Доброго ранку, друзі! 🌞
Понеділок чи будь-який день, це ще одна можливість зробити крок вперед.

Натрапив на статтю, яка прям цікава:
коротко, чесно і по справі про те, як QA-шники залишаються потрібними й затребуваними.

Особливо якщо сумніваєтесь, куди рости, must read.

Під каву, саме те:
https://prepare.sh/articles/manual-qa-vs-automation-qa-in-2025-which-career-path-offers-higher-demand-and-job-security

Гарного вам дня і впевненості в собі! 🤗🤗🤗
#qa

Note: Пишуть мені часто по поводу переходу до автоматизації - скажи свою думку і т.д - якщо це актуально і хотіли би взнати мою думку можу написати окремим постом про це??

Ставьте вогник якщо так)))

Друзі привіт - як ваш день?

Сьогодні я остаточной на MacOS попращався Charles,


Що я маю вас казать.
Я з Charles дружив роками. Але якось він почав дратувати, повільний, забитий логами, UI ще з часів Snow Leopard 😜

Короче дойшов я до того що поставив RoxyMan, і за пару годин вже не хотілось назад.

Як використовую його як QA він прям пойдет)

Фільтрація як must-have
Типовий фільтр:

method = POST AND url CONTAINS "/api"

Це все. Без RegExp, без лапок, просто й зрозуміло.

Breakpoints, як свій маленький митник
Можна перехопити запит, змінити тіло на інший JSON, відправити й подивитись, як сервер реагує.

Я так тестив, як бек поводиться, якщо ID користувача підкинути іншого.

Response preview з форматуванням
RoxyMan автоматом форматує JSON у відповідях.
Особисто мені це рятувало купу часу, не треба кудись копіювати, щоб "pretty print".

Трюки, які економлять реально нерви:

Фільтр по кукці

cookies["session_id"] != null

і одразу бачиш, коли сесія створюється (чи ні)

Highlight кольором
Я підсвічую запити з 400/500 кодами. Прямо в тулі.

Якщо Мітки
RoxyMan дозволяє ставити "позначки" на запити. Дуже зручно, якщо треба зберегти конкретну сесію для реплею або багрепорту.

Ще плюсик, ніякого Java, не жере ресурси.
Постав і забув. Все просто працює. Якщо працюєш в Apple-екосистемі, мастхев.

Я ще використовую його разом з емулятором iOS (через локальний проксі), можна легко подивитись, як додаток звертається до API. Навіть якщо немає доступу до коду чи логів сервера.

Короче ось так житя змінилось - щось забулось щось постаріло а ми повині рухатися далі)
https://proxyman.com/

Всім гарного вечора!



Обняв🤗

Бачили?

Почитати вам на нічь, хтось здивується, а хтось може засумувати, але реалії життя.

По зп моя думка залишається завжди одной, якщо людина росте на проекті її будуть підвищувати і вище стандартів, головне щоб вас бачили) ну в не соромтесь казати - де мої гроші 🫰🤔🤑👀😀

https://dou.ua/lenta/articles/salary-report-qa-summer-2025/?from=linkedin&utm_source=linkedin&utm_medium=social

Привіт, народ! Як справи? Я сьогодні той самий QA, який переборщив з кавою й тепер очі не відкриваються 😅


Я з тих QA, хто живе в гармонії з девами.

Ну, майже завжди 😁 Бо гармонія, це не коли ти з усім згоден. Це коли ти бачиш баг... але кажеш:
"Ой, щось тут магнітне поле, я ще раз перепровірю"

І іноді буває такий настрій коли хочешь подергати нерви деву))
І от приходить дев, такий натхненний, сяє, каже: Я все імплементував!, Ось юзер-сторі, Ось дока, Все працює пройдись, перевір.

І ти, такий чемний КУА, вже тягнешся до Postman, але раптом у тебе в голові народжується маленьке "А що буде, якщо запхати те, що не запихається?" 😈

І починається веселе життя.

Бо наша сила не тільки в тест-кейсах і чітких кроках.
Наша суперсила, ставити незручні, дивні, а іноді навіть трошки шкідницькі запитання.

Тож бажаю вам гармонії з девами. Але не забувайте , легке QA-дуркування іноді відкриває такі кейси, про які в доках і не згадано

Прокидайтесь, налаштовуйтесь, і гайда ламати світ (але без багів в проді).

Всім доброго вечора) Як ви?

Доповню це для цього посту - короткой але з змістом)

Гарного вечора друзі ☀️☀️☀️

Сказки на ніч))))

Думаю бачили вже? чекаєте?

Друзі, всім привіт!

Сьогодні без історій. День як день: купа задач, купа контексту, трохи багів і багато розгрібання 😅

Бажаю вам спокійного, продуктивного і робочого настрою!
Без фрустрацій, з фокусом і бодай одним "done" у таск-трекері

Всіх обняв.☀️☀️☀️🤗
Сильні.

Друзі привіт, як ваш день?

☀️ Ранкова історія QA, або як ШІ реально виручив


Що я маю вас сказать, про ті самі баги, які без ШІ скоріше за все ніколи б не відтворились.

Суть баги яка,
Коли юзер оновлює .exe на новішу версію, під час установки прилітає ерор, бо не може "унрегіструвати" інше .exe, яке вже запущене для інтеграцій в системі.

Відтворити руками? Та ніяк.
Я пробував по-різному, переходив між версіями, чистив інсталяції, міняв конфіги, глухо.

Було відчуття, що це трапляється саме тоді, коли інтеграційне .exe вже активне, але не просто як процес, а саме через специфічний запуск по json-аргументу.

А запустити цей .exe вручну, неможливо. Він без валідного json падає одразу з помилкою. Навіть PowerShell і WMI нічого не давали:

Get-WmiObject Win32_Process -Filter "Name = 'Apps.exe'"
tasklist | findstr /I Apps.exe

І от тут я пішов до GPT. Сказав, що хочу трекати старт цього процесу в режимі очікування.

ГПТ видав мені скрипт, який став моїм рятівником:

while ($true) {
    $proc = Get-Process -Name "Apps" -ErrorAction SilentlyContinue
    if ($proc) {
        Write-Host "Apps запущено! PID: $($proc.Id)"
        break
    }
    Start-Sleep -Milliseconds 200
}

Запустив цей шел, і в момент, коли інше .exe активується, одразу пробую ставити апдейт. І БАЦ, помилка!
Я її впіймав! Саме ту, яку всі шукали.

І, чесно, це був кайф.
Настрій піднявся, мене так кажучи погладили), а GPT я реально погладив в голові (віртуально).

Який я хочу донести поінт,
ChatGPT це як Google, тільки на стероїдах.
Він не вирішить за тебе, але якщо ти вмієш думати, правильно питати і аналізувати, то це вже не просто інструмент, а твій QA-напарник.

Користуйтесь з розумом. Формулюйте чітко. Експериментуйте.
І, до речі, сьогодні вже юзаю 5-ту версію, подивимось, що він там вміє 😉

Всім гарного дня!
Обняв, сильні! 🤗

Привіт друзі, як ваш день?
Повернемося до секьюрити

Чули про такий тул, як OWASP Nettacker? https://github.com/OWASP/Nettacker
Хочу дати вам коротенько, що, для чого і навіщо, а ще пару скриптів, щоб ви могли одразу спробувати.


Автоматизований фреймворк для рекогна/скану вразливостей та репортів (CLI + API/WebUI). Вміє порти, сервіси, CVE-модулі, брут, підмережі, HTML/JSON-репорти.

Встановлення принцепі також не складне)
Через Docker (найлегше)

docker run -it --rm -p 5000:5000 owasp/nettacker

і вже всередині контейнера:

python3 nettacker.py -i owasp.org -m port_scan -s

У репо є docker-compose і WebUI на http://localhost:5000. База: .data/nettacker.db (SQLite).


Якщо з сорців на (Python)

git clone https://github.com/OWASP/Nettacker
cd Nettacker
pip install -r requirements.txt
python3 nettacker.py --help

По базовим сканам
Скан портів у /24, паралель і діапазон портів

python3 nettacker.py -i 192.168.1.0/24 -m port_scan -t 10 -M 35 -g 20-100 -o result.html --graph d3_tree_v2_graph

-m модуль(і) скану
-t потоки на хост, -M паралель модулів
-g порти/діапазони
-o HTML/JSON/CSV, графи для HTML.

Подивитись модулі/профілі:

python3 nettacker.py --show-all-modules
python3 nettacker.py --show-all-profiles

Приклади:
Швидка інвентаризація сервісів

python3 nettacker.py -i owasp.org -m port_scan,service_scan

Пошук піддоменів

python3 nettacker.py -i example.com -s -m admin_scan

Перевірка конкретної CVE

python3 nettacker.py -i 10.0.0.0/24 -m f5_cve_2020_5902

WhatCMS (потрібен API-ключ)

python3 nettacker.py -i eng.uber.com -m whatcms_scan --method-args whatcms_api_key=XXXX

Якщо хочите Брут/веб-методи й хедери

Виключаєте модуль брута, але лишити інші

python3 nettacker.py -l targets.txt -m all -x ssh_brute -U users.txt -P passwords.txt -T 3 -w 2

Перевірити дозволені HTTP-методи + свій UA/хедери

python3 nettacker.py -i https://target.tld -m http_methods_probe \
  --user-agent "QA-Probe" -H

"X-Debug: 1"
-x виключити модулі
-U/-P юзери/паролі (списки)
-T timeout, -w затримки між запитами
-H довільні HTTP-заголовки.


Ну і Фільтри по портах/винятки

Сканити все, але виключити 80/443

python3 nettacker.py -i 10.10.0.0/24 -m all -X 80,443

-X виключення портів.


Ну і так вивід і репорти

JSON для пайплайнів і HTML для людей

python3 nettacker.py -i target.list -m all -o results.json
python3 nettacker.py -i target.list -m all -o results.html --graph d3_tree_v2_graph

Формати:

results.txt|.csv|.html|.json.

API/WebUI

python3 nettacker.py --start-api --api-host 0.0.0.0 --api-port 5000

відкривай http://localhost:5000
Є ендпоінти для старту/листингу сканів, HTML-звітів і БД (SQLite/MySQL конфіг у доках).


І вам лайфхаки
Стартуєте з port_scan + service_scan → за 1 прогін отримуєте “мапу” цілей.

На веб-цілях додаваєте http_methods_probe і admin_scan → швидко ловите “непотрібні” методи та відкриті панелі.

Для порівняння середовищ юзайте -K/-J (scan compare id/report) видно різниці між релізами.

Проганяйте підмережі: -i 10.0.0.0/16, але став розумієте -t/-M, щоб не завалити мережу.

Друзі, привіт!
Як ваші справи? Як вихідні?

У мене вихідні були просто завал, і знову з головою в роботу, щоб, так сказати, не розслаблявся 😅

На цих вихідних натрапив на дуже цікавий тул)
Сьогодні про нього розповім, але спершу хочу гарно його прогнати й перевірити, щоб впевнитися, що він реально корисний.

А поки бажаю вам продуктивного початку дня і тижня!

І так, щоб підняти настрій, у вас теж буває таке, що деви фіксять одне, а ламають зовсім інше… і потім не можуть полагодити ні те, ні інше? 🤦‍♂️

Обняв, друзі! 🤗

Всім привіт - як ви? на кофі тайм? Чи вже тушити комп?))


Що я маю вам сказать)

Може комусь цікаво, спробувати себе в gaming https://pinglestudio.com/join-the-team/strong-junior-qa-engineer-2

#QAJob

Привіт друзі, як ваш день?
Продовжу це під цим постом, так как просили тут про мобілку.

Ну так що до мобільної безпеки

Що я маю вам сказать
Чули про таку штуку, як AndroL4b? https://github.com/sh4hin/Androl4b
Хочу дати вам коротенько: що це, для чого і навіщо, а ще, скрипти, щоб одразу спробувати.

Що це взагалі таке?
AndroL4b, це готова віртуалка з Android-оточенням, повним вразливих апок і тулз для тестування безпеки. Підходить для КУА, щоб прокачати скіли в мобільному тестуванні, перевіряти додатки під мікроскопом і відпрацьовувати кейси, які в проді можуть вартувати багів і грошей.

По Встановленню, найпростіше через VirtualBox

- Скачуєте образ, AndroL4b GitHub
- Імпортуєте у VirtualBox (File → Import Appliance). і вже можна тестувати.

Там є в комплекті, вразливі додатки: DIVA, InsecureBankv2, GoatDroid.

По Інструментам це: BurpSuite, Wireshark, Drozer, ApkTool, Jadx, BytecodeViewer. ну і Android емулятор + середовище для перехоплення трафіку.

Маленький вам приклади команд і сценаріїв
Перехоплення трафіку з додатку через BurpSuite
Запустити BurpSuite у VM.
Встановлюєте свій CA-сертифікат у Android-емулятор.

У Burp:

Proxy → Options → Add → Bind to 0.0.0.0:8080
У Android → Wi-Fi → Proxy: твій IP + порт 8080.

Розпакування APK

apktool d target.apk -o target_src

Після цього можна глянути ресурси, тексти, приховані екрани.

Реверс Java-байткоду

jadx target.apk -d output_folder

Бачите код, де, наприклад, захардкожений API-ключ.

Тест логічної вразливості
Через Drozer:

drozer console connect
run app.activity.start --component com.target/.AdminActivity

Перевіряєте, чи можна запустити адмінку без авторизації.

Симуляція поганого інтернету

sudo tc qdisc add dev eth0 root netem delay 500ms loss 10%

Дивитесь, як апка поводиться при лагах.

Поінт від мене
Почніть з DIVA там багато простих, але показових вразливостей. Комбінуйте BurpSuite + Wireshark → бачите трафік і на рівні HTTP, і на рівні пакетів.

Drozer дуже зручний для перевірки зайвих активностей і сервісів.

Якщо хочете тестити свій APK просто кидайте його у папку емулятора і встановлюйте:

adb install myapp.apk

Всім гарного вечора друзі, а головне спокійного)

Друзі, привіт! Як ваш ранок? ☀️

Сьогодні я трохи прихворів 🤒, голова болить, голосу нема, загалом стан не айс(.

Тож хочу побажати вам гарного й продуктивного дня
А я теж пішов працювати)

І хотів поділитися для мене крутою новиною, мені нарешті зробили сертифікат! 🎉
Після довгих обговорень деталей і т.д., вчора перша людина, яку я менторю, отримала його, і це для мене велика радість

Поки що без електронної версії, але скоро буде й цифрова.

Можете і людинці поставити пальчиків)
https://www.linkedin.com/in/olha-voloshyna-175b09186/overlay/1754981505959/single-media-viewer?type=IMAGE&profileId=ACoAACvyYakB7iMWodWuVvLb4WG5xeDaLjFxGGA&lipi=urn%3Ali%3Apage%3Ad_flagship3_profile_view_base%3BwPPIzZfdQtWPA8TbvqWQ3Q%3D%3D

Всіх обняв 🤗🤗🤗

Друзі, привіт! - як ваш день?))
Поки на лікарняному, з чаєм і телефоном, натрапив на дуже чітку й безводну статтю про куа в епоху ШІ. https://medium.com/%40igor.goldshmidt/why-qa-is-still-the-best-career-in-tech-and-how-to-start-right-in-the-genai-era-0605bbd6f3fd

І буквально сьогодні бачу пост від HR: коли відмовили скілованому кандидату тільки тому, що він взагалі не користується AI 🤯

Я взагалі до цього це все)
QA всеж це не просто «ловити баги», а створювати якісний продукт разом із командою. Навіть коли AI під рукою, він лише асистент, а не заміна.
Якщо починаєте шлях у куа, починайте з розуміння, навіщо бізнесу потрібна якість. А AI використовуйте з розумом, щоб він працював на вас, а не замість вас 😉
Ну а ті хто вже скілові парні та дівчата - просто використовуйте його як асистента і будете на рівні)

Всіх обняв🤗🤗🤗 а я далі пішов пити чай с мелісою )

Доброго раночку, друзі! ☀️☀️☀️
Як у вас справи сьогодні? А я все ще на лікарняному, але тримаюся на чаюванні та цікавих знахідках з інтернету)

Щоб підняти вам настрій, ловіть трішки милоти: навіть малий знає, що треба вчити Python і автоматизувати свою рутину, щоб менше крутити мануалку вручну.

Бо, як би ми не любили свій ручний куа, іноді краще дати скрипту роботу, а собі, ще одну каву 🫣