Redakcja
Spotkanie otworzył Maciej Zaborowski, jeden z Organizatorów WarszawQA, który opowiedział o firmach wspierających inicjatywę, zaprezentował prelegentów, przeanalizował ankietę z poprzedniego spotkania.
Pierwszy mówca, Bogdan Bereza zaprezentował Uczestnikom grę symulacyjną. Jak sam wspomniał, była to quasi-gra symulacyjna. Wystąpienie miało na celu przybliżyć odbiorcom czym jest metoda gry symulacyjnej, która łączy transfer wiedzy o testowaniu oprogramowania z zabawą. Uczestnicy, podzieleni na grupy, otrzymali planszę, krótką instrukcję oraz kostkę.
Trasa do przejścia dla graczy usiana była punktami decyzyjnymi, w których Uczestnicy wspólnie wybierali adekwatne do zapisanej sytuacji „ścieżki życia projektu, zespołu, firmy”. Ponadto, pod polami gry kryły się pułapki, ale i nagrody za trafną decyzję. W efekcie gracze byli rozrzuceni po polach i obszarach planszy. Rzut kostką wprowadzał element losowy, co też ma miejsce w rzeczywistych projektach informatycznych (np.: wpływ „siły wyższej”). Do mety dotarły dwie drużyny, dzielnie pokonując przewrotność planszy/projektu informatycznego. Zwycięzcy zostali nagrodzeni książkami od wydawnictw PWN oraz Helion, które wspierają spotkania WarszawQA.
Drugie wystąpienie dotyczyło bezpieczeństwa procesów (proces rozumiany jako kilka kroków w aplikacji), temat niejednokrotnie trudny, przez co okazał się bardzo ciekawy. Już na początku padło kluczowe pytanie, czy będziemy rozprawiać o testowaniu bezpieczeństwa, czy też zabezpieczeń (safety or security). Mateusz Olejarka, mówca wystąpienia, pozostał przy drugiej opcji. Wystąpienie lekkie, ale nastawione na interakcję z Uczestnikami. Wspólnie analizowaliśmy kolejne procesy, by następnie podawać propozycje: w jaki sposób można je zaatakować. Nasz ekspert do każdego przykładu prezentował techniki, które warto stosować przy próbach złamania omawianych zabezpieczeń.
Dla przypomnienia:
Proces 1: Edycja elementu danych
Technika: Manipulacja parametrami ukrytymi i zablokowanymi do edycji
Proces 2: Zmiana numeru telefonu
Technika: Weryfikacja walidacji wymaganych parametrów
Proces 3: Zlecenie z autoryzacją
Technika: Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu
Proces 4: Zlecenie autoryzacji, gdy podczas wykonania autoryzacji przesyłane są dane transakcji
Technika: Powtórzenie operacji autoryzacji ze zmienionymi danymi
Na koniec, do późna uczestnicy dyskutowali o bezpieczeństwie systemów informatycznych, w przeróżnych aspektach. Wszystkie pytania były nagradzane przez prowadzącego.
Jeżeli jesteście ciekawi jak przebiegało spotkanie, zajrzyjcie do Fotorelacji [link].Jeżeli brałeś udział w spotkaniu, wypełnij ankietę [link] i pomóż Organizatorom w doskonaleniu spotkań.
