💸 Як збанкрутувати стартап за ніч (без зламів і вірусів): Анатомія SMS-BombingПривіт, екіпаж! Сьогодні ми не будемо шукати вразливості в базі даних чи падіння бекенду. Сьогодні ми поговоримо про баг, через який сервери працюють ідеально, статус 200 OK світиться зеленим, а компанія втрачає тисячі доларів щохвилини. ☕️Уявіть ситуацію: ви тестуєте форму реєстрації або скидання пароля. Вводите номер телефону, тиснете "Отримати код". Приходить SMS. Ви перевіряєте, чи правильний код, і ставите в тікеті Pass.А тепер подивіться на це очима хакера або конкурента.Компанія платить за кожну відправлену SMS через сервіси типу Twilio чи MessageBird (в середньому $0.05 - $0.10 за повідомлення).Що буде, якщо я відкрию Postman або напишу простенький скрипт на Python, який буде відправляти POST-запит на ендпоінт /api/send-otp 10 000 разів на секунду?Якщо бекенд не захищений, він радісно скаже: "О, клієнт хоче SMS! Відправляю!"За одну ніч ваш скрипт зробить 1 мільйон запитів. На ранок фаундери стартапу прокинуться і побачать рахунок від провайдера на $50,000. Рахунок компанії заморожений, бізнес банкрут. І для цього не треба було ламати базу даних!Ця вразливість називається Lack of Rate Limiting (Відсутність ліміту запитів), і це найпопулярніша діра в нових проєктах.Як QA має захистити компанію від банкрутства? (Краш-тест)Якщо у вас на проєкті є будь-які платні інтеграції (SMS, перевірка документів через ШІ, платні email-розсилки, генерація PDF), ви зобов'язані провести ці тести:⏱️ Тест "Скажений клікер" (Базовий Rate Limit)Відкрийте консоль браузера (або Postman) і відправте 50 однакових запитів на отримання SMS за 5 секунд.Здоровий бекенд має пропустити перші 3-5 запитів, а на всі інші жорстко відповісти 429 Too Many Requests (Забагато запитів. Спробуйте через 60 секунд). Якщо бекенд "з'їв" усі 50 — бийте на сполох. 🧩 Перевірка "Сліпого" CAPTCHAЧи стоїть у вас CAPTCHA (або Cloudflare/reCAPTCHA v3) на формах логіну чи реєстрації? Якщо її немає, API-запити можна крутити нескінченно. Важливий нюанс для QA: CAPTCHA має перевірятися на бекенді, а не просто приховувати кнопку на фронтенді. 🎭 Тест "Розумного спамера" (Обхід IP)Іноді розробники ставлять ліміт "не більше 5 SMS на один номер". Хакер бере базу з 10 000 різних злитих номерів і б'є по них зі свого IP.Як тестувати: перевірте, чи є у вас ліміт запитів не тільки на номер телефону чи імейл, але й на саму IP-адресу клієнта. Висновок: Якість продукту — це не тільки зручний інтерфейс. Це ще й фінансова безпека. Якщо ви як QA зловите відсутність Rate Limiting до виходу на прод, ви буквально врятуєте компанію від розорення.А у вас на проєкті стоять ліміти на запити? 👇🔥 — Так, у нас налаштований жорсткий Rate Limiting і Cloudflare!👀 — Здається, я можу клікати "Відправити код" нескінченно...🤯 — Прямо зараз іду перевіряти, чи зможу я збанкрутувати нашу компанію на тестовому середовищі!