kindacute Aug 28 2015 at 18:22

Пятничная задачка для тестировщиков

2 min

30K

Games and game consoles

+15

Comments 48

madhead Aug 28 2015 at 19:33

Да там сам механизм подсчёта / вывода списка пройденных этапов с багой (found / listsoftests). Правда, за его нахождение не дают поинт. И вообще эти hidden-филды странные.

Haoose Aug 28 2015 at 20:09

Может и странные, но минимум одно из них вам приходится

madhead Aug 28 2015 at 20:25

Разумеется. Я к тому, что играючи с ними легко потерять прогресс (ниже уже кто-то столкнулся с этим). Хранить состояние в полях — плохо. К тому же, поле «golhart» (флажок, «пустое значение») ведёт себя как минимум странно (попытайтесь поменять его на 0, затем снова на 0, потом снова… счётчик будет расти, а список дополняться одним и тем же значением: c2n.me/3mKL0o1). И за это тоже не дают поинт!

vorobyev Aug 28 2015 at 22:58

Все, накрылся сайтик… видать массово народ пошел тестировать :)

forceLain Aug 28 2015 at 20:06

А еще всё ломается, если ввести туда () { 0; };

kindacute Aug 28 2015 at 20:08

В принципе там есть Send us your idea. Можно написать автору

trikadin Aug 29 2015 at 01:38

Достаточно

() {}

isden Aug 28 2015 at 20:10

А у меня сломалось после 11 шага и все сбросилось :(
Заново лень вводить.

kindacute Aug 28 2015 at 20:12

Не ленитесь, попробуйте еще раз и записывайте в блокнот те значения которые дали вам балл

webkumo Aug 28 2015 at 22:15

Так там из названий очевидно, что дало результат…
Но вот придумать что-нибудь сверх 11 тяжеловато…

cyber_initiative Aug 28 2015 at 20:30

Есть еще один баг: можно драг-н-дропом перенести в поле текст любой длины, и он его примет :)

kindacute Aug 28 2015 at 20:50

BeLove Aug 28 2015 at 21:13

Давайте попробуем найти там security баги :)
Reflected XSS via POST (тестить в FF, чтобы без аудитора) sergeybelove.ru/exploits/xss_quiz.php

trikadin Aug 29 2015 at 03:20

Куда интереснее попытаться обойти аудитор))

aronsky Aug 28 2015 at 22:12

4 кейса не проверил. Плохой из меня тестироващик (хуже 1.5к, которые прошли всё). Кто прошёл всё — что я пропустил?

прогресс

XSS, кстати, работает хорошо в лисе (в хроме XSS Auditor refuse), но почему-то ошибкой не считается.

DragonRU Aug 28 2015 at 22:21

Имя, состоящее только из пробелов

А еще 3 и мне хотелось бы найти.

webkumo Aug 28 2015 at 22:24

Относительно списка сверху нашёл ещё Maximum values…

А кто подскажет как достичь «админ» и «гиктаймс»?

webkumo Aug 28 2015 at 22:30

Админа нашёл :)

vit9696 Aug 28 2015 at 22:41

Пропущено

Точно нету basic xss. :)

aronsky Aug 29 2015 at 18:28

Вставлял в hidden поля, не додумался в доступное поле ввода вставить )))

Mercury13 Aug 28 2015 at 22:34

Пока без двух. Правда, тестером я никогда не был.

Что у меня есть…

Tests done: 16 out of 18

Maximum values
Non ASCII
Minimum value
Space in the middle
You used html tags
Basic XSS
Basic Sql injection
More than maximum values
Space values at the end
Space values at the begining
Space
You made the user admin
Empty value
Other chars then alphabetic
You looked at the page source
Average value

webkumo Aug 28 2015 at 22:36

А Xss сложно получить?

Mercury13 Aug 28 2015 at 22:39

Нет, несложно.

webkumo Aug 28 2015 at 22:41

Кхм… я огорчён… чтобы заработать эту ачивку пришлось посёрчить боле простой вариант чем те, которые я несколько раз вводил…

kindacute Aug 28 2015 at 22:43

:) не огрорчайтесь, это же задание для тестировщика, главное что бы человек понял что нужно протестировать. Оценивайте это как игрушку, а не как головоломку

Mercury13 Aug 28 2015 at 22:46

Всё, посмотрел в ответы :(

webkumo Aug 28 2015 at 22:50

Не, ну обидно — несколько раз вводил то, что надо, только что с другим текстом и корректным атрибутом type…

aronsky Aug 29 2015 at 18:27

Блин, я XSS вставлял в скрытые поля и даже получал XSS, но не получил ачивки. Просто не додумался вставить в поле ввода имени :-D

kyrie Aug 28 2015 at 22:52


<script>DoSomething();</script>

Mercury13 Aug 28 2015 at 22:46

А я нашёл ещё одну штуку, которую стоило бы им проверить.

HTML entities. Например, &

kyrie Aug 28 2015 at 22:52

не туда

UFO just landed and posted this here

isden Aug 29 2015 at 10:56

> Maximum values
> More than maximum values

Скажите, а чем отличаются вот эти два кейса?

> You looked at the page source
> You looked at the cookie

Смотрел все это через инспектор — никак не отреагировало.

> Average value

А это как?

> Missing css

В смысле, отключить/убрать CSS для страницы?

conformist Aug 29 2015 at 11:02

Осторожно! Спойлеры!

Maximum values

Ровно 30 символов

More than maximum values

Больше 30-ти символов

You looked at the page source

Внизу страницы комментарий:

<!-- add this value in the First Name to validate that you have looked at the page source : dfjwGGe82H43g3uRiy53h -->

You looked at the cookie

Посмотреть в cookie
TestingChallenge=You_have_checked_the_cookie_content._Add_oi32jnxd42390slk345_in_the_First_Name_field_to_mark_this_case.;

Average value

15 символов, как я понял

Missing css
Ещё не решил :(

isden Aug 29 2015 at 11:29

Тоже убрал на всякий случай

> Ровно 30 символов
> Больше 30-ти символов

А смысл разносить это на два отдельных кейса?

> Внизу страницы комментарий:

А, даже так. Я уж подумал ребята придумали какой-то хитрый трюк для детекта.
В чем смысл это тестировать? Нужно валидировать пользовательский инпут, детектить такие штуки смысла нет.

> 15 символов, как я понял

А смысл? :)

webkumo Aug 29 2015 at 14:46

Миддл валуес — это не 15, а некое среднее значение (на 5ти символах вроде тоже получается его отхватить).

К вопросу isden о смысле — это же quiz для тестировщиков, вполне логично, что они должны проверить и нормальные ситуации.

GHostly_FOX Aug 29 2015 at 22:49

Missing css

Битая ссылка на файл CSS — detailsoverviewnow.css

conformist Aug 29 2015 at 11:36

Осторожно! Спойлер!

Missing css

На странице подсказка:

<!-- if there is a missing resource add the name and extension of the file in the field you need to test-->

нужно вписать имя файла с расширением, который не используется, это — detailsoverviewnow.css

alexanderzaytsev Aug 29 2015 at 12:46

20 из 18 О.о

Tests done: 20 out of 18
You looked at the cookie
You looked at the page source
Missing css
Maximum values
Space in the middle
Basic Sql injection
Space values at the end
Space values at the begining
You used html tags
Basic XSS
Other chars then alphabetic
You made the user admin
More than maximum values
Empty value
Non ASCII
Minimum value
Space in the middle
Space
Other chars then alphabetic
Average value

alexanderzaytsev Aug 29 2015 at 12:53

Ок, оно некоторые посчитало за 2 сразу

conformist Aug 29 2015 at 12:54

По 2 раза Space in the middle и Other chars then alphabetic. Про этот глюк писали выше.

dmitriy_b Aug 29 2015 at 18:22

Еще — если вместо name=«firstname» в поле input ввести name=«firstname[]» то вываливаются варнинги на проверках.

GHostly_FOX Aug 29 2015 at 23:14

Minimum value

1 символ

GHostly_FOX Aug 29 2015 at 23:18

Всё... нашел все 18...

You made the user admin
Minimum value
Maximum values
Basic Sql injection
Space
Missing css
You looked at the cookie
You looked at the page source
You used html tags
Basic XSS
Empty value
More than maximum values
Space values at the begining
Space in the middle
Space values at the end
Other chars then alphabetic
Average value
Non ASCII

equinoxe Aug 30 2015 at 00:18

Последний тест — он трудный самый…

Нашёл только это

Missing css
You made the user admin
You looked at the cookie
Space values at the begining
Space values at the end
Basic XSS
You looked at the page source
Space in the middle
You used html tags
Average value
More than maximum values
Non ASCII
Basic Sql injection
Other chars then alphabetic
Minimum value
Space
Empty value

equinoxe Aug 30 2015 at 01:39

А всё из за того, что скрипт глючил и последний тест не засчитывал :)
Столько времени угробил…

GHostly_FOX Aug 31 2015 at 02:42

А где Maximum values?

equinoxe Aug 31 2015 at 15:12

Вот как раз Maximum values он у меня и не принимал. Пришлось пройти всё задание заново.