Основы security testing
Security testing для QA начинается с базовых рисков: доступ к чужим данным, неправильная авторизация, инъекции, секреты, небезопасные загрузки, слабые настройки сессии и отсутствие audit trail.
Что важно понять
- Broken access control: чужие id, роли, ownership, horizontal/vertical escalation.
- Input validation: XSS, SQL/NoSQL injection, command injection, file upload.
- Session security: cookies, tokens, logout, refresh, expiry, device binding.
- Secrets, logs, error messages, rate limits и audit.
Рабочий порядок
- Составьте threat checklist для ключевого сценария.
- Проверьте права через API, не только через UI.
- Проверьте опасный ввод и загрузки файлов.
- Оформляйте security-дефекты с impact и безопасным proof of concept.
Что отдавать команде
- Security checklist.
- PoC без вреда для данных.
- Рекомендации по remediation или вопрос к security team.
Частые провалы
- Проверять безопасность только сканером.
- Проводить разрушительные проверки без согласования.
- Публиковать секреты и реальные токены в баг-репорте.
Практика
Для профиля пользователя проверьте прямой API-доступ к чужому профилю, изменение роли, XSS в имени, logout и повтор старого token.