Архив автора: Ivan Nikiforov

Об авторе Ivan Nikiforov

Hiya! Hope you like this blog :-) If you'd like to connect or offer smth to me, please check my linkedin: https://ru.linkedin.com/in/mrivannikiforov

Certification for Software Test Engineers

There are recognized ‘brands’ of certification authorities that may you offer proof of your knowledge, for example ISTQB/BCS (former ISEB). They have many different levels and often employers may state they desire at least Foundation level certificate from job seekers.

Nonetheless, there are another provides, yet your local Software Testing Qualification Board or community may have different programms.

I have collected links to the most known certification authorities and local boards. Hope, this can be helpful someone.

Читать далее

Linux: No network connection. Turn network adapter on.

I’ve got this issue recently when installed VirtualBox on my Manjaro Linux (this distro based on Arch Linux, so the solution would work there as well).

It seems that VirtualBox, while installing its virtual network adapters, had messed up the existing physical ones. That led to the situation when, once you reboot your machine, there is no network connection to the internet.

➜ ~ ping google.com
ping: google.com: Name or service not known

Well, this is pretty easy to fix.
Читать далее

Обзор онлайн-сканера уязвимостей QualysGuard

qualys-horizontal-580

Qualys Guard — продукт компании Qualys, специализирующейся на разработке инструментов тестирования на уязвимости веб приложений и соответствия политикам безопасности (н-р, PCI Compliance).

Как часто водится, есть две версии продуктов — бесплатная с ограниченным функционалом (Qualys Free Scan) и Enterprise. Будем изучать бесплатную версию.

Итак, это онлайн-сканер и это очень удобно, нам не нужно ничего настраивать и выделять ресурсы. Из минусов — не можем протестировать интранет и сайты с «чувствительной» информацией бесплатному продукту скармливать боязно.

Что может предложить бесплатный сканер? Как заявляют разработчики:

  1. Scan computers and apps on the Internet or in your network.
  2. Detect security vulnerabilities and the patches needed to fix them.
  3. View interactive scan reports by threat or by patch.
  4. Test websites & apps for OWASP Top Risks and malware.
  5. Test computers against SCAP security benchmarks.

ОК, уговорили. Идём на сайт сканера по ссылке выше, регистрируемся (кстати говоря, вы знали что можно использовать временные e-mail для «одноразовых/анонимных регистраций»?). Сразу после регистрации сайт предлагает нам воспользоваться следующими инструментами: Читать далее

Тестирование защищённости: на чём тренироваться?

Очевидно, что тестирование безопасности приложений (security testing) — важное и нужное направление, особенно если ваш сайт или приложение работает с важными данными (например, личные данные пользователей или финансовая информация). Однако также очевидно и то, что нарабатывать навыки в тестировании следует не создавая неудобств владельцам других сайтов (никогда не тестируйте безопасность не спросив разрешения владельцев сайта/приложения — это нарушение закона).

На чём же тренироваться? OWASP, сообщество исследователей безопасности приложений, взяло на себя миссию и собирает ссылки на:

  1. Онлайн-тренажёры тестирования безопасности
  2. Оффлайн-тренажёры тестирования безопасности
  3. Виртуальные машины с предустановленными приложениями для тестирования и тренажёрами. Это лучший вариант, на мой взгляд, тренироваться в виртуалке как в песочнице.

Кроме перечисленных ресурсов (по ссылкам выше), я бы посоветовал Kali Linux — специальную сборку Linux для тестировщиков защищённости, содержащую отличный набор инструментов практически для всех случаев и видов тестирования. Проект Kali также распространяет и образы виртуальных машин своей сборки, очень удобный вариант для работы — не нужно тратить время на установку.

Также обратите внимание на bug bounty программы различных сервисов. Многие компании заботятся о безопасности своих сайтов и предлагают вознаграждение за найденные уязвимости, таким образом разрешая и даже поощряя тестирование защищённости их веб-сайтов.

Announce for ‘Getting Started in Security Testing with Dan Billing’ masterclass

theministryoftesting_logo
The Ministry of Testing are going to carry out this masterclass next week on Thursday, Sep 10, 2015 10:00 PM — 11:00 PM AST. Here is their original announce:

«Have you ever been asked to test for security on your applications? No idea where to start? Do you want to expand your testing skills to include aspects of security? Unsure what the implications are? Want to add value to your teams, where there may be no existing security testing?

This workshop will be a great starter for any tester who wants to understand some of the main aspects of security testing. This workshop will include an exploration of approaches, skills and techniques. We will examine how a range of tools will provide you with a whole host of information and data, so that you can really inject value into your bug reports. We will discuss the main dangers and pitfalls you will face as you start out on security testing your applications. We’ll also look into some recommended learning and reading to do outside of this Masterclass.»

It’s online webinar and participation is free, but registration on event is required (click here).

Note that begin time specified in AST (Atlantic Standard Time), so check your time correction in advance (e.g., at this site)

What is ‘The Ministry of Testing’? It’s a UK based sofware testing club and comminity, they provide a platform to discuss and collaborate experience regarding software testing and quality aspects. The Dojo, their new project, is a host for regular online lessons and webinars by experts around the globe (so follow them at https://dojo.ministryoftesting.com/series/software-testing-webinars).