Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 48
Да там сам механизм подсчёта / вывода списка пройденных этапов с багой (found / listsoftests). Правда, за его нахождение не дают поинт. И вообще эти hidden-филды странные.
Может и странные, но минимум одно из них вам приходится
Разумеется. Я к тому, что играючи с ними легко потерять прогресс (ниже уже кто-то столкнулся с этим). Хранить состояние в полях — плохо. К тому же, поле «golhart» (флажок, «пустое значение») ведёт себя как минимум странно (попытайтесь поменять его на 0, затем снова на 0, потом снова… счётчик будет расти, а список дополняться одним и тем же значением: c2n.me/3mKL0o1). И за это тоже не дают поинт!
А еще всё ломается, если ввести туда () { 0; };
А у меня сломалось после 11 шага и все сбросилось :(
Заново лень вводить.
Заново лень вводить.
Есть еще один баг: можно драг-н-дропом перенести в поле текст любой длины, и он его примет :)
Давайте попробуем найти там security баги :)
Reflected XSS via POST (тестить в FF, чтобы без аудитора) sergeybelove.ru/exploits/xss_quiz.php
Reflected XSS via POST (тестить в FF, чтобы без аудитора) sergeybelove.ru/exploits/xss_quiz.php
4 кейса не проверил. Плохой из меня тестироващик (хуже 1.5к, которые прошли всё). Кто прошёл всё — что я пропустил?
XSS, кстати, работает хорошо в лисе (в хроме XSS Auditor refuse), но почему-то ошибкой не считается.
прогресс
XSS, кстати, работает хорошо в лисе (в хроме XSS Auditor refuse), но почему-то ошибкой не считается.
Пока без двух. Правда, тестером я никогда не был.
Что у меня есть…
Tests done: 16 out of 18
Maximum values
Non ASCII
Minimum value
Space in the middle
You used html tags
Basic XSS
Basic Sql injection
More than maximum values
Space values at the end
Space values at the begining
Space
You made the user admin
Empty value
Other chars then alphabetic
You looked at the page source
Average value
Maximum values
Non ASCII
Minimum value
Space in the middle
You used html tags
Basic XSS
Basic Sql injection
More than maximum values
Space values at the end
Space values at the begining
Space
You made the user admin
Empty value
Other chars then alphabetic
You looked at the page source
Average value
А Xss сложно получить?
Нет, несложно.
Кхм… я огорчён… чтобы заработать эту ачивку пришлось посёрчить боле простой вариант чем те, которые я несколько раз вводил…
<script>DoSomething();</script>
А я нашёл ещё одну штуку, которую стоило бы им проверить.
HTML entities. Например, &
HTML entities. Например, &
не туда
> Maximum values
> More than maximum values
Скажите, а чем отличаются вот эти два кейса?
> You looked at the page source
> You looked at the cookie
Смотрел все это через инспектор — никак не отреагировало.
> Average value
А это как?
> Missing css
В смысле, отключить/убрать CSS для страницы?
> More than maximum values
Скажите, а чем отличаются вот эти два кейса?
> You looked at the page source
> You looked at the cookie
Смотрел все это через инспектор — никак не отреагировало.
> Average value
А это как?
> Missing css
В смысле, отключить/убрать CSS для страницы?
Осторожно! Спойлеры!
Missing css
Ещё не решил :(
Maximum values
Ровно 30 символов
More than maximum values
Больше 30-ти символов
You looked at the page source
Внизу страницы комментарий:
<!-- add this value in the First Name to validate that you have looked at the page source : dfjwGGe82H43g3uRiy53h -->
You looked at the cookie
Посмотреть в cookie
TestingChallenge=You_have_checked_the_cookie_content._Add_oi32jnxd42390slk345_in_the_First_Name_field_to_mark_this_case.;
TestingChallenge=You_have_checked_the_cookie_content._Add_oi32jnxd42390slk345_in_the_First_Name_field_to_mark_this_case.;
Average value
15 символов, как я понял
Missing css
Ещё не решил :(
Тоже убрал на всякий случай
> Ровно 30 символов
> Больше 30-ти символов
А смысл разносить это на два отдельных кейса?
> Внизу страницы комментарий:
А, даже так. Я уж подумал ребята придумали какой-то хитрый трюк для детекта.
В чем смысл это тестировать? Нужно валидировать пользовательский инпут, детектить такие штуки смысла нет.
> 15 символов, как я понял
А смысл? :)
> Больше 30-ти символов
А смысл разносить это на два отдельных кейса?
> Внизу страницы комментарий:
А, даже так. Я уж подумал ребята придумали какой-то хитрый трюк для детекта.
В чем смысл это тестировать? Нужно валидировать пользовательский инпут, детектить такие штуки смысла нет.
> 15 символов, как я понял
А смысл? :)
Миддл валуес — это не 15, а некое среднее значение (на 5ти символах вроде тоже получается его отхватить).
К вопросу isden о смысле — это же quiz для тестировщиков, вполне логично, что они должны проверить и нормальные ситуации.
К вопросу isden о смысле — это же quiz для тестировщиков, вполне логично, что они должны проверить и нормальные ситуации.
Missing css
Битая ссылка на файл CSS — detailsoverviewnow.css
Осторожно! Спойлер!
Missing css
На странице подсказка:
нужно вписать имя файла с расширением, который не используется, это — detailsoverviewnow.css
<!-- if there is a missing resource add the name and extension of the file in the field you need to test-->
нужно вписать имя файла с расширением, который не используется, это — detailsoverviewnow.css
20 из 18 О.о
Tests done: 20 out of 18
You looked at the cookie
You looked at the page source
Missing css
Maximum values
Space in the middle
Basic Sql injection
Space values at the end
Space values at the begining
You used html tags
Basic XSS
Other chars then alphabetic
You made the user admin
More than maximum values
Empty value
Non ASCII
Minimum value
Space in the middle
Space
Other chars then alphabetic
Average value
You looked at the cookie
You looked at the page source
Missing css
Maximum values
Space in the middle
Basic Sql injection
Space values at the end
Space values at the begining
You used html tags
Basic XSS
Other chars then alphabetic
You made the user admin
More than maximum values
Empty value
Non ASCII
Minimum value
Space in the middle
Space
Other chars then alphabetic
Average value
Еще — если вместо name=«firstname» в поле input ввести name=«firstname[]» то вываливаются варнинги на проверках.
Minimum value
1 символ
Всё... нашел все 18...
You made the user admin
Minimum value
Maximum values
Basic Sql injection
Space
Missing css
You looked at the cookie
You looked at the page source
You used html tags
Basic XSS
Empty value
More than maximum values
Space values at the begining
Space in the middle
Space values at the end
Other chars then alphabetic
Average value
Non ASCII
Minimum value
Maximum values
Basic Sql injection
Space
Missing css
You looked at the cookie
You looked at the page source
You used html tags
Basic XSS
Empty value
More than maximum values
Space values at the begining
Space in the middle
Space values at the end
Other chars then alphabetic
Average value
Non ASCII
Последний тест — он трудный самый…
Нашёл только это
- Missing css
- You made the user admin
- You looked at the cookie
- Space values at the begining
- Space values at the end
- Basic XSS
- You looked at the page source
- Space in the middle
- You used html tags
- Average value
- More than maximum values
- Non ASCII
- Basic Sql injection
- Other chars then alphabetic
- Minimum value
- Space
- Empty value
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пятничная задачка для тестировщиков