Продукт без тестирования / forpes.ru

Главная
Продукт без тестирования

Продукт без тестирования +7

26.06.2021 10:11

Reapet 24 5100 Источник

Всем привет, друзья. Немного детектива вам в ленту.

Не так давно я загуглился и наткнулся на один интересный проект в интернете. Правда, интересен этот проект оказался не идеей или функциональностью, а ходом разработки. Проект разрабатывается уже более года, все это время над проектом работают программисты, вкладываются деньги в рекламу. Проект даже насчитывает несколько десятков активных пользователей. Мой интерес данный проект привлек тем, что он не проходил какое-либо тестирование функционала.

В данной статье хочу рассказать о том, к чему приводит отказ от тестирования продукта. Думаю, материал будет полезен тем, кто начинает работать над стартапом; людям, занимающимися организацией проектов, дабы не совершать ошибки при выборе команды разработчиков и методов работы над проектом; и всем тем, кому интересно узнать, как проект смог прожить более года и как обычный юзер может потерять деньги просто потому, что мы часто доверяем сайтам, подозревая их только в мошенничестве, не задумываясь, что сайт может быть просто некачественно разработан.

Сразу стоит оговориться: к проекту или людям с проекта я не имею никакого отношения. До написания статьи я связался с CEO проекта и предложил ему обсудить ошибки, которые удалось мне найти, а также решение этих проблем.

О проекте

UPD: Так как данная статья не несет информацию рекламного характера здесь и далее я удалил какие-либо упоминания конкретной платформы.
Хочу еще раз обратить внимание на то, что в первую очередь цель этой статьи - на примере показать, что бывает с проектом, когда его не тестируют.

Сам проект не столь интересен, как способ его разработки. Ребята копируют одну довольно известную биржу игровых ценностей ставя на более низкие проценты комиссии проекта (на момент 19.06.2021 комиссия проекта составляет 0%, однако, как выяснилось позднее, обычный пользователь все равно платит комиссию платежки как в случае оплаты товара, так и в случае вывода средств с платформы).

Проект на рынке уже около 6 месяцев, в общем чате на платформе раз в 6 часов появляется объявление о продаже того или иного товара. На платформе лежит около 500 товаров (в среднем по 5 товаров на игру).

Разработкой занималось несколько команд в разное время. Только последней командой проект разрабатывается уже более года. Большую часть проекта создала последняя команда из 7 человек, в последствии сокращенной до 4 человек.

Стоит отметить, что по словам разработчиков проекта, тестирование не проводилось из-за невозможности договориться с основателем. Команда разработки работала на freelance основе, то есть поблочно. При этом основатель категорически был против финансировать тестирование проекта, считая это пустой тратой времени.

P.S. Перед написанием статьи я вбил на GitHub в поиске {UPD: название компании} - таким образом я вышел на разработчика проекта (ник на GitHub совпадал с ником в telegram). Через него уже получил остальных ребят. Вся информация, представленная выше, с уст разработчиков или основателя проекта.

С основателем проекта мне удалось связаться через сайт биржи. Контакты получил оставив обратную связь.

Проводим собственное тестирование. Начало пути

Думаю, пора перейти к самому сладкому.

В начале я просто зарегистрировался на сайте, потыкал функциональность и уже заметил интересный момент. Чат на главной странице отображает только первые 20-25 сообщений при этом со смешным ограничением от флуда - необходимо подождать 5 секунд перед тем, как написать в чат сообщение. Чат работает на вебсокетах. Залезаем в консоль и получаем всю необходимую информацию для скрипта флуда чата.

Из консоли узнаем url адрес и формат сообщений. Так как вся наша защита - это ожидание в 5 секунд - все, что нам необходимо сделать, это поставить таймер в скрипте на 5 секунд. С задачей зафлудить чат справиться и ноутбук под рукой. Что же делать с блокированием пользователя админами? Думаю, к этому вернемся позднее.

Таким образом какой-то злоумышленник или конкурент может испортить первое впечатление пользователей о платформе.

Искал медь, а нашел золото

Идем далее. При тестировании продукта стоит проверять и абсурдные идеи: зачастую разработчики упускают столь простые моменты. Особенно когда разработка идет без тестирования. Я решил проверить наличие документации в открытом доступе. Из той же консоли вытаскиваем первый попавшийся url, на который делает запрос сайт https://transaction.{UPD: url платформы}1.ru. Проверяем на нем самый дефолтный путь - /swagger-ui/ (проверял также /swagger-ui/index.html, /swagger-ui.html, /api-docs и с добавлением /v{цифра}/). И неожиданно натыкаемся на золотую жилу.

Таким образом находим документации к следующим сервисам:

Сервис, отвечающий за оплату товаров и вывод средств с платформы https://transaction.{UPD: url платформы}1.ru/swagger-ui/
Сервис, отвечающий за хранящуюся информацию об играх и товарах на сайте https://game.{UPD: url платформы}1.ru/swagger-ui.html
Сервис, отвечающий за регистрацию, авторизацию пользователей (в том числе администраторов) https://auth.{UPD: url платформы}1.ru/v3/api-docs
Сервис, отвечающий за хранение конфиденциальной информации о пользователе https://profilerus.{UPD: url платформы}1.ru/swagger-ui/index.html
То же самое, что и выше https://profile.{UPD: url платформы}1.ru/swagger-ui/index.html
Сервис, отвечающий за хранение сообщений на портале https://chat.{UPD: url платформы}1.ru/v3/api-docs

Не удалось найти документацию к следующим сервисам: https://proxy.{UPD: url платформы}1.ru/, https://online.{UPD: url платформы}1.ru/ . Думаю, не большая потеря.

Хочу обратить внимание, что документацией я практически не пользовался: большую часть информации можно взять из консоли разработчика изучив запросы, которые отправляет сайт.

Изучаем документацию

Из документации к сервису авторизации узнаем, что при регистрации нового пользователя нет проверки капчи (она есть на сайте).

Получаем простое дополнение к скриптам для генерации нового пользователя при блокировке старого.

Смотрим в сторону наполнения сайта

Сильно в документацию не стал копать. В доке по товарам находим способ добавлять неограниченное количество товаров в игру.

В качестве Authorization используется JWT токен, который мы берем из любого запроса, который отправляет сайт

Пишем простенький скрипт на python, чтобы проверить нет ли ограничений на количество товаров на 1 пользователя. Запускаем, ждем пару минут и убеждаемся, что кому-либо зафлудить систему просто.

Из той же самой документации получаем запрос на получение всех игр платформы - и вот мы уже добавляем товары во все игры, во все категории. Справимся и на своем ноутбуке.

Все, что делали до этого - это весело. Злоумышленник, воспользовавшись этим, может сделать так, что системой не будет возможно пользоваться. Флуд в чат и в товары, в случае бана создание нового аккаунта. Для этого даже не надо будет находиться около ноутбука - все может происходить автоматически. Но это пока не подвергает опасности обычного пользователя.

Смотрим систему работы с финансами

Перейдем к системе оплаты товаров и вывода средств. Как удобно, когда все разделено на логические блоки :)

Залезаем в консоль разработчика. Проследив за запросами, получаем примерную логику работы системы: при оплате происходит запрос на бэк, на бэке создается новая transaction, к которой генерируется ссылка на оплату (оплата происходит через сторонний эквайринг, в ссылке указывается id сущности transaction). И подмечаем интересную вещь - при повторном запросе на создание сделки генерируется новая transaction, но старая не удаляется. Вероятнее всего это сделано на случай, если человек перешел по 2 ссылкам и оплатил более раннюю - эквайринг должен уведомить по какой transaction произошла оплата. Зачем каждый раз создавать новую transaction - сложно понять, наверное есть способ изменения некоторых параметров транзакции (количества покупаемого товара и прочее).

Из интересного подмечаем, что при переходе на страницы “Сделки”, “Аккаунт продавца” и страницу самой сделки происходит подгрузка transaction. А, соответственно, если создать у пользователя transaction на пару гигабайт - страница будет грузиться очень медленно.

Делаем из этого вывод, что простенький скрипт на питоне может повалить возможность оплачивать товар.

Из все той же открытой документации берем запросы на получение всех товаров и для каждого товара производим запрос на оплату огромное количество раз для создания большого количества транзакций.

Ставим асинхрон, кладем все это на вдс и ждем. Проверять количество информации, которое загрузилось, можно прямо у себя на странице “Сделки”. После того, как запрос стал весить около 150 мб, с сервера начала приходить 500-ка на запрос получения сделок. Видимо, уперлись в какие-то ограничения железа.

Еще около 150 мб данных на 1 пользователя - и перестал работать вывод средств - та же 500-ая ошибка. Думаю, эти транзакции учитываются при подсчете количества денег на счету.

Таким образом, если загрузить в систему к каждому товару по 300 мб данных - злоумышленник может лишить возможности всех продавцов выводить средства с счета, а всех остальных пользователей - что-либо покупать.

Немного личных советов по исправлению

Нанять в штат полноценного тестировщика. Когда твое api содержит такие баги, а документация лежит в открытом доступе - это уже даже не звоночек, а целый колокольный звон.
На просмотр системы и написание скриптов я потратил около 3 часов. + еще ночь для проверки гипотезы с сущностью transaction (оставил просто ноут спамить). Думаю, что в системе еще множество недостатков, найти которые было некому;
Для избавления от возможности флуда - поставить более серьезные ограничения;
Пересмотреть алгоритм работы с финансами и убрать загрузку лишней информации на страницах;
Провести аудит безопасности;
Чаще прислушиваться к советам команды.

Выводы

Тестирование - это важно. Если вы начинаете разрабатывать стартап или какой-то проект на freelance основе - не поленитесь и выделите отдельного человека для тестирования. Если вы - основатель it проекта, то, подбирая команду на проект, обязательно обращайте внимание, чтобы в команде был человек, ответственный за тестирование системы.

В данной статье я рассмотрел лишь поверхностно платформу. Я не проводил полноценное тестирование системы или аудит безопасности. Вполне возможно, что в системе есть и более серьезные уязвимости

P.S. В статье я никого не призываю заниматься черным хакингом и использовать обнаруженные вами или кем-либо другим уязвимости в корыстных целях. Я считаю, что можно зарабатывать помогая

Комментарии (24)

VolodjaT
26.06.2021 13:33
#23192880
А что не так с открытим сваггером? Безопасность через неясность и так не работает
1. Rive
  26.06.2021 14:16
  #23193070
  Экономится время на подбор урлов и параметров.
1. Reapet Автор
  26.06.2021 17:23
  #23193596
  Привет! Спасибо за твой комментарий!
  
  Согласен с тем, что безопасность через неясность не работает. Практически все url, которые я использовал, можно было найти в консоли разработчика.
  Как мы знаем, существуют различные методы тестирования. В данном посте я не рассматривал тестирование безопасности или нагрузочное тестирование. Я провел лишь функциональное тестирование. Моей основной задачей было показать, что бывает, когда продукт разрабатывается без тестирования
  
  И, как верно упомянул Rive (https://habr.com/ru/post/564816/#comment_23193070), открытая документация экономит время подбора урлов и параметров. Однако в данном случае она также позволяет найти запросы администраторов, которые уже можно будет тестировать на безопасность

funca
26.06.2021 16:17
#23193436
Как-то электрики у знакомых по всей деревне переставили счётчики из помещений на улицу. Потом какие пионеры от нечего делать, а может тестировали на прочность, покрошили непривычное оборудование у десятка домов. Где-то стекло не выдержало прямое попадание камнем, где то корпус сдался под натиском железного прута. Потом всех этих тестировщиков конечно нашли и наказали... Ждём статью "пентестинг без адвоката")
1. Reapet Автор
  26.06.2021 17:27
  #23193602
  Описанная ситуацию скорее про порчу имущества. Я же лишь показал неудобства системы. Я целенаправленно не проводил тестирование безопасности, дабы не огрести в дальнейшем)
  Также я предложил помощь в поиске и исправлении недостатков
  Буду надеяться, что адвокат мне не понадобится)
  1. funca
    26.06.2021 18:59
    #23193802
    Хотя стоит отметить, что, несмотря на жалобы пользователей, меня так и не заблокировали - спишем это на недостаток функционала администраторов.
    Итак злоумышленник или конкурент испортил первое впечатление пользователей о платформе
    Тут вы сами пишете, что ваши действия с продуктом на продакшене имели в конечном счёте негативные последствия. Сюжет представленной "детективной истории" содержит различные факты несанкционированного доступа и разработки вредоносного ПО в корыстных целях рекламы ваших услуг. Это все не очень этично и однозначно не законно.
    Любой профессиональный тестировшик знает, что тестирование это серия экспериментов и некоторые эксперименты могут быть опасными. Поэтому оно должно проводиться в контролируемых условиях и иметь одной из задач минимизацию возможных негативных последствий. На продакшене проводят лишь ограниченный набор тестов, а все остальное - только в специально предназначенных для этого окружениях.
    
    Reapet Автор
    27.06.2021 22:32
    #23194294
    Благодарю за отзыв. Прислушался и постарался отредактировать статью в тех рамках, чтобы она более корректно несла свой посыл
    Теперь статья не содержит разработку вредоностного ПО и рекламу моих услуг (коих я и не предоставляю)
    
    Согласен с
    
    Поэтому оно должно проводиться в контролируемых условиях и иметь одной из задач минимизацию возможных негативных последствий.
    
    При проведении своих тестов платформы я старался минимизировать возможные негативные последствия (добивался багов только на своих аккаунтах, не трогая чужие, предупредил администрацию сайта о том флуде, который был оставлен мной, извинился перед администраций сайта за доставленные неудобства). При проведении тестов я не выходил за рамки обычного пользователя и лишь оптимизировал свою работу с помощью кода.
    К сожалению, к какому-либо тестовому окружению мне не предоставили доступ

lxsmkv
27.06.2021 04:01
#23194708
«Тестирование — это важно. [..] не поленитесь и выделите отдельного человека для тестирования [..] подбирая команду на проект, обязательно обращайте внимание, чтобы в команде был человек, ответственный за тестирование системы»

С тем, что тестирование важно — согласен совершенно. То, что нужно нанимать в штат отдельного тестировщика, а тем более делать лишь его ответственным за тестирование — категорически нет. Это антипаттерн в CD.

Начнем с того, что рядовой тестировщик такие уязвимости не найдет. Такие дыры может найти пентестер, или разработчик, который знает, что искать. Тестировщик может найти функциональные баги, но для этого как бы нужна спецификация. А какие у стартапов могут быть спецификации, если они работают по принципу «главное запустить скорее»?

Нельзя пренебрегать фактом, что увеличивание штата команды увеличивает коммуникационную нагрузку. А следовательно замедляет разработку. И это опять же не соотносится с принципом стартапа.

Я думаю, в условиях стартапа, можно подключать незвисимых тестировщиков с краудсорсинга. Чтобы шлифануть самые острые занозы. А так — обратная связь с пользователем, быстрая починка, и изменение. Вот, что такое стартап.

Распространенный аргумент, против перекладывания задач тестирования на разработчиков это, что якобы прогаммист не должен тестировать свой код. Юнит тесты — да. Проверить, что фича работает — да. Тестировать весь продукт — нет.

Но вот парадокс, автор статьи — разработчик и успешно принял на себя роль тестировщика чужого проекта. Из этого следует что? Что нужно на проекте настоитить режим работы такой, чтобы разработчики могли менять роли.

Ладно, вы скажете, не ну, «свежий взгляд» нужен. А то если разработчики будут поочередно одевать пальто дежурного тестировщика, то им все примелькается и эффективность сойдет на нет. Ладно, привлекайте время от времени независимых тестировщиков, они подкинут идей, если глаз замылился.

Перекладывая проверку продукта на специального человека, вы лишаете ценного опыта свою команду. Опыт получает тестировщик а не разработчик. А этот опыт ему нужен, чтобы делать меньше ошибок. А так разработчик работает в режиме, сделал, выкатил, насыпало багов в джиру, починил, выкатил. Он вникает в ошибку в багтрекере только до тех пор, пока занимается ее починкой, и эмоционально не привязан к ней. А вот если он ее сам найдет, это будет опыт.
1. Reapet Автор
  27.06.2021 10:06
  #23194940
  Спасибо за ваш комментарий! Согласен со многими вашими мыслями!
  а тем более делать лишь его ответственным за тестирование
  Хочу обратить внимание, что я не предлагаю делать только его ответсвенным за тестирование, это в корне неправильно. В статье я призываю обращать больше внимания на тестирование своего продукта. Выделение компетентного человека, который будет проводить тестирование системы по юзер-кейсам, я считаю необходимо.
  
  Чем раньше тестировщик начнет смотреть систему - тем более корректно она будет работать. Все баги, на которые мне удалось наткнуть, в компаниях, в которых я работал и работаю сейчас обычно находят тестировщики.
  
  Разработчики, мне кажется, должны тестировать свой код и интеграцию своего кода с другими частями проекта. Но, в случае если проект большой, разработчик будет не в силах протестировать весь проект и тем более с большей вероятностью не будет вкурсе всех юзер-кейсов проекта
  нужно на проекте настоитить режим работы такой, чтобы разработчики могли менять роли.
  Это скорее уже зависит от конкретного проекта. Я не припомню, чтобы встречал, что разработчик занимается тестированием всей системы. Своего кода - да, всей системы - нет. И раз вы в пример парадокса приводите меня - стоит отметить, что я имею опыт работы тестировщика, а в данный момент развиваюсь как java программист.
1. IvanG
  27.06.2021 17:22
  #23196064
  +1
  Плюсую
  Начнем с того, что рядовой тестировщик такие уязвимости не найдет. Такие дыры может найти пентестер, или разработчик, который знает, что искать.
  На рынке много прохиндеев которые только кнопочки нажимают. Для уровня стартапа описанный продукт вполне неплох, архитектура просматривается.
  Учитывая нежелание заказчика проводить тестирование, понятно почему разработчики подобные "мелочи" проигнорировали. Если фичи работают корректно, то способа как сломать систему нестандартными действиями можно много где найти.
  Имхо отдельным тестировщик здесь бы не помог, в лучшем случае найденные им недоработки упали бы мертвым грузом в бэклог, т.к. сервис ещё не набрал оборотов, шлифовать смысла нет.
  Но скорее всего одним тестировщиком бы это неограничилось и бюджет бы значительно вырос, соглашусь, что фриланс-пентест сессии бы были лучшем выходом.
  Хоть автор и говорит, что не рекламирует услуги, Но из контекста статьи и комментов делаю вывод, что он готов к взаимовыгодному сотрудничеству с заказчиком сервиса.

dazm
27.06.2021 22:40
#23196902
Интересна позиция автора :)
Почему бы свои таланты не "продать" тем компаниям, которые готовы их адекватно оценить ?
А что по этому "горе-стартапу", забил бы на них болт, они сами себе могилу копают.
1. Reapet Автор
  27.06.2021 22:54
  #23196942
  Спасибо за ваш комментарий!
  
  У меня нет цели продать себя кому-либо в данный момент, так как я трудоустроен и доволен своим местом работы. Статью я написал из-за того, что ранее с подобным подходом к разработке продового (рыночного) продукта не сталкивался
  
  Мне кажется, что данный стартап вполне может превратиться в нечто крупное, если руководство стартапа будет принимать корректные действия. Связываясь с основателем, я хотел помочь им поделившись информацией о платформе. К сожалению, основатель не захотел со мной сотрудничать со словами: "нам очень интересно, быть может мы с вами свяжемся через 3-4 месяца"
  
  Искренне надеюсь, что стартап сделает выводы и исправит недостатки платформы. Дабы не компрометировать и не рекламировать платформу - я убрал всё, что могло указывать на нее

vyakhir29
27.06.2021 22:47
#23196918
Тут дело не в тестировании, а в том что на проекте не было тех лида, который провел бы production readiness review. Код ревью видимо тоже не было…
1. Reapet Автор
  27.06.2021 23:07
  #23197000
  Спасибо за ваш комментарий!
  
  Возможно вы правы, не уточнял про тех лида у разработчиков. Думаю, что раз была команда из 7 человек - кто-то руководил разработкой, не вижу иной возможности организации разработки командой из 7 человек
  
  Единственное, приведу точную цитату разработчика, с которым я общался. Решать кто виноват я не хочу, но, видимо, все понимали на что идут выкатывая такой продукт. Мне кажется, что тестирование продукта могло бы указать на то, что решение было принято слишком рано. Но от такого решения пострадать могут пользователи платформы
  Примерно во второй половине января выкатили ОЧЕНЬ сырой MVP (при этом мы узнали об этом в самый последний момент, а нам надо было минимум ещё три недели, чтобы устранить баги). Таких ресурсов было недостаточно, не говоря о том, что у нас не было ни тестировщиков, ни безопасников.
  1. vyakhir29
    28.06.2021 00:47
    #23197234
    Ну да, я согласен - тут не исключено, что заказчик очень слабо понимал как работает IT и что быстро и хорошо бывает только на бумаге.
    Но мы ж не знаем внутренней кухни, поэтому трудно судить. Может быть, мой комментарий выше слишком категоричный. :)

tchkEn
28.06.2021 09:11
#23197776
Данная статья ещё раз доказывает важность тестирования. А ведь если бы был использован принцип разработки через тестирование всех этих проблем удалось бы избежать.
1. vyakhir29
  28.06.2021 21:14
  #23200820
  Это замечание из категории "знал бы прикуп - жил бы в Сочи". Описанные автором проблемы едва ли решились бы через TDD
  1. Reapet Автор
    29.06.2021 00:17
    #23201384
    Не согласен с тем, что TDD едва ли помогло бы
    
    Мой личный опыт показывает, что там, где TDD активно практикуют - ошибок на проде гораздо меньше. Но, безусловно, случается всякое и TDD не гарант хорошего продукта
    
    Советую к прочтению следующую хорошую статью: https://habr.com/ru/company/ruvds/blog/450316/
    
    Просто приведу из нее цитату
    Дело в том, что уже многие годы в каждой команде, которой я руководил и на которую я оказывал влияние, применялась методология TDD. Ошибки, конечно, всё ещё случаются, но проникновение в продакшн проблем, способных «повалить» проект, снизилось практически до нуля, даже несмотря на то, что частота обновления ПО и количество задач, которые нужно решить в процессе обновления, экспоненциально выросли с тех пор, когда случилось то, о чём я рассказал в начале
1. Reapet Автор
  29.06.2021 00:11
  #23201374
  Спасибо за ваш комментарий!
  
  TDD - это просто подход к организации написания своей части проекта. Этот подход далеко не всегда соблюдается и в крупных компаниях. Но да, очень большое количество ошибок можно избежать используя такой подход. Однако стоит понимать, что сколько свой продукт не тестируй, всегда найдется пользователь, который нажмет куда-то не туда
  
  К TDD можно относиться как к Agile. Методология хорошая, часто помогает, но не все ее используют или следуют всем канонам, что не мешает выпускать хороший продукт в срок
  
  Но тестирования всей платформы компетентным человеком было бы достаточно, чтобы обнаружить то, что нашел я и обнаружить то, что мне найти не удалось

site6893
28.06.2021 11:56
#23198384
пожалуйста, все же напишите открыто что за проект. Очень раждражает каждый раз это вот стыдливое раскланивание перед рекламой и рекламщиками, такое ощущение что миром правят рекламщики. Просто напишите открыто что за проект, я тоже хочу потыкать в него палочкой!
1. Reapet Автор
  28.06.2021 13:55
  #23198834
  К сожалению, изначально сам хабр против рекламы и видит в четком указании проекта в данной статье рекламу проекта. Вы всегда можете обратиться к правилам сайта по ссылке
  https://habr.com/ru/docs/help/rules/
  
  Если вам хочется самостоятельно потыкать что-либо - вы всегда можете самостоятельно найти проект. Если говорить про этот проект - то ссылку на платформу можно найти в поисковике, вбив, например, "Маркетплейс игровых ценностей"

dmitryb-dev
28.06.2021 12:37
#23198510
Честно говоря не увидел никаких вообще проблем. Вроде как в теме безопасности исходят из того, что абсолютно безопасных систем не существует и все ограничивается чисто желанием и ресурсами. Поэтому защита по методу "неуловимого Джо" вполне себе тоже может быть неплохим вариантом.
Да и банально с точки зрения бизнеса. нужно просто прикинуть сколько стоит разгребания последствий такого теоретически возможного мамкиного хакера и сколько стоит допиливание сайта. Главное чтоб пароли в открытом виде не хранили и прочую приватную информацию, а остальное можно спокойно делать по принципу 20% усилий остановят 80% маминых хакеров. Плюс возможность взлома теоретическая, а затраты на пентест реальные.
Да и для стартапов, все эти "как надо", сколько там тестировщиков в команде нужно и прочее разбивается об банально пустой кошелек заказчика + банальное отсутсвие опыта и нужных знаний. Тут порой корпорации с неограниченными бюджетами и огромным опытом продукты фейлят, чего вы хотели от стартапов.
П.с. на самом деле тут как обычно дело в балансе. Я лишь хотел сказать пару слов про обратную сторону монеты и абсолютно не хочу сказать, что об уязвимостях не нужно думать.
1. Reapet Автор
  28.06.2021 13:59
  #23198858
  Привет! Спасибо за ваш комментарий!
  
  Я согласен с тем, что имеется и обратная сторона медали. И в конечном счете решение принимать основателю или команде. Я показал на примере, что бывает, если перестать думать о тестировании проекта
  1. funca
    29.06.2021 16:42
    #23204264
    Вы путаете тестирование и мелкое хулиганство

Продукт без тестирования +7

О проекте

Проводим собственное тестирование. Начало пути

Искал медь, а нашел золото

Изучаем документацию

Смотрим в сторону наполнения сайта

Смотрим систему работы с финансами

Немного личных советов по исправлению

Выводы

Комментарии (24)

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор

Reapet Автор