Каждый раз при входе (авторизации) пишет сервис недоступен, DELETED —

Что такое плавающий баг?

В честь немецкого физика Вернера Карла Гейденберга нежелательный программный процесс, возникающий спонтанно и без предупреждения, называют плавающей ошибкой или heisenbug.

По словам Вернера Гейзенберга, чем больше вы сосредоточены на чем-то одном, тем меньше внимания уделяете всему остальному.

Самые интригующие случаи из опыта тестировщиков – это случаи, связанные с ошибками, которые разработчики не могут исправить, пока не узнают о шагах воспроизводства. Где они “живут”, определяет AP.

Введение

В обзоре рассматривались ошибки на сайтах оператора связи “Ростелеком”, ресторана MaMaMia и телеканала 2×2.

Статья имела очень положительный эффект хабра. Загрузка скриншотов в приложении “Ростелекома” была исправлена в течение двух недель, а с сайта предприятия было удалено значение NULL из имени пользователя индивидуального аккаунта. Это заняло от шести месяцев до года.

Все было исправлено за две недели. Отличный результат! Я уже начал собирать сообщения пользователей об ошибках для обзоров. Несомненно, проблемных программ гораздо больше, чем я могу использовать для решения вопроса в одиночку.

Почему возникают плавающие баги?

Ниже приведен примерный список причин, по которым вдохновение покидает вас

1. Переполнение. Некоторые поля или контейнеры могут переполниться и вызвать сбой, если связанные с ними функции работают правильно. В эпоху больших запасов памяти тестировщики часто упускают это из виду. Например, можно подсчитать большие суммы в системе и обнаружить, что она не в состоянии обработать такое большое количество символов.
2. Проблема кода, также известная как “проблема КТ”. Часто плавающая ошибка связана с тем, как написан код (сейчас мы не рассматриваем некачественную работу, а просто непредсказуемую работу). Например, для разработчика ТЗ очевидно, что при получении данных следует брать определенный уникальный объект, но программист может этого не знать и переписывает свободный выбор. Иногда код написан правильно, но некоторая комбинация условий приводит не к сбою, а к подмене функции. В этот момент ошибки не будет, но программа в целом даст сбой.
3. Проблемы с вводом данных. Например, в поле свободного ввода пользователь ввел некоторые данные, которые не нужны алгоритму, или неправильный символ (запятая вместо точки и т.д.). Это касается также ошибок, связанных с использованием клавиатуры вместо мыши, или ошибок, связанных с вводом призрачных данных, когда данные вводятся машиной (особенно в середине расчета). В таких случаях проблему можно обнаружить, вставив контрольные “секундомеры” и проверив работу кода по частям. Другая возможность – ошибочный ввод данных, когда данные из клиент-серверного приложения повреждены или переданы неправильно.
4. Аппаратные проблемы возникают, когда ошибки вызваны физическими факторами. Например, из-за отключения питания, высокой температуры в серверной комнате, физического повреждения компьютера и т.д.
5. Аварии. Определенная комбинация условий может работать правильно, но впоследствии привести к ошибке.
6. Deus Ex Machina. Эти проблемы возникают, когда другие используют программу одновременно с вами: разработчик, хакер или другой тестировщик.
7. Неочевидные моменты. В процессе анализа эксперты часто отбрасывают ненужное, чтобы сосредоточиться на важном, и оказывается, что проблема связана с ранее отброшенными вариантами.
8. Неопределенности. Невозможно учесть все. Например, в системе может быть функция, о которой испытатель не знает, или источник предвзятости. В программе могут быть недокументированные переменные и т.д. и т.п.

Работа на скорость

Скорость – преимущество в спорте, но при тестировании следует учитывать качество. У тестировщика есть 50 ошибок, из которых 30 требуют общения для уточнения или исправления.

. Работа с логами

Тестировщик должен уметь распознать и понять, какой тип ошибки проявился в какой системе (при каком переходе). Как называется недостаток системы, который тестируется? Для ускорения поиска ошибки рекомендуется прикреплять ссылки из журналов.

Тестировщик и ошибки неразрывно связаны, потому что мы находим ошибки, записываем их в системы отслеживания ошибок и управляем их устранением. Вы не можете функционировать без них, поэтому крайне важно правильно их запускать. Организм зависит от жучков. Каждый почувствует себя лучше, когда они заработают.

Отсутствие конкретики

В дополнение ко второму пункту, разработчики должны быть в состоянии определить ошибку без необходимости писать вам и задавать дополнительные вопросы.

Использование сленга при формулировке бага

Google может быть полезен, как и в примере с крокодилом. В глазах своих коллег вы будете выглядеть ровесником юноши на фотографии.

Пренебрежение примерами и скриншотами

Такой широкий жест не будет мешать и ускорит закрытие задачи.

Не путайте описание ошибки и снимок экрана. Описание не должно заменять скриншот.

Своевременный перевод бага на разработчика

Желательно, чтобы разработчики рассматривали ошибку в ее самой последней на данный момент итерации. Вы не будете тратить то, что не нужно.

Заведение «псевдобагов»

Я имею в виду функции тестовой среды или настройки браузера, которые можно отключить.

Изменение ожидаемого результата

Бывают случаи, когда тестировщику не хватает знаний, необходимых для полного понимания процесса (слабый или недостаточный анализ). И вполне возможно, что, получив ошибку, вы позже обнаружите неправильный результат.

Ошибки на работе – обычное дело. Признайте свою ошибку и исправьте ее без колебаний. После закрытия задания с соответствующими пометками начните новое.

Другой жизненный сценарий – когда создается ошибка, которая не приводит к желаемому результату. Вы должны взять на себя ответственность за свои действия и понимать, что разработчик исправит проблему именно так, как он вывел из описания. Однако этого не требуется. И отрицать решение, говоря, что вы надеялись на что-то другое. Это будет неприемлемо и некорректно.

Неумение отличить фронт от бэка

Возможность определить, с какой службой связана проблема, является основным показателем при выявлении неисправности.

Поле не поддерживает валидацию. Команды frontend и backend получили дубликат ошибки. команды, которые должны находить и исправлять ошибки различными способами.

Если тестировщик не может определить, что это, спросите члена команды или другого разработчика. Будет использовано меньше ресурсов, решение будет найдено, и не будут создаваться дублирующие ошибки. Все довольны.

Internet explorer

Я не пробовал это решение, потому что наш продукт не поддерживает этот браузер. Как бы там ни было, существует очень простое решение, как утверждает Google. Я нигде не читал, что исправление браузера Microsoft больше не актуально:

if (document.execCommand("ClearAuthenticationCache")) {
    window.location.assign(url);
}

В I E есть метод под названием ClearAuthenticationCache, который сбрасывает “эти глубочайшие недра”. просто и со вкусом И никаких вспомогательных танцев на 401 странице. Я не уверен, работает ли этот подход в Edge. Несомненно, да.

Еще несколько советов по работе с плавающими багами:

• Всегда проверяйте базу данных. Характеристики компьютера, то, что вы тестируете, исходные данные в документах и факты.
• Всегда проверяйте информацию извне. Не задавайте вопрос пользователю или коллеге в чате, лучше выйдите и поищите сами.
• Если кажется, что все уже проверено от начала до конца, причем несколько раз, попросите коллегу взглянуть. Без вас и ваших историй, с минимумом вступлений.
• Проверьте похожие случаи и узнайте, как подобные вопросы решались в прошлом.
• Сохраняйте все журналы. Вам может понадобиться сравнить не только первоначальный и самый последний, но и те, что находятся между ними.
• Проверяйте вещи, которые на первый взгляд не кажутся важными. Даже если это кажется совсем неважным. Часто это то, что вы ищете.
• Проверьте, нет ли конфликтов на границах различных модулей и систем, особенно если интеграция происходит между продуктами разных разработчиков.
• Если вы используете компоненты сторонних производителей, обратитесь в службу технической поддержки разработчика.
• Если нет никакой информации, ничего не помогает и ошибка по-прежнему не найдена, оставьте проблему в покое. Вернитесь к нему завтра, а сегодня обратите внимание на другие задачи.
• Не падайте духом. Продолжайте искать инструменты для решения проблемы – однажды вы обязательно их найдете.
• Поставьте выгоду от устранения ошибки пропорционально усилиям, затраченным на ее исправление. Иногда достаточно знать, что есть проблема: это не ошибка, это особенность.

***

Ошибки, которые остаются незамеченными, могут иметь негативные последствия. В 1962 году космический аппарат “Маринер” должен был отправиться к Венере, но из-за проблемы с антенной он полетел в неправильном направлении. Из-за того, что в программе навигационной системы был пропущен символ, космический корабль пришлось уничтожить над Атлантическим океаном.

Большинство ошибок не являются фатальными, а системы поиска ошибок стали более надежными. Появляется все больше “плавающих” ошибок, и даже обычные ошибки становится все труднее выявить.

Задача 1

Я начну с того, что дам вам код, которым мы будем пользоваться завтра.

На самом деле там всего три строчки кода. Как же возникает уязвимость?

Давайте разберем алгоритм действия, чтобы лучше понять это. В целом, при аудите кода вы должны уметь читать его быстрее. Если вы знаете о потенциальных проблемах.

Задача 2

Это проблема root-me, которую вы, возможно, уже заметили. Но поскольку это реалистичный сценарий и вероятность столкнуться с чем-то подобным невелика, мы не будем рассматривать его более подробно.

В задании нам дается простая файлообменная система и предлагается войти в панель администратора.

Пользовательский интерфейс прост, с кнопками для загрузки файлов на серверы и просмотра прямых ссылок. Забегая вперед, заявляю, что загрузка сценариев PHP и Bash бессмысленна. Ошибка находится в другом месте, потому что проверки были проведены правильно.

Регулярное резервное копирование: Этот скрипт с открытым исходным кодом запускается каждые пять минут для сохранения ваших файлов. Также имеется ссылка на ежедневный скрипт, который вызывается каждые пять минут.

Давай посмотрим на него присталь­нее:

Казалось бы, что тут такого? Вы не можете войти в параметры, но являетесь экспертом по мантре тар. Кроме того, в самой мантре есть недостаток. Как видит тар, в качестве альтернативы

Почему там стоит звездочка? Вместо этого Bash считает все имена файлов в текущей папке. Похоже, что с этим нет никаких проблем.

Давайте поговорим о ма- нуале на Таре, который нам полезен, и о сути вопроса.

Нас больше всего интересует именно эта область. Главное, что tar предлагает множество вариантов гибкого внешнего мониторинга процесса архивирования. Для этого можно использовать так называемые контрольные точки, которые способны выполнять свои собственные уникальные действия.

Вспомните, что оболочка (bash) печатает списки всех файлов в текущей папке. В них включены те, которые архиватор может классифицировать как специальные параметры.

В качестве аргументов tar мы должны использовать файлы, содержащие имена. Я использовал shell с параметрами –checkpoint=1 и checkpoint-action=exec. Код в shell.sh выглядит следующим образом:

Команда копирования панели администратора и заголовок – это все, что необходимо. Возможно, могла бы присутствовать обратная оболочка или другой объект. Но для конкретной задачи такая “тяжелая артерия” не требуется.

Теперь мы ждем завершения работы нашей оболочки. Найти пароль и открыть его – это последние шаги!

Задача 3

В WordPress есть плагин, позволяющий записывать аудио и видео.

Я собираюсь показать вам уязвимость сразу, а не просить искать ее.

Не изучайте тип или содержимое файла, как видно из строк 247-251! Это просто традиционная загвоздка.

Файл должен находиться в каталоге WordPress по умолчанию (/wordpress) или под ним, что является ограничением. Это указывает на то, что содержащий нас список по умолчанию неадекватен.

В начало имени файла подставляется случайный идентификатор, который появляется в строке 247. В противном случае вы не сможете вернуться к /wordpress/wp-contentuploads/1021/1/4shell_php.

Однако функция uniqid() имеет недостаток, заключающийся в том, что она изменяет имя файла:

Получение специальной идентификации с префиксом, основанным на текущем времени.

<…>

Предупреждение. Единое значение не является гарантией этой функции. Будущая согласованность становится все более реальной по мере того, как все больше операционных систем синхронизируют свое время с NTP или его эквивалентами. В результате может произойти нечто, когда эта функция вернет отсутствующий идентификатор потока процесса. <.>

Понятно? Uniqid() возвращает уникальный идентификатор, но он не особенно уникален. Фактический путь к файлу можно определить, зная время вызова!

P HP является проектом с открытым исходным кодом, и мы можем просмотреть исходный код библиотечных функций. Откройте строку 76 функции uniqid() на GitHub и прочитайте следующее:

Что происходит? А на самом деле происходит то, что возвращаемая стоимость зависит от того, что происходило в течение недели или даже дольше.

В выходном файле post.interleaved отсутствует slug. Вот пример файла со сгенерированным алгоритмом, чтобы не быть голословным.

Дата и время, когда были получены знания, могут быть легко преобразованы обратно в дату и время.

Капитально говоря, если мы загрузим все 13 символов вшами, они рассеются. Кроме того, между гейтом для отправки запрошенного документа и очередью для получения ответа есть только эти опции (1 секунда) из-за чрезвычайно точных часов обоих хостов. Это составит от 300 до 700 мс на быстром канале, что является недостаточным.

Я создал простой сценарий на Python, чтобы проиллюстрировать эту возможность. Ниже приведен код:

Чтобы избежать перебора и сэкономить время, мы должны прогнать его несколько раз.

Кроме того, следует учитывать конкретные обстоятельства и подтвердить, что местное время совпадает с временем ворот. Вы можете определить, насколько сильную коррекцию вам нужно сделать, посмотрев на заголовок Last Modified, который часто возвращается сервером.

Теперь мы будем здоровы!

Как можно опти­мизироть перебор?

Ну, для начала, Python невероятно медленный и не сможет одновременно выполнять соединение и передачу заголовков. Кроме того, маловероятно, что интерпретатор PHP на сервере сумеречно проанализирует право, запустит скрипт и доберется до почти безобидного места. Здесь вы можете получить выигрыш, не потеряв сотни тысяч микросекунд.

Во-вторых, очевидно, что выделение uniqid() происходит не в самом начале работы функции. Обработка загруженного файла, написание ответа (заголовка), отправка его по сети и разрешение интерферентору Python обработать ответ – все это занимает больше времени. Здесь мы можем отнять каждые 100 000 микросекунд.

Мы приняли более 200 000 запросов при честной игре. Что вы имеете в виду под неадекватным? В моей ситуации это привело бы к уменьшению количества запросов еще на треть.

Я потратил около 15 минут на навигацию по примерно 500 000 вариантам.

Здесь мы будем использовать этот алгоритм для написания другого сценария:

Вы просто запускаете ее и со временем определяете путь.

Вы думаете, что должен быть другой способ достичь этой избыточности. Можно, потому что ускорение будет не таким большим, как раньше. Главное, чтобы вы могли двигаться от начала интервала к его концу. По моему опыту, это работает на несколько дней быстрее.

Задача 4

Последнее задание на сегодня также связано с root-me, но в более заметной форме. Новейшим брендом интернет-телевидения является сервис WebTV. Однако администрация интересует нас больше, чем последняя дешевая трагедия.

Каждый раз при входе (авторизации) пишет сервис недоступен / адвего

Как локализовать ошибку, если первичный анализ ничего не дал?

• Учитывайте наличие блоков в различных функциях и системах. Ошибки часто находятся на границе.
• Изучите журналы и следы.
• Создайте аналогичных тестовых пользователей с теми же правами и разрешениями и протестируйте приложение на них.
• Попробуйте провести тест на других машинах с аналогичными и различными характеристиками.
• Изучите от деталей до целого всю среду, в которой работает программа, и, наоборот, попытайтесь восстановиться после сбоя. Какие условия могут способствовать его проявлению?

Как работать с плавающими багами?

Традиционный подход – это “повторить и разобрать”.

1. Как проверить, является ли это плавающей ошибкой, а не обычной ошибкой? Во втором случае вы понимаете, откуда взялась проблема, а в первом – нет. Поэтому усердие и умение ничего не упустить – одно из самых важных достоинств тестировщика. Забавно, что неисправленные плавающие ошибки и исправленные нормальные ошибки очень похожи – они не воспроизводятся сами по себе, но плавающая ошибка может вернуться в любой момент.
2. Чем более тестируемым является продукт, тем легче найти в нем плавающую ошибку.
3. Любая ошибка, возникшая по неизвестной причине, может вернуться. “Оно взорвалось само по себе” не работает. Код – это прозрачная структура, поэтому способность находить ошибки важна для развития. Этот навык полезен, когда ошибка воспроизводится, но вы не знаете, как это сделать.
4. Плавающие ошибки могут быть легко воспроизведены в производственной среде, и плохо или совсем не воспроизведены в тестовой среде. Важно помнить об этом и рассматривать это в контексте процесса выпуска системы.
5. Плавающие ошибки могут быть вызваны различными причинами, поэтому при тестировании используйте таблицы с несколькими вариантами. Иногда простой расчет комбинации различных условий приводит к успеху.
6. Никогда не пытайтесь скрыть плавающие ошибки от своих клиентов и пользователей. Это может привести к дальнейшим проблемам в будущем.

Лк ростелеком

В своем личном кабинете в “Ростелекоме” я упоминал этот вопрос:

Где

n

-это

NULL

Уникальное значение, которое используется для заполнения пустых полей базы данных. Это значение больше не отображается. То есть, некоторые ошибки были исправлены уже через две недели после публикации. Исследователи обнаружили, что проблема затронула ответственных лиц. Но это послужило разминкой. В тяжелых случаях головная боль проявляется как результат серьезной проблемы.

Многие люди интересуются электронными родительскими услугами. Например, можно объединить лицевые счета в “Ростелекоме”. Я периодически делаю это с собой. Потому что он работает нестабильно, периодически. Что это за история?

Я решил объединить лицевые счета в одном месте год назад, после того как получил новый лицевой счет для Ростелекома. Уникальная кнопка с красивым описанием находится здесь:

Подключить необходимые лицевые счета “Ростелекома” для управления своими услугами и услугами ваших родственников, проживающих в любой части России.

Эта функциональность присутствовала в то время и работала без проблем. Со временем я подключил вторую личную учетную запись и перестал испытывать проблемы.

Магазин онлайнтрейд

Окно быстрого поиска товаров занимает половину верхней части сайта OnlineTrade. Это типичный пользовательский интерфейс для подобных сайтов. Это сделано для того, чтобы как можно быстрее ознакомить потенциального клиента с ассортиментом продукции. Однако на этом сайте есть несколько странных ошибок поиска.

Результаты мгновенного поиска появляются при вводе текста. До этого момента я ничего не искал, и всякий раз, когда я выбирал какой-либо элемент, предложения поиска исчезали.

Это выглядит так:

Выпуск устарел (по крайней мере, на мой взгляд). Хотя иногда переход завершается, в целом я не могу нормально пользоваться сайтом. Служба поддержки не ответила год назад. Тогда я предпринял еще одну попытку сообщить о проблеме.

Первый запрос, казалось, направил нас в нужную сторону:

Как можно нажать на что-то? Трекпад, трекбол или мышь? Какой марки клавиатура в вашем случае?

Действительно. Сходство между компьютерной мышью и тачпадом ноутбука. Возможно, клик с моего устройства обходит результаты поисковой системы. Ссылки, на которые я случайно нажал, вероятно, сработали.

Теперь для воссоздания сценария используется другой ноутбук. Однако оба они были произведены компанией ASUS. Я никогда не видел такого поведения раньше. Возмущен от имени:

Нет, просто вы должны были изучить его причину и причины проблем в вашей жизни.

На самом деле, все очень просто. Я могу назвать три вещи, которые способствовали возникновению этой ситуации:

1. Маловероятно, что пользователи круглосуточного магазина начнут интересоваться червем. Скорее всего, они просто сделают заказ на другом сайте. Я делал это сам, когда торопился. В этом вся прелесть конкуренции;
2. Многие пользователи используют компьютерную мышь, где проблема не может быть воспроизведена;
3. Низкое качество поддержки. Основной вывод из моих обзоров заключается в том, что либо нет нормального способа сообщить о проблеме, либо информация не доходит до соответствующих отделов.

Мелкие баги всплывающей формы авторизации. / блог им. divog / livestreet cms

Разбор этих задач на вебинаре (видео)

Небольшое напоминание о том, что моя школа начнет предлагать курс “Безопасность веб-приложений” 18 января 2021 года. Успейте присоединиться!

Рокетбанк

Банк, который я нашел в интернете, отличный. лучшая помощь для большинства онлайн-банков. Однако я почему-то постоянно замечаю какие-то ошибки.

Баг #1

Вы не найдете кнопку подтверждения операции при оплате счета за коммунальные услуги с помощью требований (в R-коде). Кнопка отсутствует. Чтобы она появилась, нужно сделать несколько определенных движений:

В правом верхнем углу появится кнопка для перевода средств. Чтобы кнопка стала видимой, необходимо сначала стереть сумму денег. Банк признал, что ему известно об этой проблеме. Она до сих пор не устранена.

Баг #2

Вторая проблема связана с платежами, осуществляемыми с помощью требований. Были сделаны два скриншота. Правый показывает оплату по требованиям. Левый показывает, как была произведена автоплатеж с использованием той же квитанции.

И проблема заключается в отсутствии кнопки “запятая”. Ни на одном реальном номере не может быть настроен автоплатеж. Я бы описал это как странность. Это ошибка. Банк уже знает мои предпочтения (или ошибка), но два месяца ничего не делалось.

Баг #3

Второй месяц подряд я захожу в свои автоплатежи (обычно это происходит в конце месяца) и обнаруживаю, что один из них просрочен. На этот раз это произошло после того, как это случилось в декабре. Однако они пообещали, что, несомненно, исправят это. Но если это не сработает еще раз, я вернусь.

Связь с поиском ошибок в коде

Появление описанных проблем и ошибок имеет определённые причины. Это недочёты в процессе разработки программ, а также в организации работы сотрудников в целом. От написания кода до доставки приложения пользователю проходит несколько этапов.

В основе обнаруженных проблем лежит презумпция существования отделов тестирования. Как правило, это небольшие команды, которые отвечают исключительно за тестирование в крупных корпорациях. Но ряд вещей может снизить их эффективность.

В коде тестеров было несколько ошибок, которые можно было устранить на этапе разработки. Для обработки обнаруженных ошибок требуется время нескольких человек. Однако некоторые из них могли бы не попасть к тестировщикам, что сэкономило бы время. Они бы посвятили свое время более качественному и плодотворному тестированию.

Статический анализ приветствуется нашей командой разработчиков анализатора кода PVS-Studio. Перед отправкой приложения в отдел тестирования происходит этот этап разработки программного обеспечения. По нашему опыту, недостатки на этапе разработки составляют большинство ошибок. Однако если вы поймаете их достаточно рано, то сможете сэкономить и время, и деньги.

Заключение

Работа с отзывами пользователей — одна из точек роста для программного продукта. Растёт продукт – растёт бизнес. Я думаю, многим компаниям стоит пересмотреть работу отделов тестирования и поддержки.

По сути, сайты и приложения, которыми я пользуюсь, составляют очень малую часть всего рынка такого рода продукции. Все, что накопилось за предыдущий год – это вот что. Пишите мне, если у вас есть какие-либо проблемы с ошибками. Чтобы привлечь внимание разработчиков, давайте попробуем их продублировать.

Hubre для iOS больше не поддерживается, согласно UPD 1.