ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

ХАКЕР 04 /171/ 2013 109ЗАДАЧИ НААлександр Лозовскийlozovsky@real.xakep.ruСОБЕСЕДОВАНИЯХРЕШЕНИЯЗАДАЧ ИЗПРЕДЫДУЩЕГОНОМЕРАЗАДАЧА ОТ «ЛАБОРАТОРИИКАСПЕРСКОГО»У нас есть довольно посещаемый блог, где к каждойзаписи любой зарегистрированный пользовательможет оставлять комментарии. Блок комментарияимеет формат, приведенный на рисунке 1.Нам достоверно известно, что поле не проходит никакой обработкиперед отображением на странице, то есть мыимеем типичную XSS-уязвимость.Опишите схему атаки, чтобы завладеть учетнымизаписями завсегдатаев форума. При какихпредположениях нам удастся завладеть учетнымизаписями? Что можно предпринять, чтобыпредотвратить кражу учетных записей дажепри наличии подобной уязвимости?РЕШЕНИЕПредполагается, что авторизованный на сайтепользователь получает специального вида cookie,которую нам и нужно украсть.Чтобы украсть cookie, нам нужен сниффер.Для этого нам потребуется сторонний домен,на котором у нас есть доступ к логам доступа.Мы регистрируемся на форуме с именем, содержащимHTML-тег, например с размером0х0 px. В качестве исходника картинки ставим URLна нашем домене с параметром, содержащимdocument.cookie(). После регистрации оставляемнесколько комментариев в наиболее активныхветках форума и принимаем cookie с авторизационнымиданными посетителей, просмотревшихстраницу с нашим комментарием. Далее методомподмены cookie в браузере мы заходим на форуми можем выполнять действия от имени чужойучетной записи.Кстати, если привязывать сессию к IP-адресу,то это серьезно усложнит возможность использоватьукраденную cookie для авторизации.ЗАДАЧА ОТ ИТ-КОМПАНИИCUSTISСледующий серверный код на Java осуществляетобработку документа, полученного из входящегоСпециальный подгон:ТЕСТЫ ОТ КОМПАНИИ Т-SYSTEMS(СТРАТЕГИЧЕСКОЕ ПОДРАЗДЕЛЕНИЕ ГРУППЫ КОМПАНИЙ DEUTSCHE TELEKOM)1. В какой из перечисленных нижемоделей разработки программногообеспечения (ПО) тестирование предусмотренов минимальномобъеме?a) RUP (Rational Unified Process);б) XP (ExtremeProgramming);в) V-модель.2. В чем заключается основное отличиемоделей RAD (Rapid ApplicationDevelopment) и DSDM (DynamicSystems Development Method)?а) В модели DSDM более конкретно определенышаги и роли;б) По модели RAD, тестированием занимаетсяотдельная команда специалистов;в) DSDM является эволюционной, а RAD —инкрементальной моделью.3. Какой вид тестирования чаще всегоприменяется в модели XP?а) Компонентное тестирование;б) Нагрузочное тестирование;в) Системное тестирование.4. Основная цель модели RAD:а) Максимально вовлечь конечного пользователяв процесс разработки и тестирования;б) Применить тестирование на раннихэтапах процесса разработки;в) Максимально уменьшить времяна разработку и поднятьпри этом качество ПО.5. Какая модель является расширениеми улучшением общей V-модели?а) Модель водопада;б) W-модель;в) V-модель XT.6. Что из перечисленного нижене является фазой в соответствиис моделью RUP?а) Разработка;б) Тестирование;в) Разработка концепции.7. Какая из моделей разработкиПО не относится к итерационным?а) Инкрементальная;б) Эволюционная;в) Последовательная.8. Как в общей V-модели называетсяпроцесс проверки качества результатовпредыдущего шага?а) Верификация;б) Валидация;в) Дебаггинг.9. Выберите верные высказыванияо W-модели:I Тестовые сценарии должны разрабатыватьсясразу после готовности заданийи спецификаций, не дожидаяськакой-либо версии ПО;II Тестирование и дебаггинг проводятсятестировщиком;III Найденные ошибки, повлекшие за собойнеобходимость изменения ПО,возвращают весь процесс в верхнююточку левой ветки W;IV Тестирование проводится циклически;V Тестировщик принимает участиев процессе разработки ПО с самыхранних этапов.а) II, III, IV;б) I, IV, V;в) II, IV, V.10. Что такое принцип «MOSCOW»?а) Принципиальное различие процессатестирования в России и Европе;б) Принцип распределения обязанностейпо ролям в соответствиис ‘V'-моделью XT;в) Принцип классификации требованийк ПО в соответствии с моделью DSDM.Бонус читателю-решателю: если ты успешно справился с заданием, T-Systems приглашаеттебя на обучение в Test School в Санкт-Петербурге. Во время обучения выплачивается стипендия,лучших возьмут на работу. Ответы присылай на адрес test.school@t-systems.ru, указавФИО и контактные данные. Учебные группы набираются регулярно в течение года