Привіт друзі, як ваш день? 🙂

Пам’ятаєте мою історію з фаєрволом? Ну що сьогодні хочу трохи докинути деталей як і обіцяв)

Яка ж все таки різниці між правилами.
Колись я сам собі підклав ггг: Коли я забанив трафік для апки, потім дивлюсь, пінг проходить, curl тягне сторінку, сервер живий, а клієнт каже «ні, я не бачу його». Ну і сиди ломи голову.

Що я маю вас сказать.

Program-rule
Закриває тільки конкретну програму. Наприклад, блочимо свій клієнт:

netsh advfirewall firewall add rule name=BlockApp program="C:\Path\to\app.exe" dir=out remoteip=192.168.1.1 action=block

Ping і curl як раз тут будуть жити. Але ваша апка все, тиша.

а от вже IP-rule
Рубає взагалі весь трафік на конкретний IP.

netsh advfirewall firewall add rule name=BlockIP dir=out remoteip=192.168.1.1 action=block

І тут вже ніякі пінги чи курли не пройдуть. Мертво все, що йде на адресу.

про ICMP-rul це вже про сам ping.

netsh advfirewall firewall add rule name=BlockPing protocol=icmpv4:any,any dir=out action=block

Тобто сервер працює, апка працює, але ping каже «timeout». Це іноді дуже плутає.

Саме для КУА це суперкорисно: якщо хочете перевірити, як поводиться апка без інтернету → ставите program-rule. якщо хочете симулювати, що сервер ліг повністю → ставите IP-rule. ну і якщо хочеш подивитись, чи ваша система орієнтується на пінг, чи реально перевіряє API → блочи ICMP.

і оставлю вам ще пара команд, щоб не губились:

Подивитись усі правила:

netsh advfirewall firewall show rule name=all

Видалити конкретне правило:

netsh advfirewall firewall delete rule name=BlockApp

Подивитись активні сесії й коннекти:

netstat -ano

Вимкнути фаєрвол повністю (але не робіть так на проді):

netsh advfirewall set allprofiles state off

Який поінт від мене, КУА не тільки кнопочки тисне, а й вміє ламати/відновлювати середовище так, щоб реально бачити різницю.
Бо коли знаєш, як це працює під капотом, вже не «сервер мертвий», а просто rule тебе підставив)

Всім гарного вечора 🤗🤗🤗

Друзі, доброго ранку! 🌞

Сиджу з кавою в очікувані колу, думаю щось почитаю і потрапив на це) в цілому суть дуже просто QA‑команди, які активно тусують на форумах і в Slack/Stack Overflow, збільшують ефективність тестування на 30 %.

Короче, лайфхак простий: QA-спільнота, це ваша сила. Не залишайтесь в ізоляції, діліться, питаємо, навчайтеся і двигайте якість уперед разом.

https://moldstud.com/articles/p-maximize-your-qa-testing-success-how-to-leverage-online-communities-effectively

Всім гарного дня і продуктивного настрою!
Обняв 🤗

Добрий вечір, друзі 🤗
Розберу вам коротенько цей пул, може комусь стане у пригоді

Що таке (A)
Telnet дійсно може показати, чи порт живий, але він перевіряє лише один конкретний порт (наприклад, 443). Якщо саме він закритий, ще не факт, що сервер мертвий.

Що таке (B)
Curl працює тільки якщо на сервері є HTTP/HTTPS сервіс. Якщо ж це БД чи якийсь внутрішній сервіс без вебки, curl тут безсилий.

Що таке (C)
Netcat (nc) крутий тим, що можна перевірити будь-який порт, але знову ж таки, це тільки одна з альтернатив, а не універсальна паличка-виручалочка.

Тобто чому все ж усі варіанти будуть в пригоді перевірити якщо той чи інший не пройшов)
Бо в реальності ми не знаємо, що саме працює на сервері. Хтось перевірить веб (curl), хтось SSL (telnet 443), хтось SSH (nc 22). Все це валідні методи і їх часто комбінують, коли ICMP (ping) відрізаний.

Якщо є питання або щось добавити залюбки обговоримо)

Всім гарного вечора, а головне тихого 💛

Всіх обняв 🤗

Друзі, привіт, як ви? Сподіваюсь, ви і ваші близькі в безпеці і все у вас добре🙏

Сьогодні ранок дався не надто легко, трохи важко стартував, але… є кава, і це вже серйозний плюс)

Хочу побажати вам продуктивного та тепла дня. І пам’ятайте: кава, це не лише напій, це рятувальник для недосипа й генератор хорошого вайбу.

Всіх обняв, залишайтесь сильними 💛

Друзі привіт 🤗
Як ваш день?

Я хоч і у відпустці, але про вас не забуваю)
Пам’ятаєте, ми вже з вами говорили про Nmap?
Так от, ось вам маленька шпаргалка, яку реально варто зберегти собі десь під руку.

Тут все основне:
- різні типи сканів (-sS, -sT, -sU і т.д.),
- виявлення хостів (-sn, -Pn),
- як швидко пробігтись по портах (-p, --top-ports),
- визначення ОС та сервісів (-sV, -O),
- і навіть як обійти фаєрвол (-f, --data-length).

Я собі іноді користуюсь -A (комбо-режим: ОС, сервіси, скрипти) але обережно, бо він доволі «важкий».
І якщо треба швидко то це --top-ports 100 рятує, коли нема часу сканити всю /24.

Коротше, штука must-have, особливо для Куа, хто чіпає мережі чи сек’юрку.

Зберігайте, Бо потім будете згадувати, а де ж я те бачив.

Всім гарного вечора друзі 💛
Всіх обняв🤗🤗🤗

Банда привіт 🙌
Як ваші справи? Як вихідні?

Я після відпустки завжди сідаю зранку на роботу з таким настроєм прям топ 🔥
Але потім заходиш у беклог... і там купа задач, питань, тікетів і настрій одразу «ага, понятно» 😅

Це відео якраз про той момент, коли ти вийшов відпочивший, заряджений, а через 5 хвилин знову з головою у таски й дедлайни. Реалії КУА-життя

Всім гарного дня і продуктивного старту тижня
Нехай він буде з перемогами, а не з безкінечними «блокерами» )

Обняв
Сильні 💛

Добрий вечір, друзі!

я от вам викладав вам шпаргалку по Nmap? І виявилось, що я всеж не розказував про цей тул, а я щось думав шо говорив, виходить я вам більше показав, як гарно виглядають команди, ніж реально розповів, що це за тул і чому він такий важливий. бо мене прям стільки людей пінгануло в ЛС з притензією що ти не розказував. Тому сьогодні закриваю цей геп 😉

Так що я маю вам сказать)


Nmap це (Network Mapper), це тул для сканування мережі. Його фішка, швидко показати: які хости в мережі живі, які порти в них відкриті, які сервіси там працюють (HTTP, SSH, RDP тощо), І яку ОС або версію сервісу можна припустити.

Його юзають адміни, девопси, безпекарі й, звісно, QA, коли треба перевірити доступність, мережеву конфігурацію або знайти “сюрпризи” в енві.

що з основні скани

nmap -sS 192.168.1.1

- TCP SYN (stealth) scan

nmap -sT 192.168.1.1

- TCP Connect scan

nmap -sU 192.168.1.1 

- UDP scan

nmap -sA 192.168.1.1

- ACK scan (для фаєрволів)

nmap -sN 192.168.1.1

- Null scan (тільки для специфічних цілей)

-sS найпопулярніший, швидкий і менш помітний.
-sU скан UDP (часто на ньому ховаються DNS або SNMP).

ДЛя виявлення хостів

nmap -sn 192.168.1.0/24

- Ping scan, перевірка хто в мережі

nmap -Pn 192.168.1.1

- Ігноримо пінг, одразу до портів

nmap -PS 192.168.1.1

- TCP SYN ping

nmap -PE 192.168.1.1 

- ICMP echo
Це дуже корисно, коли думаєш мертвий сервер чи ні.

Для портів і сервисів

nmap -p 80 192.168.1.1

- конкретний порт

nmap -p 20-100 192.168.1.1

- діапазон

nmap --top-ports 100 192.168.1.1

- топ-100 портів

nmap -sV 192.168.1.1

- детекція версій сервісів

nmap -O 192.168.1.1

- визначення ОС
це супер, коли треба зрозуміти: а що взагалі слухає ця машина.

Скрипти (NSE) тут почитаєте щоб було цікаво)

nmap -sC 192.168.1.1

- стандартні скрипти

nmap --script=vuln 192.168.1.1

- скрипти пошуку вразливостей

nmap --script=http-title 192.168.1.1

- заголовок вебсторінки
Nmap має цілу бібліотеку скриптів: від перевірки SSL до брутфорсу. Це вже напівпентест

Ну і як же без виведу

nmap -oN result.txt 192.168.1.1 

- звичайний

nmap -oX result.xml 192.168.1.1

- XML

nmap -oG result.grep 192.168.1.1

- для grep

nmap -oA all_results 192.168.1.1

- усі формати
Зручно, коли хочеш інтегрувати у пайплайн чи CI/CD.

Ну і Лайфхаки від мене

nmap --reason

- покаже причину, чому хост вважається живим.

nmap --open

- показати тільки відкриті порти (без шуму).

nmap -f

- фрагментація пакетів (іноді обходить IDS).

nmap --data-length 50

- додає випадкові байти, щоб не ловили прості фільтри.

Який поінт від мене для вас)
Nmap це не тільки "подивитись відкриті порти". Це реально інструмент, який допомагає КУА перевіряти живучість енвів, бачити, які сервіси доступні, і ловити проблеми ще до того, як про них скаже користувач.


Всім гарного вечора) а головне спокійного 🤗🤗🤗

Добрий ранок, друзі ☀️
Ну що, давайте нормально розберемо наш пред останній пул по localStorage, бо бачу, що були різні думки і плутанина


І так що я маю вам сказать))

Чому не (A)
Cookies це інша історія. Вони автоматично відправляються у кожному HTTP-запиті до сервера, якщо збігається домен/шлях.
А ось вже localStorage взагалі не летить на сервер. Він живе лише у браузері.

Але LocalStorage сам по собі не летить на сервер. Но якщо налаштувати умовно,
JS-код у застосунку може витягнути дані і відправити через API


Чому не (B)
Це вже чисто серверна тема (типо Redis, Memcached та інші).
LocalStorage це повністю клієнтське сховище, воно у профілі користувача, а не десь на сервері.

Чому не (C)
LocalStorage нічого не шифрує. Якщо ви поклали туди пароль чи токен, він буде лежати у відкритому вигляді.
Тому з точки зору безпеки там не можна тримати чутливі дані. Бо XSS = повний доступ

Ну і чому правильна (D)
І саме так воно працює: ключ → значення (обидва зберігаються як string);
немає терміну життя (дані живуть, доки їх не видалиш сам чи користувач не очистить браузер);
прив’язане до origin (домен + протокол + порт).

Тому як КУА
перевіряємо, чи там не лежать токени/паролі;
тестуємо logout (чи справді все чиститься);
дивимось, щоб старі дані не юзались повторно без валідації.


І так, локал сторедж зручний інструмент, але для КУА це ще й точка, де можна знайти цікаві баги або проблеми з безпекою)

Всіх обняв 🤗
Сильні 💛

А і ледве не забув, друзі є реальна нормально контора яка срочно шукає 2 людей, сюди прийшла працювати моя учениця, то ось вам вакансія не проґавте час, вроді по спів бесіді і по ТЗ норм все)

@OlhaHoncharova Якщо хочете її напишіть вона на пряму передасть ваши резюме HR щоб вас точно переглянули)


Somplo is an Israeli-Ukrainian tech-based company seeking Junior and Middle Manual QA Engineers to join team:
👶 Junior — from 1 year of experience 👉 Junior
🧑‍💻 Middle — from 3 years of experience 👉 Middle

Всім доброго раночку! Ви мене не загубили? 😅

Був на emergency-відпустці, часу взагалі не було, але я повернувся!
Тож знову буду вам докучати своїми постами. У мене назбиралось дуже багато крутої інфи, і ще кілька штук знайшов у себе.

Вчора натрапив на класне відео, думаю, кожен із нас відчував цей момент, коли добрався до credentials і відчув себе найважливішою людиною на проєкті 🤓


Всіх обняв) 🤗🤗🤗
Всім гарного дня і продуктивного)