Тестирование безопасности для обычного QA: как найти уязвимости, не будучи пентестером

Каждый QA слышал о тестировании безопасности, но большинство считает его делом узких специалистов — пентестеров. А что, если обычный тестировщик может и должен участвовать в защите продукта?

В докладе я покажу, как функциональный тестировщик без глубоких знаний в security может находить реальные уязвимости, опираясь на базовые принципы и типовые ошибки.

На примерах из реального проекта я разберу ключевые классы уязвимостей из OWASP Top-10 — от Broken Access Control до SSRF — и покажу, как их можно выявить с помощью простых, но системных проверок.

Вы узнаете, как внедрить «гигиену безопасности» в повседневную работу QA-команды, и почему даже минимальные усилия могут предотвратить серьёзные инциденты.

Доклад основан на практическом опыте: за несколько месяцев команда тестировщиков нашла более 15 уязвимостей, не обладая специальными инструментами или доступом к внутреннему коду.