Simon says to wisely test security

Ce se întâmplă când pui în aceeași propoziție Tabăra de Testare și OWASP? Se întâmplă un webinar cu însuși Simon Bennetts. Simon și-mai-cum? Simon Bennetts, acel membru al Mozilla Security Team și al OWASP, lead al unor proiecte ca Zed Attack Proxy sau Bodge It Store. Da, da, chiar el… Cu sprijinul mozillienilor, miercurea trecută l-am avut în calitate de content owner la cea de-a 20-a ediție a Taberei din Cluj.

Pentru prima întâlnire cu membrii comunității de testare din Cluj, Simon a pregătit un conținut adecvat pentru profilul cel mai des întâlnit printre participanții TdT, respectiv pentru testerul care în mod uzual verifică funcționalitățile unei aplicații. Iar asta pentru că el crede că tot mai mulți specialiști din IT ar trebui să cunoască această nișă a testării securității aplicațiilor. Cu atât mai mult cu cât transferul de abilități de la testarea funcționalității la testarea securității ar fi unul orizontal: dacă în primul caz, noi, testerii, ne comportăm ca utilizatori aflați în cazuri limită sau dincolo de traiectoria predefinită, în testarea securității trebuie să ne transpunem în rolul atacatorului care, la fel, exersează căi atipice pentru a „sparge” aplicația. Așadar, dispunem de un mindset potrivit. Ceea ce însă diferă este specificul testelor (sau mai bine zis, al atacurilor), care pot fi tehnice sau logice. Cât de tehnice sau logice am văzut mai departe, când Simon ne-a trecut prin fiecare dintre cele zece cele mai critice riscuri privind securitatea aplicațiilor web, evaluate în cadrul proiectului OWASP Top Ten. Și oh, da, ce teren de joacă vast pentru un tester de securitate!

Dar stați să vedeți ce jucării are… Simon ne-a arătat câteva dintre funcționalitățile pe care le are ZAP, insistând pe ideea că, pentru a nu încălca legea, este foarte important să îl folosim pe aplicații pe care avem voie să le testăm. Putem începe cu cele în mod deliberat vulnerabile, cum este Bodge It Store, magazinul online în care Simon ne-a arătat, printre altele, cum putem cumpăra produse într-o cantitate… negativă. Totuși, ni s-a exemplificat și de ce trebuie să fim cumpătați în privința tool-urilor automate, de ce e important să verificăm și manual o aplicație și de ce să nu uităm că în testarea securității nu există panacee.

Mulțumiți să fi avut o prezentare introductivă așa faină, cu demo și tot ce ne trebuie, l-am bombardat pe Simon cu întrebări preț de vreo 20 de minute, probabil având în gând prima întrebare ridicată de colegul nostru, Robin: When do we start?

Selenium Webdriver with Thucydides: In Gods we trust*, everything else we test!

Quote

O fi miercurea cea mai productivă zi pentru angajați? Poate o fi, dar sigur în prima miercuri din lună în Cluj-Napoca are loc o nouă întâlnire a Taberei de Testare. Pentru cei de-ai locului, cea mai recentă ediție a fost a… 18-a, una despre Selenium Webdriver cu Thu… Thucy… Thucydides.

Prin lentilele mele venetice, întâlnirea s-a văzut drept una matură și familiară, cu foc în sobă și chestii frumos colorate: fotolii de puf în jurul mesei și exemple de rapoarte de testare automată proiectate pe perete.

Vlad Voicu și Gabi Kis au demonstrat într-o manieră fluidă cum această combinație de Webdriver cu Thucydides răspunde nevoilor de integrare și raportare, folosind experiențele proprii și proiectându-le în scenariile propuse de participanți. Iar dacă Vlad ne-a explicat tare simpatic cum e cu proiectul, paginile și pașii, cum că As much as Java can do, you can do, Gabi ne-a cucerit cu un demo data driven, un fel de salată de fructe, cu savoare Junit, căutând merele în dicționarul Wiktionary.org și amestecând nițel portocalele cu afinele, așa, de dragul testului care pică.

Spre final, ni s-a desenat și explicat un model de automatizare a procesului de testare care folosește Jenkins și care integrează foarte elegant niște puncte de control între mediile de development și cele de testare.

Per ansamblu, vă spun că am avut parte de o prezentare interactivă, care a suscitat interesul inițiaților, dacă ne luăm după numeroasele intervenții de tip What if …? și Cum faci … asta?. Pentru autodidacții care nu sunt expuși explicit proiectelor de testare automată s-au enumerat „proiecțele” ale prietenilor unor prieteni care să ilustreze cu ce putem începe să exersăm cu framework-uri de automation. Doar să nu uităm să fim atenți la ce update-uri se fac în timp ce înregistrăm testele, cine știe ce server mai cade extenuat. Just saying 😉

In final, vă urez să aveți rapoarte de testare faine!

*Thucydides has been dubbed the father of “scientific history” because of his strict standards of evidence-gathering and analysis in terms of cause and effect without reference to intervention by the gods, as outlined in his introduction to his work – Wikipedia.

Autumn Camp 6-8.Sept.2013 – Tabara de Testare Cluj

Tabara de Testare > 6-8 septembrie 2013 > Muntele Baisoara, Romania
#TdTCamp #TabaraDeTestare #TdTCluj #TdT #SoftwareTestingCamp

Cand am sarbatorit un an de meetup-uri la Cluj, am scris o poezie:

A year has passed, can’t say ‘gone by’.
We’ve learned, we’ve changed, stayed side by side.
Through sunny days and winter snow
We fought for our right to grow.
QA, software, gadgets, we like,
Made Cluj & Silicon Valley alike.

Si am facut o promisiune de a organiza o adevarata tabara de testare.
Am vrut sa fie o surpriza pentru toata lumea si prin angajamentul public sa nu mai avem cale de-ntoarcere.
Eniko Csokasi m-a sunat intr-o seara si printre ideile pentru tortul aniversar mi-a pus si intrebarea: ‘Iuliana, organizam tabara de testare?’
Si uite asa a inceput totul.

Unde-s doi puterea creste?  Unde-s cinci totu-nfloreste!

TdTCamp@Cluj

It’s time for a real Testing camp!

Impreuna cu Ru Cindrea, Oana Casapu si Alex Rotaru am muncit pentru acest eveniment.

Cred ca am avut toti concedii foarte interesante anul acesta; care mai de care cautand o unda de semnal pentru inca un telefon, inca un e-mail 🙂

 

MacBook @ the country side

Vacation time is study time

Am descoperit ce bine se incadreaza in peisajul de la tara un MacBook si ca poate imparti aceeasi masa cu un Android.

Viata la tara … cu Xcode si Instruments
I’d do it again!

Multumesc Oana si Alex pentru MacBook!

Ru a venit din Finlanda nu doar la atelierul din 6-8 septembrie, ci si la unele intalniri organizatorice.

In the end, we’ve all mixed business with pleasure (i.e. holiday time)

Participantii au fost si ei ingaduitori si rabdatori si le multumesc din nou pentru cooperare, rabdare si atitudinea pozitiva!

Si acum, cateva cuvinte despre cum a fost in tabara:

A fost un weekend foarte frumos! O noua confirmare a faptului ca impreuna putem realiza mai usor ceea ce ne propunem, un anume scop comun, chiar daca are mai multe nuante.

Startul in forta cu setup-ul a fost un energizant super. Atatea cabluri, laptop-uri, Mac-uri, miniMac-uri, parole, conturi, intrebari si solutii (plus un meci de fotbal) pe mp ne-a mobilizat si incantat.

Munca in echipa a fost atat de naturala! Din curiozitate sau din placerea de a ajuta.
Fiecare succes elibera o parere care se transforma in solutie pentru altcineva.
Fiind atatea device-uri, unele detalii trebuiau adaptate. Astfel, am intrevazut deja ce dimensiune are mobile testing (&development) pentru ca mai tarziu sa aflam si de Android fragmentation.

Cu ajutorul lui Ru Cindrea, am scris si teste pentru Android si am aflat de bug-uri interesante in legatura cu detalii carora le acordam o prioritate scazuta incat uneori uitam de ele complet. Oare cate astfel de detalii am putea descoperi in ceea ce facem zi de zi? Ce ni se pare ceva atat de banal incat sa poata fi trecut cu vederea?

Eniko Csokasi ne-a provocat sa invatam cum putem lucra cu Instruments si script-uri JavaScript pentru iOS si ce presupune development-ul pentru produse Apple.

Ne-am prins urechile in modificarea testelor pentru iOS, dar asta nu ne-a facut decat sa comunicam si mai mult.
Si daca nu au fost intrebari de la unii, au fost de la altii si mereu aparea cel putin o provocare din vecini.

Am descoperit si Firefox OS prin intermediul lui Ioana Chiorean si Florin Strugariu.
Informatiile despre comunitatea si proiectele Mozilla au oferit baza unor posibile oportunitati de dezvoltare pentru noi intr-un cadru international.

Am invatat si ne-am reamintit o abordare pentru crearea unui test strategy.
Pentru implementare am folosit principiul Mind Maps si tool-ul XMind. Si am descoperit cat potential are aceasta abordare si pentru proiecte inafara testarii software.

Oana Casapu ne-a fotografiat in ipostazele noastre creative si a fost coordonatorul administrativ ceea ce a insemnat enorm pentru desfasurarea activitatilor noastre ‘testaresti’. Ne-a provocat la debriefing, un exercitiu foarte util, doar ca mie nu imi place sa il fac ‘live’. (Tocmai de aceia e un exercitiu bun pentru mine? 🙂 )

Alex Rotaru a avut, ca de obicei, o prezenta foarte energica, cu intrebari si alternative si voie buna.
Ajuns devreme la locul evenimentului s-a si ‘luptat’ cu amenajarea salii.
Ajunsi mai repede la fata locului au fost si Ru (venita tocmai din Finlanda pentru aceste workshop-uri), Costin Ion si Marius Ioana (veniti tocmai din Bucuresti) care i-au dat o mana de ajutor lui Alex.

Am primit toti tricouri ‘Tabara de Testare’ cu sprijinul Altom Consulting. Eu cu siguranta am sa il port si cu alte ocazii.

Sper sa ii revad pe participantii din aceasta tabara si la alte evenimente #TdT organizate de @Tabara de Testare. M-am bucurat sa cunosc alti testeri din Cluj si Bucuresti si sa descopar oameni cu diverse interese si idei. As putea spune si din Iasi, dar Simina Rendler tocmai s-a mutat la Cluj 🙂

Ne-am tinut cuvantul si am facut si sport dimineata de la 7:30.

Sambata dimineata am alergat aproximativ 3.5km, iar duminica am avut un antrenament variat pe terenul de sport al pensiunii.
Setul de activitati sportive propuse de Eniko ne-a cam lucrat toti muschii.
Ma bucur ca am facut aceasta activitate, deci se poate si ce-ar fi sa ne continuam diminetile asa? (chiar daca nu impreuna:)

Weekend-ul a fost foarte incarcat, nu prea a fost timp de relaxare, dar tot ne-am gasit energia sa si petrecem sambata noaptea.
Eu n-am mai dansat de foarte mult timp, asa ca a fost super!
Ada Coste m-a invatat o noua miscare de dans – trebuie s-o mai exersez.

Jocul de biliard este cam solicitant cand de abia putem distinge culorile bilelor… We need a re-match, Dorel Natea! 🙂

Sper ca in viitor sa fiu si mai cooperanta, mai relaxata, mai pozitiva si mai vorbareata la debriefing, sa ascult mai mult si sa ii cunosc pe ceilalti mai bine.

Cu drag,

.Iuliana Silvasan

Cateva poze:

Setup - how it's done @ Tabara de Testare

Setup – how it’s done!
Tabara de Testare Cluj > Autumn Camp > 6-8.sept.2013

Work in Progress @ Tabara de Testare

Work in Progress @ Tabara de Testare Cluj > Autumn Camp > 6-8.sept.2013

Setup = How it's done

Setup – how it’s done @ Tabara de Testare – Autumn Camp > 6-8.sept.2013

Networking @ Tabara de Testare

Networking @ Tabara de Testare Cluj – Autumn Camp > 6-8.sept.2013

Team Spirit

The team @ Tabara de Testare Cluj – Autumn Camp 6-8.sept.2013
(photo by Denis Rendler)