WarszawQA #3 - podsumowanie

WarszawQA #3 - podsumowanie
Trzecie spotkanie grupy WarszawQA już za nami. Zapraszamy do lektury relacji ze spotkania.
 

Spotkanie otworzył Maciej Zaborowski, jeden z Organizatorów WarszawQA, który opowiedział o firmach wspierających inicjatywę, zaprezentował prelegentów, przeanalizował ankietę z poprzedniego spotkania.

 

Pierwszy mówca, Bogdan Bereza zaprezentował Uczestnikom grę symulacyjną. Jak sam wspomniał, była to quasi-gra symulacyjna. Wystąpienie miało na celu przybliżyć odbiorcom czym jest metoda gry symulacyjnej, która łączy transfer wiedzy o testowaniu oprogramowania z zabawą. Uczestnicy, podzieleni na grupy, otrzymali planszę, krótką instrukcję oraz kostkę.

Trasa do przejścia dla graczy usiana była punktami decyzyjnymi, w których Uczestnicy wspólnie wybierali adekwatne do zapisanej sytuacji „ścieżki życia projektu, zespołu, firmy”. Ponadto, pod polami gry kryły się pułapki, ale i nagrody za trafną decyzję. W efekcie gracze byli rozrzuceni po polach i obszarach planszy. Rzut kostką wprowadzał element losowy, co też ma miejsce w rzeczywistych projektach informatycznych (np.: wpływ „siły wyższej”). Do mety dotarły dwie drużyny, dzielnie pokonując przewrotność planszy/projektu informatycznego. Zwycięzcy zostali nagrodzeni książkami od wydawnictw PWN oraz Helion, które wspierają spotkania WarszawQA.

 

Drugie wystąpienie dotyczyło bezpieczeństwa procesów (proces rozumiany jako kilka kroków w aplikacji), temat niejednokrotnie trudny, przez co okazał się bardzo ciekawy. Już na początku padło kluczowe pytanie, czy będziemy rozprawiać o testowaniu bezpieczeństwa, czy też zabezpieczeń (safety or security). Mateusz Olejarka, mówca wystąpienia, pozostał przy drugiej opcji. Wystąpienie lekkie, ale nastawione na interakcję z Uczestnikami. Wspólnie analizowaliśmy kolejne procesy, by następnie podawać propozycje: w jaki sposób można je zaatakować. Nasz ekspert do każdego przykładu prezentował techniki, które warto stosować przy próbach złamania omawianych zabezpieczeń.

Dla przypomnienia:

Proces 1: Edycja elementu danych

Technika: Manipulacja parametrami ukrytymi i zablokowanymi do edycji

Proces 2: Zmiana numeru telefonu

Technika: Weryfikacja walidacji wymaganych parametrów

Proces 3: Zlecenie z autoryzacją

Technika: Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu

Proces 4: Zlecenie autoryzacji, gdy podczas wykonania autoryzacji przesyłane są dane transakcji

Technika: Powtórzenie operacji autoryzacji ze zmienionymi danymi

 

Na koniec, do późna uczestnicy dyskutowali o bezpieczeństwie systemów informatycznych, w przeróżnych aspektach. Wszystkie pytania były nagradzane przez prowadzącego.

Jeżeli jesteście ciekawi jak przebiegało spotkanie, zajrzyjcie do Fotorelacji [link].

Jeżeli brałeś udział w spotkaniu, wypełnij ankietę [link] i pomóż Organizatorom w doskonaleniu spotkań.

 

 

#warszawqa

 

To powinno Cię zainteresować