Тестирование безопасности для обычного QA: как найти уязвимости, не будучи пентестером

Каждый QA слышал о тестировании безопасности, но большинство считает его делом узких специалистов — пентестеров. А что, если обычный тестировщик может и должен участвовать в защите продукта? В докладе я покажу, как функциональный тестировщик без глубоких знаний в security может находить реальные уязвимости, опираясь на базовые принципы и типовые ошибки. На примерах из реального проекта я разберу ключевые классы уязвимостей из OWASP Top-10 — от Broken Access Control до SSRF — и покажу, как их можно выявить с помощью простых, но системных проверок. Вы узнаете, как внедрить «гигиену безопасности» в повседневную работу QA-команды, и почему даже минимальные усилия могут предотвратить серьёзные инциденты. Доклад основан на практическом опыте: за несколько месяцев команда тестировщиков нашла более 15 уязвимостей, не обладая специальными инструментами или доступом к внутреннему коду.