать бояться рефакторинга и начать доверять своим тестам
▫️Где тестировщику искать работу в 2026 году
▫️Мы пытались заменить QA нейросетью. Не получилось
▫️Когда тестировщик в отпуске, команда справится!
▫️10 актуальных remote-вакансий для тестировщика
▫️Lindows OS — фейковая ось с гениальным названием
▫️Как наша инди игра продержалась на главной странице itch.io больше месяца: разбор эксперимента
▫️15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще
▫️Немного извращений из мира прокси и VPN
▫️Почему технологии не сделали нас счастливее: ищем ответ в антиутопиях Стругацких
Чувствуй баги
Please open Telegram to view this post
VIEW IN TELEGRAM
MES-система глазами тестировщика
#почитать
⏱ Читать статью
#почитать
Если тебя заинтересовала эта статья, то скорее всего ты такой же тестировщик, как и я, и задаёшься вопросом, как эффективно выстроить свою работу. Здесь я поделюсь долгим путём нашей команды со всеми «шишками» и успехами тестирования наших систем в большом MES-проекте. Особенно я бы порекомендовал обратить внимание на раздел с тестированием «Legacy-системы», так как там применялись довольно нестандартные и интересные подходы, по-моему мнению, конечно. Давай погружаться.
Please open Telegram to view this post
VIEW IN TELEGRAM
9 ISTQB сертификатов спустя: что бы я реально посоветовал тем, кто собирается сдавать
#почитать
В тестировании я уже 11 лет, занимаюсь построением процессов, внедрением практик качества, автоматизацией и развитием QA-организаций. Обладаю полным набором сертификатов ISTQB Expert Level Test Management, а всего у меня 9 ISTQB сертификатов от Foundation до Expert.
⏱ Читать статью
#почитать
В тестировании я уже 11 лет, занимаюсь построением процессов, внедрением практик качества, автоматизацией и развитием QA-организаций. Обладаю полным набором сертификатов ISTQB Expert Level Test Management, а всего у меня 9 ISTQB сертификатов от Foundation до Expert.
Please open Telegram to view this post
VIEW IN TELEGRAM
Тестирование Python-приложений в масштабе
#почитать
Oracle Cloud Infrastructure делится сложностями и лайфхаками при тестировании Python-приложений в масштабе.
⏱ Читать статью
#почитать
Oracle Cloud Infrastructure делится сложностями и лайфхаками при тестировании Python-приложений в масштабе.
Please open Telegram to view this post
VIEW IN TELEGRAM
Без опыта, но с перспективами: как начинающему QA составить сильное резюме
#почитать
Как обмануть робота (в хорошем смысле) :
- Используйте правильные ключевые слова. Откройте 15–20 похожих вакансий и посмотрите, какие термины встречаются чаще всего. Органично вплетите их в своё резюме. Добавляйте только те технологии, с которыми действительно знакомы и не переборщите.
- Называйте файл правильно. Не «Резюме.pdf», а «Junior QA Engineer Иванов Иван.pdf». Некоторые ATS индексируют даже названия файлов.
- Готовьте разные версии. Если ищете работу в разных направлениях (ручное тестирование, автоматизация, мобильное тестирование), сделайте 3–4 версии резюме под каждое направление.
- Варьируйте формулировки. В разных местах резюме используйте синонимы: «Quality Assurance Engineer», «Software Testing Engineer», «QA Engineer», «Специалист по тестированию ПО». Так больше шансов попасть в поисковый запрос.
- Не пишите возраст. К сожалению, в некоторых компаниях роботы отсеивают по возрасту, причём это может работать в обе стороны: как для кандидатов, которые переквалифицируются и ищут свою первую работу в QA после 30–35, так и для выпускников или студентов последних курсов.
⏱ Читать статью
#почитать
Как обмануть робота (в хорошем смысле) :
- Используйте правильные ключевые слова. Откройте 15–20 похожих вакансий и посмотрите, какие термины встречаются чаще всего. Органично вплетите их в своё резюме. Добавляйте только те технологии, с которыми действительно знакомы и не переборщите.
- Называйте файл правильно. Не «Резюме.pdf», а «Junior QA Engineer Иванов Иван.pdf». Некоторые ATS индексируют даже названия файлов.
- Готовьте разные версии. Если ищете работу в разных направлениях (ручное тестирование, автоматизация, мобильное тестирование), сделайте 3–4 версии резюме под каждое направление.
- Варьируйте формулировки. В разных местах резюме используйте синонимы: «Quality Assurance Engineer», «Software Testing Engineer», «QA Engineer», «Специалист по тестированию ПО». Так больше шансов попасть в поисковый запрос.
- Не пишите возраст. К сожалению, в некоторых компаниях роботы отсеивают по возрасту, причём это может работать в обе стороны: как для кандидатов, которые переквалифицируются и ищут свою первую работу в QA после 30–35, так и для выпускников или студентов последних курсов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Автоматизация 2FA: TOTP-аутентификация с расшифровкой QR-кода
#почитать
Двухфакторная аутентификация (2FA) жизненно необходима для защиты пользовательских аккаунтов. Одноразовые пароли, основанные на времени (TOTP) – популярный метод 2FA, добавляющий к обычному паролю дополнительный уровень безопасности. Однако ручное тестирование 2FA может быть утомительным для QA-команд, особенно когда приходится сканировать QR-коды и вводить OTP в строго ограниченные временные интервалы.
В этой статье мы рассмотрим, как полностью автоматизировать тестирование 2FA с использованием TOTP, Python, Playwright и декодирования QR-кодов. К концу статьи у вас будет отлаженный подход для эффективной автоматизации двухфакторной аутентификации в ваших тестах.
⏱ Читать статью
#почитать
Двухфакторная аутентификация (2FA) жизненно необходима для защиты пользовательских аккаунтов. Одноразовые пароли, основанные на времени (TOTP) – популярный метод 2FA, добавляющий к обычному паролю дополнительный уровень безопасности. Однако ручное тестирование 2FA может быть утомительным для QA-команд, особенно когда приходится сканировать QR-коды и вводить OTP в строго ограниченные временные интервалы.
В этой статье мы рассмотрим, как полностью автоматизировать тестирование 2FA с использованием TOTP, Python, Playwright и декодирования QR-кодов. К концу статьи у вас будет отлаженный подход для эффективной автоматизации двухфакторной аутентификации в ваших тестах.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from QA Live 🚩 Тестирование ПО
This media is not supported in your browser
VIEW IN TELEGRAM
▫️Новости тестирования за февраль-май 2026
▫️Как оценивать ИИ‑агентов в проде: нижняя планка, трассы и кодовые проверки
▫️Peer testing на основе Закона Линуса
▫️Испытание временем — как тестировать цифровой двойник, если физического объекта ещё не существует
▫️Вы неправильно тестируете асинхронный код: тест проходит раньше, чем выполняется проверка
▫️Не просто «ручное тестирование»: ценные навыки тестировщиков
▫️5 ловушек теории вероятностей в IT
▫️5 распространенных ошибок новичка в E2E-тестах
▪️Как мы тестируем в Профи.ру: почему у нас нет пирамиды, зато есть ромб и матрица
▪️Как я сделал утилиту для автоматизации ручных тестов
▪️Совместимость Test IT и RedOS: опыт автоматизации сборки, тестирования и сертификации
▪️Impact Analysis в дизайн-системе: как мы сделали CI осмысленнее, а review понятнее
▪️Как приоритизировать регрессионные проверки, когда сжаты сроки релиза
▪️Я построила диагностику «стоит ли это автоматизировать» — и она трижды говорила глупости. Разбор ошибок
▪️Как я сократил рутину QA до пары кликов: генератор API-тестов и тест-кейсов на LLM, которым хочу поделиться
▫️Как искать работу сейчас? А что если под каждой вакансией будет процент её соответсвия с вашим резюме?
▫️Влияние AI на позиции QA в 2026 году
▫️Про «случайных» людей в ИТ
▫️Как ИИ портит резюме студентам
▪️Как я выиграла билет на Heisenbug и узнала про «биполярное тестирование»
▪️Как написать сценарий игры по киношным правилам
▪️Назирокодил утилиту на Kotlin и JavaScript для создания аккордов в любой тональности
Тестируй нервы
Please open Telegram to view this post
VIEW IN TELEGRAM
Не бойтесь, просто ходите: как пройти первые собеседования, если ты QA-инженер без опыта
#почитать
Вопросы для джунов QA-инженеров часто повторяются, куда бы вы ни устраивались. То же с тестовыми заданиями и даже загадками на логику. Но почему интервью с работодателями так трудно дается новичкам?
⏱ Читать статью
#почитать
Вопросы для джунов QA-инженеров часто повторяются, куда бы вы ни устраивались. То же с тестовыми заданиями и даже загадками на логику. Но почему интервью с работодателями так трудно дается новичкам?
Please open Telegram to view this post
VIEW IN TELEGRAM
Как поддерживать вовлеченность в сообществе тестировщиков
#почитать
⏱ Читать статью
#почитать
Я отвечаю за развитие сообщества тестировщиков в ГК “Юзтех”. В этой статье я расскажу, как нам удается на протяжении нескольких лет поддерживать вовлеченность участников комьюнити.
Please open Telegram to view this post
VIEW IN TELEGRAM
Что должен делать ваш тестировщик
#почитать
Много лет занимаюсь подготовкой докладчиков к конференциям, грейдирую и собеседую тестировщиков. И за это время не мог не заметить, насколько размыта зона ответственности этой роли: где-то тестировщик отвечает за коммуникацию с клиентами и проработку дизайна, где-то — только за написание автотестов, при этом про анализ требований даже не вспоминают. Такая размытость сама по себе нормальна: разным командам нужны разные навыки.
⏱ Читать статью
#почитать
Много лет занимаюсь подготовкой докладчиков к конференциям, грейдирую и собеседую тестировщиков. И за это время не мог не заметить, насколько размыта зона ответственности этой роли: где-то тестировщик отвечает за коммуникацию с клиентами и проработку дизайна, где-то — только за написание автотестов, при этом про анализ требований даже не вспоминают. Такая размытость сама по себе нормальна: разным командам нужны разные навыки.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Мнение: неизвестные пробелы в тестовом покрытии
#почитать
Тестирование — это наука не о том, чтобы доказать, что программа работает корректно, а о том, чтобы доказать, что она работает НЕкорректно. И если доказать это не удалось, то с какой-то вероятностью программа работает корректно. Остается некоторый пробел. Давайте рассмотрим, что за это за пробелы, откуда берутся и как можно их минимизировать.
⏱ Читать статью
#почитать
Тестирование — это наука не о том, чтобы доказать, что программа работает корректно, а о том, чтобы доказать, что она работает НЕкорректно. И если доказать это не удалось, то с какой-то вероятностью программа работает корректно. Остается некоторый пробел. Давайте рассмотрим, что за это за пробелы, откуда берутся и как можно их минимизировать.
Please open Telegram to view this post
VIEW IN TELEGRAM