Когда сроки поджимают, а багов быть не должно, важно не пытаться протестировать всё подряд, а определить приоритеты
Риск-ориентированное тестирование — один из самых быстрых и эффективных способов понять, что тестировать в первую очередь, чтобы не сгореть на релизе.
Не так давно в нашем блоге рассказывалось об освоении тестирования через REST API. Я же хочу поделиться опытом тестирования SOAP, меня зовут Юлия Багрий и я расскажу про «старшего брата» REST.
Мы собрали лучшие популярные инструменты для команд Red и Blue team. Они помогут вам провести полноценное тестирование безопасности вашей системы, выявить слабые места и улучшить уровень защиты от киберугроз. Независимо от того, какая у вас команда, эти инструменты помогут вам повысить безопасность ваших информационных систем.
Инструменты для…
Более подробно про XML можно узнать на w3schools или codenet (по-русски). Обязательно обратите внимание на описание namespaces (метод разрешения конфликтов при описании элементов в XML) – в SOAP их использование необходимо.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"XSD"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"При работе всегда удобно иметь стандартизированное описание возможных XML-документов и проверять их на корректность заполнения. Для этого существует XML Schema Definition (или сокращенно XSD). Две главные фичи XSD для тестировщика – это описание типов данных и наложение ограничений на возможные значения. Например, элемент из предыдущего примера можно сделать необязательным для заполнения и ограничить его размер 255 символами с помощью XSD:
"}},{"type":"code","cover":false,"hidden":false,"anchor":"","data":{"text":"...\nXSD – это сила и мощь. Чем подробнее описан XSD, тем меньше головной боли доставит вам тестирование сервиса.
","subline1":""}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"С помощью выстроенной схемы сервис сам сможет валидировать полученные данные и возвращать пользователю ошибку. Таким образом, у вас отпадает необходимость тестировать «любимые» классы эквивалентности для форматов заполнения полей (конечно, при условии подробного и корректного описания XSD, а также реализации проверки запроса на соответствие схеме на сервере). Следовательно, первым делом при тестировании SOAP вы должны проверить документацию – XSD. Довольно часто встречаются ошибки в XSD в виде некорректно прописанных ограничений или случайно закравшихся кириллических символов. Подробнее прочитать про XSD можно опять же на w3schools и codenet (по-русски).
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"WSDL"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Web Services Description Language (WSDL) – это язык на основе XML, который используется для описания веб-сервисов. В WSDL-документе содержится информация о местонахождении сервиса и доступных методах (операциях); для каждого метода определяются параметры отправляемого и получаемого сообщения. Обратите внимание на то, что XSD может быть «встроен» внутрь WSDL-документа (например, у Yandex Speller API).
"}},{"type":"quote","cover":false,"hidden":false,"anchor":"","data":{"text":"WSDL-документ – это «капелька магии» в мире SOAP. Его можно сгенерировать из классов для сервера, а уже из него можно создать классы для клиента. Главное – не забывать проверять адекватность и доступность WSDL-документа для пользователей.
","subline1":""}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Протокол SOAP"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"У «героя» нашей статьи есть две основные версии протокола: 1.1 и 1.2. Для начинающего тестировщика различия между этими версиями не так принципиальны. Важно лишь знать, какую версию использует ваш сервис (в некоторых случаях применяются сразу обе версии, и тогда объем тестирования возрастает). SOAP задает формат сообщений, которыми обмениваются клиент и сервер, в нем же описываются подробности обработки приложениями конкретных фрагментов сообщений. Например, определенные элементы в заголовке позволяют создавать приложения, в которых сообщения сначала проходят через несколько промежуточных «станций», а только потом достигают конечного получателя.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Пример запроса checkText через Yandex Speller API:
"}},{"type":"code","cover":false,"hidden":false,"anchor":"","data":{"text":"И полученный ответ:
"}},{"type":"code","cover":false,"hidden":false,"anchor":"","data":{"text":"Прочитать о формате SOAP сообщений можно на w3schools.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h2","text":"Расширения SOAP"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"В работе вам также могут встретиться различные «расширения» SOAP – стандарты типа WS-*. Одним из самых распространенных является WS-Security позволяющий работать с шифрованием и электронными подписями. Нередко вместе с ним применяется WS-Policy, с помощью которого можно управлять правами на использование вашего сервиса.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Пример использования WS-Security:
"}},{"type":"code","cover":false,"hidden":false,"anchor":"","data":{"text":"Все эти расширения – достаточно сложные конструкции, используемые далеко не в каждом SOAP-сервисе; их подробное изучение на начальном этапе освоения тестирования SOAP вряд ли будет актуально.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":""}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h2","text":"Инструменты"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Как вы уже поняли, SOAP – дело серьезное, для работы с ним нужно знать теорию и многочисленные стандарты. На практике такая сложность привела бы к весьма ощутимым трудозатратам (например, нужно было бы каждый раз смотреть схему в блокнотике и слать запросы curl-ом). Поэтому были созданы инструменты, облегчающие работу с SOAP.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Редакторы XML / XSD"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Хороший тестировщик начинает тестирование еще на стадии написания документации, поэтому для проверки схем удобно использовать специальные редакторы. Два самых известных – Oxygen (кроссплатформенный) и Altova (только для Windows); оба они являются платными. Это очень мощные программы, которыми активно пользуются аналитики при описании сервисов.
"}},{"type":"quote","cover":false,"hidden":false,"anchor":"","data":{"text":"В моей практике полезными оказались три фичи редакторов: визуализация XSD, генерация XML на основе XSD и валидация XML по XSD.
","subline1":""}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"1. Визуализация XSD нужна для наглядного представления схемы, позволяющего быстро вычленить обязательные элементы и атрибуты, а также существующие ограничения. Например, для запроса CheckTextRequest обязательным является элемент text, а необязательными – все три атрибута (при этом у атрибута options установлено значение по умолчанию – ноль).
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Визуализация необходима в том случае, когда типов и ограничений в схеме много. Если вам нужна только она, и вы не хотите платить за специальные редакторы, то можно рассмотреть бесплатные альтернативы (например, JDeveloper).
"}},{"type":"media","cover":false,"hidden":false,"anchor":"","data":{"items":[{"title":"","image":{"type":"image","data":{"uuid":"625616f4-080a-56fe-96c7-9eb26ebf0256","width":391,"height":284,"size":17885,"type":"png","color":"efeee8","hash":"","external_service":[],"base64preview":"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"}}}]}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"2. Генерация XML на основе XSD полезна тогда, когда вы хотите увидеть корректный пример сообщения. Я пользуюсь ей для того, чтобы быстро поэкспериментировать с возможным заполнением сообщения и проверить нюансы работы ограничений.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"3. После использования фичи из пункта 2 полезно провести валидацию XML по XSD – то есть проверить сообщение на корректность. Вместе фичи 2 и 3 позволяют отлавливать хитрые дефекты в XSD еще тогда, когда сам сервис находится в разработке.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h2","text":"Инструмент тестирования – SoapUI"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Тестирование SOAP практически всегда подразумевает использование SoapUI. Прочитать про использование этого инструмента можно в разных источниках (источник 1, источник 2), но эффективнее всего будет ознакомиться тут.
"}},{"type":"media","cover":true,"hidden":false,"anchor":"","data":{"items":[{"title":"","image":{"type":"image","data":{"uuid":"800fc7bf-e33a-542c-8b70-357c800a8e16","width":1280,"height":720,"size":342828,"type":"png","color":"337789","hash":"","external_service":[],"base64preview":"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"}}}]}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Я выделяю 8 условных уровней владения SoapUI:
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 1 – умею отправлять запросы"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Научитесь создавать проект на основе WSDL. SoapUI может сгенерировать все необходимые запросы для вас; вам останется лишь проверить правильность их заполнения и нажать кнопочку «Send». После выработки навыков создания корректных запросов вы должны овладеть искусством формирования некорректных запросов, вызывающих появление ошибок.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 2 – умею делать Test Suites и Test Cases"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Начните делать мини-автотесты. Тест-комплекты и тест-кейсы позволяют создавать сценарии тестирования API, подготавливать данные для запросов и автоматически проверять полученный ответ на соответствие ожидаемому. На первых порах их можно использовать просто как коллекции запросов. Например, если вы завели дефект и хотите быстро проверить его после фикса, можно выделить отдельный тест-комплект конкретно под запросы-дефекты.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 3 – умею писать Assertions"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"После освоения тест-кейсов вам будет полезно научиться делать их автоматически проверяемыми. После этого вам уже не нужно будет искать «глазами» информацию об ответе: при наличии автоматической проверки кейсы будут помечаться зеленым (если проверка пройдена) или красным (если не пройдена). SoapUI предоставляет большой набор возможных проверок (assertions), но самые удобные и простые – это Contains и Not Contains. С их помощью можно проверить факт наличия конкретного текста в полученном ответе. Эти проверки также поддерживают поиск с помощью регулярных выражений.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 4 – использую XPath и/или XQuery в Assertions"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Для тех, кто немного знаком с автоматизацией тестирования UI с помощью Selenium, язык XPath – знакомая вещь. Грубо говоря, XPath позволяет искать элементы в XML-документе. XQuery – похожая технология, которая может использовать XPath внутри себя; этот язык гораздо мощнее, он напоминает SQL. Оба эти языка можно использовать в Assertions. Проверки с их помощью получаются более прицельными и стабильными, поэтому ваши кейсы будут пользоваться большим доверием.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 5 – умею писать сложные тесты с помощью специальных шагов"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"В тест-кейсах может содержаться не только один запрос, но и несколько (к примеру, когда вы хотите эмулировать стандартный сценарий работы пользователя «создать сущность» → «экспортировать сущность»). Между запросами могут находиться другие специальные шаги, например:
"}},{"type":"list","cover":false,"hidden":false,"anchor":"","data":{"items":["Properties и Property Transfer (помогают переиспользовать данные и передавать их между запросами);","JDBC Request (используется для получения данных из базы данных);","Conditional Goto (позволяет сделать разветвления или циклы в тест-кейсе);","Run TestCase (помогает вынести какие-то типовые запросы в отдельные тест-кейсы и вызывать их там, где нужно)."],"type":"UL"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 6 – использую скрипты на Groovy"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"SoapUI позволяет писать скрипты на Groovy в различных местах. Простейший случай – это генерация данных в самом запросе с помощью вставок ${=}. Я постоянно пользуюсь такими вставками:
"}},{"type":"list","cover":false,"hidden":false,"anchor":"","data":{"items":["${=new Date().format(«yyyy-MM-dd’T’HH:mm:ss»)} – для вставки текущей даты и времени в необходимом формате;","${=java.util.UUID.randomUUID()} – для вставки корректно сформированного случайного GUID."],"type":"UL"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Полноценные скрипты можно использовать в качестве шагов в кейсах и проверках. В какой-то момент вы обнаружите, что сразу несколько специальных шагов из пятого уровня можно заменить одним скриптом.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 7 – использую MockServices"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"SoapUI на основе WSDL может генерировать Mock-объекты. Mock-объект – это простейшая симуляция сервиса. С помощью «моков» можно начать писать и отлаживать тест-кейсы еще до того, как сервис реально будет доступен для тестирования. Также их можно использовать в качестве «заглушек» для временно недоступных сервисов.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h3","text":"Уровень 8 – бог SoapUI"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Вы знаете разницу между платной и бесплатной версиями SoapUI и используете SoapUI API в коде. Вы используете плагины и запускаете выполнение кейсов через командную строку и/или CI. Ваши тест-кейсы просты и легко поддерживаются. В общем, вы «съели собаку» на этом инструменте. Я бы с радостью пообщалась с тем, кто освоил SoapUI на таком уровне. Если вы являетесь таковым – отпишитесь в комментариях!
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h2","text":"Тестирование с помощью языков программирования"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"В какой-то момент у вас может возникнуть мысль, что проще писать тесты не в SoapUI, а просто на языках программирования. Это нормально. Будучи UI-инструментом, SoapUI имеет свои недостатки, которые в лучшем случае решаются приобретением платной версии, а в худшем – «костылями» и большими затратами времени на поддержку тестов. Для работы с протоколом SOAP в языках программирования существуют специальные библиотеки. Так, в Java можно использовать Axis2 (подробные примеры доступны в серии статей на IBM developerWorks), в Python – библиотеки suds либо zeep, в Groovy – библиотеку groovy-wslite.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Приведу пример того, как выглядит запрос к YandexSpeller API, выполненный с помощью groovy-wslite:
"}},{"type":"code","cover":false,"hidden":false,"anchor":"","data":{"text":"import wslite.soap.*\ndef client = new SOAPClient('http://speller.yandex.net/services/spellservice?WSDL')\ndef response = client.send(SOAPAction: 'http://speller.yandex.net/services/spellservice/checkText') {\nbody {\nCheckTextRequest('lang': 'ru', 'xmlns':'http://speller.yandex.net/services/spellservice') {\ntext('ошипка')\n}\n}\n}\nassert 'ошибка' == response.CheckTextResponse.SpellResult.error.s.text()\nassert '1' == response.CheckTextResponse.SpellResult.error.@code.text()","lang":""}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Насколько я знаю, высокоуровневых фреймворков (по типу Rest-assured) для тестирования SOAP пока не существует, но появился интересный инструмент – karate. С его помощью можно описывать кейсы для тестирования SOAP и REST в виде сценариев по типу Cucumber / Gherkin. Для многих тестировщиков обращение к karate будет идеальным решением, ведь такие сценарии по сложности написания и поддержки кейсов будут лежать где-то посередине между использованием SoapUI и написанием собственного фреймворка для тестирования SOAP.
"}},{"type":"header","cover":false,"hidden":false,"anchor":"","data":{"style":"h2","text":"Заключение"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Вряд ли вам когда-либо захочется тестировать SOAP просто так, для себя (как могло бы получиться с REST-ом). Это тяжеловесный протокол, который используется в серьезных корпоративных решениях. Но его тяжеловесность одновременно является подарком тестировщику: все используемые технологии стандартизированы, имеются качественные инструменты для работы. От тестировщика требуется лишь желание их изучить и использовать.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Давайте соберем воедино тот самый чек-лист необходимых навыков для тестировщика. Итак, если вы только начинаете тестировать SOAP сервисы, вам нужно знать и уметь использовать:
"}},{"type":"list","cover":false,"hidden":false,"anchor":"","data":{"items":["XML.","XSD.","WSDL.","SOAP.","Редакторы XML / XSD (на уровне визуализации XSD).","SoapUI на уровне 1."],"type":"UL"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Как видите, основной упор приходится на изучение стандартов, в SoapUI достаточно просто уметь выполнять запросы. По мере погружения в тестирование SOAP перед вам будут возникать задачи, которые потребуют уже более серьезных навыков и знаний, но не стоит пытаться изучить всё и сразу. Гораздо важнее последовательность в повышении уровня сложности выполняемых задач. Следуя этой рекомендации, в один прекрасный момент вы поймете, что стали хорошим специалистом в этой области!
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Изучайте! Удачи!
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"#soap #api #restapi #qualitylab #softwaretesting #qa #тестирование #тестированиепо #партнерство #изучаем #qaengineer
"}}],"summaryContent":null,"isExistSummaryContent":false,"warningFromEditor":null,"warningFromEditorTitle":null,"counters":{"comments":0,"favorites":1,"reposts":0,"views":392,"hits":1783,"reads":null,"online":0},"dateFavorite":0,"hitsCount":1783,"isCommentsEnabled":true,"isLikesEnabled":true,"isRemovedByUserRequest":false,"isFavorited":false,"isPinned":false,"repostId":null,"repostData":null,"subscribedToTreads":false,"isEditorial":false,"isAudioAvailable":false,"audioUrl":null,"isAudioAvailableToGenerate":false,"commentEditor":{"enabled":true,"who":null,"text":"","until":null,"reason":null,"type":"everybody"},"isBlur":false,"isPublished":true,"isDisabledAd":false,"withheld":[],"ogTitle":null,"ogDescription":"Тестирование SOAP API, основы SOAP и WSDL, работа с XML и XSD, инструменты для тестирования, советы для тестировщиков и менеджеров.","url":"https://vc.ru/services/1924757-testirovanie-soap-api-osnovnye-principy-i-instrumenty","author":{"id":1894539,"name":"Лаборатория Качества","nickname":null,"description":"Тестируем сайты, ПО, приложения и другие IT-продукты на аутсорсинге. NDA. Контакты и подробности о нас: quality-lab.ru","uri":"","avatar":{"type":"image","data":{"uuid":"3672385d-5e78-50ad-9425-fd4867549300","width":2040,"height":2040,"size":2188090,"type":"png","color":"065e84","hash":"","external_service":[],"base64preview":"/9j/4AAQSkZJRgABAQIAHAAcAAD/2wBDAAMCAgICAgMCAgIDAwMDBAYEBAQEBAgGBgUGCQgKCgkICQkKDA8MCgsOCwkJDRENDg8QEBEQCgwSExIQEw8QEBD/2wBDAQMDAwQDBAgEBAgQCwkLEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBD/wAARCAAKAAoDAREAAhEBAxEB/8QAFwAAAwEAAAAAAAAAAAAAAAAAAwQGB//EACYQAAIBAgQFBQAAAAAAAAAAAAECAwQFABESIQYHIjFRExRCYXP/xAAYAQACAwAAAAAAAAAAAAAAAAAEBwACA//EAB8RAQACAQMFAAAAAAAAAAAAAAEAAwIEERITFCFBUf/aAAwDAQACEQMRAD8AyCzcvprlwnNxi92tlHCsjg+vqV9ajZU6dyfAPbDPy1HTtKwd4k69LldQ2uQEjffXE7hny/PBfNgHb4fIe61dUSaI1Mpp061i1nQrEDMhewJyGZ+hiZhyX3K0ZLWYr4j8M0ohjAlcAKPkfGMmE7s//9k="}},"cover":{"cover":{"type":"image","data":{"uuid":"0834afcd-a0e5-55d7-9800-d93ff34c512d","width":1473,"height":480,"size":93718,"type":"jpg","color":"dbeaf0","hash":"","external_service":[],"base64preview":"/9j/4AAQSkZJRgABAQEASABIAAD/2wBDAAMCAgMCAgMDAwMEAwMEBQgFBQQEBQoHBwYIDAoMDAsKCwsNDhIQDQ4RDgsLEBYQERMUFRUVDA8XGBYUGBIUFRT/2wBDAQMEBAUEBQkFBQkUDQsNFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBT/wAARCAAKAAoDASIAAhEBAxEB/8QAFgABAQEAAAAAAAAAAAAAAAAABAMJ/8QAIBAAAgEEAgMBAAAAAAAAAAAAAQIRAAMEEgUxIVFhof/EABUBAQEAAAAAAAAAAAAAAAAAAAQF/8QAFxEAAwEAAAAAAAAAAAAAAAAAAAECEf/aAAwDAQACEQMRAD8A0a4XBPEHK1yGyLjJDi+zOsiZ1nqhvk5CuwGMWAMA7Dz+0vYgsZMt2fdRNm2SSUUk/KQkTLrWf//Z"}},"cover_y":100},"achievements":[{"title":"Год на vc.ru","code":"registration_1_year","description":"Первый год с vc.ru. Получена 24 июля 2025.","previewUuid":"0d11c244-49de-50e7-894e-b9b27945d42b","formats":{"glb":"https://static.vc.ru/achievements/fish.glb","usdz":"https://static.vc.ru/achievements/fish.usdz"},"viewData":{"contentColor":"#C67AA3","textMaxWidth":0.634765625,"textX":0.5888671875,"textY":0.54296875,"logoX":0.5859375,"logoY":0.6669921875,"logoXNoText":0.6044921875,"logoYNoText":0.5439453125},"id":3564532,"userId":1894539,"count":0,"shareImage":"https://api.vc.ru/achievements/share/3564532"}],"lastModificationDate":1764915120,"isSubscribed":false,"isSubscribedToNewPosts":false,"isMuted":false,"isAvailableForMessenger":true,"badgeId":null,"isDonationsEnabled":true,"isPlusGiftEnabled":true,"isUnverifiedBlogForCompanyWithoutPro":true,"isRemovedByUserRequest":false,"isFrozen":false,"isDisabledAd":false,"isPlus":false,"isVerified":false,"isPro":false,"yandexMetricaId":null,"badge":null,"isOnline":false,"tgChannelShortname":null,"isUnsubscribable":true,"type":1,"subtype":"personal_blog"},"subsite":{"id":200396,"name":"Сервисы","description":"Новые сервисы, обновления инструментов, опыт использования и полезные приёмы.","uri":"/services","avatar":{"type":"image","data":{"uuid":"158fab2d-76c1-5ed8-898a-76ee48d4c795","width":1200,"height":1200,"size":99571,"type":"png","color":"7cdaea","hash":"08183848d81000","external_service":[]}},"cover":{"type":"image","data":{"uuid":"c3fe3abb-6808-527e-9eb1-2b6bb92ea400","width":3840,"height":1120,"size":19502,"type":"png","color":"7cdcec","hash":"","external_service":[]}},"lastModificationDate":1688995401,"isSubscribed":false,"isSubscribedToNewPosts":false,"isMuted":false,"isAvailableForMessenger":false,"isDisabledAd":false,"nickname":"services","isUnsubscribable":true,"badge":null,"badgeId":null,"isDonationsEnabled":false,"isOnline":false,"isPlus":false,"isUnverifiedBlogForCompanyWithoutPro":false,"isVerified":false,"isRemovedByUserRequest":false,"isFrozen":false,"isPro":false,"type":2,"subtype":"community"},"reactions":{"counters":[{"id":2,"count":1}],"reactionId":0},"isNews":false,"source":null,"clusters":[],"donations":{"amount":0,"isDonated":false},"commentsSeenCount":null}},{"type":"entry","data":{"id":1144006,"customUri":null,"subsiteId":1477818,"title":"Подборка лучших инструментов для Red / Blue Team №1","date":1713985204,"dateModified":1713985204,"blocks":[{"type":"text","cover":true,"hidden":false,"anchor":"","data":{"text":"Мы собрали лучшие популярные инструменты для команд Red и Blue team. Они помогут вам провести полноценное тестирование безопасности вашей системы, выявить слабые места и улучшить уровень защиты от киберугроз. Независимо от того, какая у вас команда, эти инструменты помогут вам повысить безопасность ваших информационных систем.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для управления и контроля:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Havoc — фреймворк для управления атаками и координации действий взломщика.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Empire — мощный фреймворк для пост-эксплуатации и управления захваченными системами.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Evil-winrm — инструмент для удаленного управления Windows через WinRM.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для сканирования уязвимостей веб-приложений:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Gobuster — инструмент для перебора (brute-force) директорий и файлов в веб-приложениях.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Nuclei — быстрый сканер уязвимостей на основе шаблонов.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для обхода систем обнаружения и защиты:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Freeze — инструмент для создания вредоносного ПО, способного избегать обнаружения EDR-системами.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Mangle — утилита для модификации PE-файлов с целью обхода антивирусной защиты.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для фишинговых кампаний:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Gophish — открытая платформа для создания и управления фишинговыми кампаниями.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Beef-XSS — фреймворк для проведения атак типа \"межсайтовый скриптинг\" (XSS).
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для повышения привилегий и пост-эксплуатационных действий:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• PEASS-ng — набор скриптов для обнаружения уязвимостей и повышения привилегий.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Moriarty — чекер CVE на скомпрометированной Windows машине.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для работы с Active Directory:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• BloodHound — инструмент для анализа отношений доверия в Active Directory и идентификации путей атак.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Snaffler — инструмент для поиска интересующих файлов и учетных данных в сетях Windows.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Crackmapexec — утилита для тестирования сетей на основе протокола SMB.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты для извлечения и взлома паролей:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• LaZagne — утилита для извлечения паролей из различных локальных источников на компьютере с ОС Windows.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Mimikatz — инструмент для извлечения учетных данных, включая текстовые пароли, хеши и тикеты Kerberos.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Инструменты Синей Команды (Blue Team Tools):
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Nmap — сканирование сети и аудит безопасности.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Wireshark — анализ сетевого трафика.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Snort — обнаружение и предотвращение вторжений.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Zeek — глубокий анализ трафика.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Управление уязвимостями и инцидентами:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Nessus — сканирование уязвимостей.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• TheHive — управление инцидентами.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Логирование и анализ данных:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Splunk — анализ данных и мониторинг.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Sysmon — мониторинг событий Windows.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Logstash — обработка данных журналов.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Обратное проектирование и анализ кода:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• IDA — дизассемблирование и отладка.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Radare2 — обратное проектирование.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Обработка и анализ данных:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• YARA — классификация вредоносного ПО.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• CyberChef — преобразование данных.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Дополнительные инструменты для анализа угроз:
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• yarGen — генерация YARA-правил.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• Autopsy — цифровая форензика.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• maltrail — обнаружение зловредного трафика.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• chainsaw — анализ Windows Event Log.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"• APT-Hunter — обнаружение APT.
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"Ссылки на инструменты тут, подпишись!
"}},{"type":"text","cover":false,"hidden":false,"anchor":"","data":{"text":"#информационнаябезопасность #тестированиепо #хакеры #софт
"}}],"summaryContent":null,"isExistSummaryContent":false,"warningFromEditor":null,"warningFromEditorTitle":null,"counters":{"comments":0,"favorites":4,"reposts":0,"views":317,"hits":37,"reads":null,"online":0},"dateFavorite":0,"hitsCount":37,"isCommentsEnabled":true,"isLikesEnabled":true,"isRemovedByUserRequest":false,"isFavorited":false,"isPinned":false,"repostId":null,"repostData":null,"subscribedToTreads":false,"isEditorial":false,"isAudioAvailable":false,"audioUrl":null,"isAudioAvailableToGenerate":false,"commentEditor":{"enabled":true,"who":null,"text":"","until":null,"reason":null,"type":"everybody"},"isBlur":false,"isPublished":true,"isDisabledAd":false,"withheld":[],"ogTitle":null,"ogDescription":null,"url":"https://vc.ru/services/1144006-podborka-luchshih-instrumentov-dlya-red-blue-team-o1","author":{"id":1477818,"name":"Life-Hack Жизнь-Взлом","nickname":null,"description":"https://t.me/haccking - Сообщество по информационной безопасности. Взлом, защита от хакерских атак. IT-технологии. Kali Linux. Взлом ПК, взлом Wi-Fi.","uri":"","avatar":{"type":"image","data":{"uuid":"b8e9dfbf-2bcf-577e-b9bb-10faab726b07","width":640,"height":640,"size":24427,"type":"jpg","color":"e9e9dc","hash":"","external_service":[]}},"cover":{"cover":{"type":"image","data":{"uuid":"a722afa9-0d16-5c10-9718-f2ae31a44f5d","width":1590,"height":400,"size":91437,"type":"jpg","color":"0a110d","hash":"","external_service":[]}},"cover_y":0},"achievements":[{"title":"Год на vc.ru","code":"registration_1_year","description":"Первый год с vc.ru. Получена 24 июля 2025.","previewUuid":"0d11c244-49de-50e7-894e-b9b27945d42b","formats":{"glb":"https://static.vc.ru/achievements/fish.glb","usdz":"https://static.vc.ru/achievements/fish.usdz"},"viewData":{"contentColor":"#C67AA3","textMaxWidth":0.634765625,"textX":0.5888671875,"textY":0.54296875,"logoX":0.5859375,"logoY":0.6669921875,"logoXNoText":0.6044921875,"logoYNoText":0.5439453125},"id":3976272,"userId":1477818,"count":0,"shareImage":"https://api.vc.ru/achievements/share/3976272"}],"lastModificationDate":1764915120,"isSubscribed":false,"isSubscribedToNewPosts":false,"isMuted":false,"isAvailableForMessenger":true,"badgeId":null,"isDonationsEnabled":false,"isPlusGiftEnabled":true,"isUnverifiedBlogForCompanyWithoutPro":true,"isRemovedByUserRequest":false,"isFrozen":false,"isDisabledAd":false,"isPlus":false,"isVerified":false,"isPro":false,"yandexMetricaId":null,"badge":null,"isOnline":false,"tgChannelShortname":null,"isUnsubscribable":true,"type":1,"subtype":"personal_blog"},"subsite":{"id":200396,"name":"Сервисы","description":"Новые сервисы, обновления инструментов, опыт использования и полезные приёмы.","uri":"/services","avatar":{"type":"image","data":{"uuid":"158fab2d-76c1-5ed8-898a-76ee48d4c795","width":1200,"height":1200,"size":99571,"type":"png","color":"7cdaea","hash":"08183848d81000","external_service":[]}},"cover":{"type":"image","data":{"uuid":"c3fe3abb-6808-527e-9eb1-2b6bb92ea400","width":3840,"height":1120,"size":19502,"type":"png","color":"7cdcec","hash":"","external_service":[]}},"lastModificationDate":1688995401,"isSubscribed":false,"isSubscribedToNewPosts":false,"isMuted":false,"isAvailableForMessenger":false,"isDisabledAd":false,"nickname":"services","isUnsubscribable":true,"badge":null,"badgeId":null,"isDonationsEnabled":false,"isOnline":false,"isPlus":false,"isUnverifiedBlogForCompanyWithoutPro":false,"isVerified":false,"isRemovedByUserRequest":false,"isFrozen":false,"isPro":false,"type":2,"subtype":"community"},"reactions":{"counters":[{"id":1,"count":1}],"reactionId":0},"isNews":false,"source":null,"clusters":[],"donations":{"amount":0,"isDonated":false},"commentsSeenCount":null}}],"ogTitle":null,"ogDescription":null,"isAnonymized":true}};