Удаленка для jenkins+selenide+selenoid+allure+docker спецов на 2-3 часа в день. 100% remote! Присоединиться к проекту

Ошибки на портале automated-testing.info


(vadim) #1

Предлагаю выкладывать сюда битые ссылки, баги и прочие милые сердцу тестировщика радости найденные на сайте

 

Вот и первый: перейдя по ссылке http://automated-testing.info/authors (с банера "Портал ищет авторов") я не увидел никакой информации про условия, на которых можно стать автором портала. Browser: Mozilla Firefox.


Архитектура и инфраструктура автоматизации тестирования ПО
(Mykhailo Poliarush) #2

Спасибо, да, линка была битой. Сейчас страница находиться по адресу http://automated-testing.info/content/stat-avtorom


(Artur Korobeynyk) #3

Кто-то криво правил футер в генерации страниц:

Все замечания и пожелания присылайте на webmaster@automated-testing.info<a href="http://automated-testing.info/sitemap.html">.</a><br>

Точка осталась ссылкой. Не думаю, что это так задумано. Мелочь, но я троль =)


(Mykhailo Poliarush) #4

спасибо за замечание, сейчас поправим


(Artur Korobeynyk) #5

Внизу страницы отображается ошибка Missing Key: topic.read_more_MF
Заодно хочу проверить и возможность инклузивной ошибки

К этому посту приаттачен файл картинка, который собственно после картинки содержит скрипт alert(getScriptPath());. Если найдется любая XSS уязвимость, то подобным образом можно будет запустить скрипт любой сложности как на сервере так и на стороне клиента. Просто нужно будет начать читать файл с нужного места. Более того, возможно наверное даже создать сам JPEG файл содержащий только javascript. Эта идея интересная, но над практической реализацией я пока не думал ))
Картинка здесь
automated-testing.info/uploads/default/451/648ea23561b9fd5e.jpg

Возможное решение - обрабатывать загружаемые картинки переконвертируя их.
Второе поведение - это то что к картинке даже перед тем как сообщение отправлено уже указывается путь, тоесть, можно залить файл не оставляя сообщение. Потенциально такая комбинация чревата DOS атакой, когда я буду отправлять JPEG картинки на 2 гигабайта до тех пор, пока не забью всё место на сайте и на форуме никто этого не заметит, сообщений не будет видно. И это не займет много времени, часа 2 максимум при моей ширине канала. Если же проводится проверка на размер картинки (не проверял, это уже не столь важно), то тоже не проблема, просто сделать робот который будет засылать мелкие картинки. По времени будет процентов на 20-30 дольше.


(Artur Korobeynyk) #6

TRACE запросы запрещены на портале - что правильно, но сервер возвращает свою версию, которая мягко говоря - довольно устарела и с 2012 года уже содержит пару эксплойтов в базе данных

arturko@ARTURKO-NOTE /cygdrive/e/work/tools
$ curl -X TRACE automated-testing.info
<html>
<head><title>405 Not Allowed</title></head>
<body bgcolor="white">
<center><h1>405 Not Allowed</h1></center>
<hr><center>nginx/1.1.19</center>
</body>
</html>

Возможные уязвимости этой версии здесь:
http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-148754/year-2013/opginf-1/Igor-Sysoev-Nginx-1.1.19.html
http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-148754/year-2013/opbyp-1/Igor-Sysoev-Nginx-1.1.19.html


(Artur Korobeynyk) #7

Не, это не баг automated-testing.info. Это баг nginx сервера. Минорный. По ходу в версиях после 1.1.19 перестали апдейтить строку респонса на трейс запрос. Уязвимостей описаных выше нету, разве что какие-то неизвестные мне 0day.


(vmaximv) #8

Либо уберите баннер, либо верните close icon.


(Mykhailo Poliarush) #9

принято


(Oleksandr Khotemskyi) #10

Ачивка
http://automated-testing.info/badges/33/out-of-love

Не выдается после 50 лайков


(Oleksandr Khotemskyi) #11

Ачивку
http://automated-testing.info/badges/43/first-reply-by-email

Невозможно получить - кнопка не существует


(Mykhailo Poliarush) #12

столько лайков еще никто не получал :slight_smile: сообщество не любит лайкать [quote=“xotabu4, post:11, topic:1505, full:true”]
http://automated-testing.info/badges/43/first-reply-by-email

Невозможно получить - кнопка не существует
[/quote]

а вот это не реализовано, а нужно кому-то отвечать по емейлу напрямую в тему? всегда думал что удобнее на сайте отвечать


(Oleksandr Khotemskyi) #13

Да я просто хотел все ачивки собрать )


(Mykhailo Poliarush) #14

ну я не знал, что ты там хотел сделать :slight_smile:


(vmaximv) #16

Верните постеров на десктоп:


(Mykhailo Poliarush) #17

@vmaximv а они нужны? какие будут аргументы ?


(vmaximv) #18

Ну как бы общепринято для форумов отображать, чей был последний пост в топике и когда.


(Mykhailo Poliarush) #19

а кроме того что это “общепринято”, есть еще какие-то аргументы? потому что с моей точки зрения это не несет никакой полезной функциональности, а я больше смотрю в сторону упрощения интерфейса, а не усложнения


(vmaximv) #20

UX - лично у меня четкое чувство, что не хватает информации на главной странице, причем на mobile его нет - там вы не “выпилили” иконки.
Usability тоже от этого не “прокачалось”: например просмотр профиля ТС. В текущем варианте мне надо зайти в топик (+1 action). Наскролить на первый пост (+1 action). Кликнуть на иконку ТС (+1 action). Три экшена против одного. И т.д.


(Mykhailo Poliarush) #21

Ок проводим голосование, нужно ли показывать на главной странице людей которые участвуют в обсуждении ?!

  • Да
  • Нет
  • Не знаю

0 участников