💸 Як збанкрутувати власну компанію за 10 хвилин (Або чому QA має тестувати гаманець, а не тільки код)Привіт, екіпаж! Сьогодні говоримо про найдорожчі баги у світі. Коли ми чуємо про "DDoS-атаку", ми уявляємо хакерів, які кладуть сервери. Але в епоху хмарних технологій сервери більше не падають — вони просто автоматично масштабуються і виставляють власнику величезний рахунок за AWS або Google Cloud.Цей клас вразливостей називається EDoS (Economic Denial of Sustainability). Ваш додаток працює ідеально, але гроші компанії вилітають у трубу. І знайти цю діру — прямий обов'язок сучасного QA. ☕️Ось 3 вектори "фінансових атак", які ви маєте перевірити на своєму проєкті вже сьогодні:📱 SMS-Бомбінг (Золоті OTP-коди)Ви тестуєте форму логіну або реєстрації, де юзеру приходить код у SMS. Одна SMS через Twilio чи MessageBird коштує компанії приблизно $0.05.Що робить QA: Відкриває Postman (або звичайну консоль браузера) і пише цикл на 10 000 запитів до ендпоінту /api/send-otp.Очікування: Нормальний бекенд має Rate Limiting (обмеження) — наприклад, не більше 3 SMS на один номер за 15 хвилин, і не більше 100 SMS з однієї IP-адреси. Якщо лімітів немає, скрипт школяра спустошить бюджет стартапу на $500 за одну годину. 🧠 Випалювання AI-токенів (LLM Drain)Якщо ваш продукт інтегрований з ШІ (наприклад, генерація тексту, аналіз резюме чи переклад), кожен виклик API OpenAI чи Anthropic коштує грошей.Що робить QA: Знаходить в інтерфейсі поле вводу, яке тригерить запит до LLM (наприклад, "Автокомпліт" або "Аналіз"). Якщо фронтендер забув поставити debounce (затримку перед відправкою), або бекенд не кешує однакові запити, банальне затискання клавіші пробілу на 10 секунд може відправити 50 запитів до платного ШІ. Ви маєте гарантувати, що юзер не зможе викликати важкі моделі безконтрольно. 🗄 Атака на Пагінацію (Death by Limit=999999)Ви тестуєте таблицю з користувачами або транзакціями. Фронтенд робить запит: GET /api/users?page=1&limit=20.Що робить QA: Перехоплює запит і змінює ліміт на limit=1000000.Очікування: Сервер має відповісти 400 Bad Request і сказати "Максимальний ліміт — 100". Якщо ж сервер покірно йде в базу даних, намагається дістати мільйон записів і серіалізувати їх у JSON, він забирає на себе 100% CPU та оперативної пам'яті. Хмара автоматично піднімає ще 5 серверів, щоб впоратись із навантаженням. Бінго, ви щойно згенерували компанії рахунок за інфраструктуру на порожньому місці. Висновок: Ніколи не довіряйте фронтенд-валідації і завжди перевіряйте ліміти на рівні API. QA у 2026 році — це не просто людина, яка шукає помилки в логіці. Це інженер, який захищає бізнес від економічного колапсу.