QA — лучшие друзья AppSec'ов

Суть доклада: показать, как, используя инструменты/артефакты QA, мы улучшаем процессы AppSec.

Целевая аудитория: AppSec-инженеры/менеджеры, QA.

Технологии: 

— Allure и свой фреймворк тестирования — используют, разрабатывают QA.

— nuclei — инструмент динамического тестирования безопасности (DAST), представляет собой движок, который исполняет шаблоны в виде YAML (nuclei template доступен по ссылке). С помощью шаблонов можно создавать гибкие правила тестирования безопасности. На основе этого инструмента мы реализовываем и реализовали свои тесты безопасности.

Контекст:

На основе артефактов (HTTP-трафик, код) E2E-тестов QA мы построили инструмент поиска уязвимости IDOR (Insecure Direct Object References). Инструмент работает в пилотном режиме. Новый подход подвиг нас на переосмысление классического подхода к динамическому тестированию безопасности (DAST) и перестроение процесса динамического сканирования в сторону бизнес-процессов с помощью артефактов E2E-тестов.