Тестирование сайта при переходе на https

xss
security
http
testng
Теги: #<Tag:0x00007fedb8442b10> #<Tag:0x00007fedb84429d0> #<Tag:0x00007fedb8442660> #<Tag:0x00007fedb84424f8>

(Александра Литвиненко) #1

Добрый день.
Вопрос знатокам:
Подскажите, на какие моменты нужно обратить внимание при тестирование сайта, когда идет переход с http на https ?

Если часть сайта перенесена на https?
Есть какие-то нюансы/тонкости если есть платежная система?


(5am) #2

на вскидку
актуальность сертификата
отсутствие ресурсов подгружаемых по http (скрипты, картинки, etc)


(Александра Литвиненко) #3

а проверку скриптов, можно проверить только в ручную пройдясь по страничкам? или есть какой-то быстрый способ?

Если есть платежная система, есть какие-то нюансы?

Слышала пример, что заюзали https, но при передаче юзали http. как такое можно проверить? или отслеживать?


(5am) #4
  1. я проверял вручную и давно (если не ошибаюсь, браузер начинается ругаться в консоле/в адресной строке) что на странице присутствуют ресурсы подгружаемые по http
  2. не могу дать конкретного ответа
  3. если я правильно понял, то, думаю что будет достаточно проверить (в нетворке браузера, фидлере и т.п.) что формы POST’ятся по https’у

возможно стоит проверить что идет редирект на https при попытке открыть сайт/продукт по http ссылке
можете погуглить на тему: “как перенести сайт на https” и подчерпнуть оттуда идеи для проверок


(5am) #5

update по п 2. - не совсем по теме https’а, но такие вещи как XSS, CSRF - чекнуть стоит.


(Goshko Nazar) #6

открываешь консоль браузера, и смотришь на коды ошибок - не должно быть варнингов, крос-ответов и прочего.


(5am) #7

с 10 минуты


(Artur Korobeynyk) #8
  1. Да любая прокся с настройками поможет отловить не SSL трафик. Тот же Fiddler при установке филльтра ресурсов на http:// отловит всё необходимое. Для скриптования можно юзать tcpdump.
  2. Нюансов уйма. Кукисы, токены, шифрования, книжка с полным описанием страниц на 1500-2000 потянет.
  3. ШИфрование можно отключать на сервере… будет забавно если можно отключить или понищить версию на клиенте… При передаче отключаете, клиент при приеме включает. Можно использовать transparent проксю, чтобы отслеживать запросы.

Вобщем, ваш вопрос звучит примерно как “Перехожу с велосипеда на самолет, на какие моменты стоит обратить внимание”. Для начала на TCP/IP, потом на HTTP, потом на SSL/TLS, потом на HTTPS, потом на Owasp top ten, потом на остальное в owasp.