[生活在墨尔本] 记忆碎片 - 更新20楼@10-Mar-2008

Anihc

从春节休假回来，就开始忙开一project。由于最近黑客攻击比较厉害，客户特别要求我们赶加Security - SQL injection 的功能，并且要求3周内出街，所以我们公司调动全公司的资源一起赶工。我也被从另外的一个project调动过一起参与testing。但是这次的testing要从3部分一起测，UI方便只是其中一部分，另外两部分是要从source code 和webapp去测，然后加入不同的SQL String 分别去测试

Testing Instruction:
Here are the 3 strings you’ll need to use:
1.       ' or 1= 1; --
2.       ', passwd)=1; delete dbo.list_aaa; --
3.       ', or 1=1; delete dbo.list_aaa;--

What needs to be done:
Part 1. Playing with the page on the site:
a.Find the page in question
b.Try adding each string to the visible inputs on the page

Part 2. Playing with the page’s source code:
a.Right-click, view source of page
b.Find each <input element on the page and change/add the value= to be the strings we have
c.Change the <form’s action to submit to its destination page with correct path，if the form has no submit, then find the button that does the submit (eg SEARCH) find the function it calls, and find the url you need to modify in there.
d.Save the modified source to your local machine
e.Open in new tab in your browser
f.Submit the form

Part 3. Playing with the page’s callers:
a.Find the pages that call this one
b.If you can access them on the front-end, do what we did in step 2 otherwise…
c.Open their source on the webpage
d.Find where the call is made to this page
e.Modify the values being passed in

刚开始拿到这份testing instruction时，还真的让我研究了好半天才明白要做些什么，毕竟没有IT的knowledge,想看懂SQL script还是有难度的，于是赶紧补课，好不容易最终都能按时完工，总算舒口气了。

然后这周，有朋友做手机软件测试有4年多，现在想换工作了，我见公司还在找QA，就跟老板问起，要找什么样的tester，本以为朋友多少都有4年的testing经验，应该会比较有优势的吧，可谁知，老板说，这次想找的是能with strong skill in SQL and ASP.Net 的，对technical skill要求会比较高些，我朋友没有这方面的经验，还是不行。

当我得知这个结论后，我感到很庆幸，因为当初他们招我时，还没有对technical要求这么高，要不是的话，我也恐怕没戏了。 I am lucky！

但是比我更luncky的还大有人在。 我的一个朋友，8字打头的人，在这边读的大学，出来工作也是4，5年，中间生小孩休了一段时间，然后就跳槽去了客户公司,一家更大的公司，做on site project engineer，不需要怎么回公司报道，多数在家email report。然后公司提供小车一部，报销所有车油费开支，每天虽然需要开2小时车去on site但是早上6点出门下午2-3点就可以回到家，基本就是半天on site. package 加起来有80K+,Super另算, 另外还有bonus. 本来以为她会长做下去的，可谁知她最近告诉我，她原来的公司要以同样的价钱和待遇请她回去，她喜欢之前的公司和同事，所以就答应了，于是今天去提交辞职书，谁知现在老板说让她改上4天班拿同样的package。 让她很为难！！

天啊，， 有人找不到工作，有人年纪轻轻确是到处出高价抢她。。 真是同人不同命啊。。

[ 本帖最后由 Anihc 于 2008-3-10 23:21 编辑 ]

黑山老妖

看到sql injection！吓我一跳。

degra

原帖由 黑山老妖 于 2008-2-25 22:59 发表
看到sql injection！吓我一跳。

哈哈。

Anihc

对于我来说，也是新玩意儿。。

astina

进来一看，一堆不认识的符号，闪了

xsjrr

实力+机遇， 羡慕

sujiea

还是背景和实力更重要的吧，楼主谦虚了。。。

baolqun

我这种粗心的人。。。一辈子都不能干testing这行。。。

月亮

技术性太强，看了头晕，我这个懒人能不看技术就不看

WTFAUS

IT的东西 不懂。。。

daffodil

看到1=1, 想到一笑话, 和同行们分享一下.

我前公司有位同事, 思路非常奇特, 看她的CODE, 我都得泡杯茶, 定下心来慢慢琢磨.

有次另一个同事拿她的CODE给我看, 一个IF STATEMENT写的要翻屏才看得完, 考虑的真TMD的仔细, 什么可能都让她想到了. 又是与来又是或的, 说白了没有可能这个IF是否的, 不就是1=1嘛, 哪来那么多啰唆.

月亮

原帖由 daffodil 于 2008-2-26 15:52 发表
看到1=1, 想到一笑话, 和同行们分享一下.

我前公司有位同事, 思路非常奇特, 看她的CODE, 我都得泡杯茶, 定下心来慢慢琢磨.

有次另一个同事拿她的CODE给我看, 一个IF STATEMENT写的要翻屏才看得完, 考虑的真TMD ...

我很讨厌同事写代码不加注释，要去猜他的意图，那个费劲阿

Anihc

原帖由 daffodil 于 2008-2-26 15:52 发表
看到1=1, 想到一笑话, 和同行们分享一下.

我前公司有位同事, 思路非常奇特, 看她的CODE, 我都得泡杯茶, 定下心来慢慢琢磨.

有次另一个同事拿她的CODE给我看, 一个IF STATEMENT写的要翻屏才看得完, 考虑的真TMD ...

这个绝！！！

bulaohu

原帖由 daffodil 于 2008-2-26 15:52 发表
看到1=1, 想到一笑话, 和同行们分享一下.

我前公司有位同事, 思路非常奇特, 看她的CODE, 我都得泡杯茶, 定下心来慢慢琢磨.

有次另一个同事拿她的CODE给我看, 一个IF STATEMENT写的要翻屏才看得完, 考虑的真TMD ...

没看懂，能不能把code贴上来？

bulaohu

原帖由 月亮 于 2008-2-26 13:54 发表
技术性太强，看了头晕，我这个懒人能不看技术就不看

月亮不是做数据库的吗？

黑山老妖

补习反黑：http://en.wikipedia.org/wiki/SQL_injection

bulaohu

我知道啥是SQL injection，老问题了，预防手段也比较完备了，就是架不住程序员偷懒 :) 我是没看懂人家说的那个超长的IF是怎么拐来拐去是1=1来的，要是那样还IF个啥。不过向人家要code看也是我呆气发作，真贴上来了，我能看进去两行就不错了

月亮

原帖由 bulaohu 于 2008-2-26 21:38 发表
月亮不是做数据库的吗？

是的，不过我很懒，能明天看的绝不今天看，所以只会些三脚猫的东西。

daffodil

原帖由 bulaohu 于 2008-2-26 21:50 发表
我知道啥是SQL injection，老问题了，预防手段也比较完备了，就是架不住程序员偷懒 :) 我是没看懂人家说的那个超长的IF是怎么拐来拐去是1=1来的，要是那样还IF个啥。不过向人家要code看也是我呆气发作，真贴上来了， ...

就是这个意思, 这个IF STATMENT根本就是多余的.

说1=1, 当时有嘲弄的本意.

CODE我手头没有, 是以前公司的. 不过即使有, 贴上来也没什么意义. 我们做的是商业软件(BILLING　SYSTEM), 不熟悉系统要求, CODE也不可能看出什么.

Anihc

2008年3月
最近几个周末，一有空，都跑去我表妹帮忙油油漆了。因为他们上个月买了个新房子，价钱很不错只是里面比较旧，需要重新装修。可是在这边装修的人工比较贵,于是他们家就决定自己负责整间的房子的内部油漆,剩下的换地板,换厨具什么的,就再专业人士来处理.. 我们这些做亲戚朋友的,则有力出力, 有空就去帮小忙.  

我来这也有一段时间了,所以对这边的人喜欢自己能做的就自己动手的行为和想法也习以为常. 毕竟这边请人来做事,分分钟就要算银子的.

但是我跟我嫂嫂在msn上聊天说起这些事时,她很难接受. 想想在国内,  什么大事小事,能请人的都会请人, 连去油站打油都会有专人帮你做,  水龙头坏了,想都不想就找修理工. 于是她问我. "像你们那边，什么都贵，什么都要省，澳洲到底有什么好？生活是否有压力，是否就是生活环境好一点？"

我当时还真的是愣了下. 是啊, 澳洲到底有什么好呢? 我来了这半年多,  感觉到的确实是什么都贵, 特别是很多东西都是made in china,标价的数字看起来还可以接受的,但是一被我算回人民币后, 就经常买不下手了.  这边很多地方的customer service 也不方便, 你上班,他们上班,你下班他们也下班 ,经常要去领个邮件,也要请半天的假跑去邮局. 很多东西已习惯自己能做的,都自己来做. 确实都在尽量省钱. 要不花得自己很心疼.; 在这边很难轻易的吃上一餐新鲜生猛的海鲜, 市场上看到的鱼都是冰冻鱼,, 市场上的猪肉,都时不时有股骚味...

澳洲有什么能让我自豪的吗? 我绞着脑筋想着..
1. 空气新鲜.蓝天白云和海滩.
2.休假时间多,20天年假和10天私人假
3. 工作不太需要加班, 比较自由,人性化
4. 社会福利应该相对好很多吧
5. 牛奶，酸奶，红酒很有分量便宜又好吃
6。。

大家也帮我想想吧.... 找多点让自己能留下来并过得自在点的理由.:)

[ 本帖最后由 Anihc 于 2008-3-10 23:32 编辑 ]

joaquin

在国内贵的东西这边相对便宜啊，哈哈

Anihc

原帖由 joaquin 于 2008-3-11 00:44 发表
在国内贵的东西这边相对便宜啊，哈哈

哪些？不怎么觉得。

上回想买套摄影器材，找朋友在香港和美国问了价钱，发现澳洲这边的同各型号产品价钱是最贵的。

zn7726

上回想买套摄影器材，找朋友在香港和美国问了价钱，发现澳洲这边的同各型号产品价钱是最贵的。

相对收入来说, 还好, 还好. 有机会回国前买, 还能退gst, 比较划算

笔记本电脑在这边就比在国内便宜

careycat

别和香港比，但是某些牌子的护肤化妆品就比国内便宜