вторник, 16 ноября 2010 г.

Притча о пирамидах

...Идет строительство пирамиды Хеопса. Работает много людей. Подходят к одному человеку, который тешет камни, и спрашивают: "Что ты делаешь?". Тот отвечает: "Что не видите - тешу камни." Подходят к другому, который тоже тешет камни, и задают такой же вопрос. Тот отвечает "Я строю самое величественное сооружение на земле!"

Вот так отличается отношение людей к работе.
Один монотонно и без интереса делает одно и то же каждый день, лишь бы за это платили (тешет камни). Ему не интересно что нового появилось в области, которой он занимается, не интересно когда и как будет выпущен текущий релиз и что в него войдет. Работа для него, это потерянные 8 часов жизни.
А другой живет тем, что делает, стремится улучшить процессы, производительность, свои знания и навыки. Именно у таких людей часто на стенах развешены странные каракули, которые на самом деле являются базовыми алгоритмами системы, майндмепами продукта, планами версий и еще мало ли чем. В статусах месенджеров у них часто можно встретить сообщения типа "Ура! Новая версия (название разрабатываемой системы) выпущена!". Если надо, они выложатся на 200% и успеют вовремя сдать отстающий проект, в то время как "тешущие камни" будут в основном только жаловаться, рассказывать как все плохо и искать виновных.


четверг, 11 ноября 2010 г.

Полнота проверки на xss атаку

Большинство тестировщиков, которые не специализирутся на секюрити тестировании, при его выполнении (проверить то надо) пользуются стандартной процедурой:
1. Ввести во все поля тестируемой формы следующее:


2. Запостить форму
3. Зайти на форму просмотра результата
4. Открыть запись
Результат: если скрипт выполняется, то атака получилась.
Но как оказалось, xss атака может скрываться не только в скриптах, но еще и в тегах.
Например, в нашем проекте, где не срабатывал вышеуказанный пример, отлично сработал следующий:


Так что "век живи, век учись". Кстати, кто еще знает как можно запостить xss атаку, кроме этих двух способов? Делитесь знаниями :)

Главное вовремя!

Вчера по неосторожности установила QIP 2010. Мало того, что через 10 минут пользования сразу его снесла - это ужас, так еще и получила на почту очаровательное письмо с поздравлением с Новым 2010 годом :)

Я так понимаю, что эта рассылка задумывалась для работы в перед и после новогодний период, но видимо разработчики так хорошо отметили Новый 2010 год, что забыли отключить ее. Зато теперь все новые пользователи QIP 2010 получают поздравления круглый год. А че, весело!
Главное чтоб через полтора месяца не забыли сменить на поздравление с новым 2011 годом ;)