Séria: Ako písať dokumentáciu a manuály v IT projekte
Používateľ videl dáta, ktoré nemal vidieť.
Support to označil ako bug.
Vývoj odpovedal:
„To nie je bug, to je zlé nastavenie práv.“
Otvorili sme admin manuál.
Bola tam kapitola „Používatelia a roly“.
Popisovala, že existuje admin, manažér a používateľ.…
Príklad:
Predstav si, že si tester v banke a máš za úlohu overiť, že bežný zákazník nemá prístup k údajom iného klienta. V praxi to znamená, že ak sa prihlásim ako používateľ A, nesmiem vidieť zostatky, IBANy ani výpisy používateľa B – a naopak.
V jednej firme, kde som testovala, sa stalo, že backend posielal viac údajov, než bolo potrebné.…
SQL-injekcia a XSS (Cross-Site Scripting) sú dva najčastejšie útoky, ktoré zneužívajú špeciálne znaky v používateľskom vstupe:
SQL-injekcia
Čo to je?
Útok, pri ktorom útočník vloží do vstupu časť SQL príkazu tak, aby zmenil vykonávanú databázovú operáciu.
Kľúčové znaky:
Single quote ‚ – používa sa na uzavretie reťazcov v SQL.…
