Добавить в корзинуПозвонить
Найти в Дзене
РУТЕСТ - все о нагрузочном и функциональном тестировании
14 подписчиков

Почему ваш финтех-сервис может «лечь» именно в момент пиковой нагрузки, и при чем тут нагрузочные тесты?

2
2 мин
Представьте ситуацию: ваш финтех-проект запускает крупную акцию. Трафик растет, вы спокойны за сервера, но внезапно приложение начинает «тормозить», а потом и вовсе перестает отвечать. Многие привыкли винить в этом слабые сервера, но реальность такова: часто «виновником торжества» становится ваша же защита. Web Application Firewall – это узкое горлышко системы, которое обязано инспектировать каждый входящий запрос. Если он настроен некорректно, защита превращается в идеальный инструмент для само-DDoS'а. Многие инженеры до сих пор оценивают производительность защиты методами двадцатилетней давности, например, используя стандарт RFC 2544. Но вот в чем проблема: Как одна строчка кода чуть не обрушила финтех-платформу Проводилось тестирование WAF известного производителя для одной финтех-платформы. Задача была предельно ясной: выдержать пиковую нагрузку при включенных правилах блокировки из списка OWASP Top 10. Как проходил тест: Результат оказался шокирующим: как только нагрузка достигла

Представьте ситуацию: ваш финтех-проект запускает крупную акцию. Трафик растет, вы спокойны за сервера, но внезапно приложение начинает «тормозить», а потом и вовсе перестает отвечать. Многие привыкли винить в этом слабые сервера, но реальность такова: часто «виновником торжества» становится ваша же защита. Web Application Firewall – это узкое горлышко системы, которое обязано инспектировать каждый входящий запрос. Если он настроен некорректно, защита превращается в идеальный инструмент для само-DDoS'а.

Многие инженеры до сих пор оценивают производительность защиты методами двадцатилетней давности, например, используя стандарт RFC 2544. Но вот в чем проблема:

  • RFC 2544 показывает лишь пропускную способность порта на уровнях L2/L3
  • Этот тест абсолютно ничего не знает про HTTP-заголовки, SQL-инъекции или сложные JSON-структуры
  • Для современного WAF такие тесты практически бесполезны

Как одна строчка кода чуть не обрушила финтех-платформу

Проводилось тестирование WAF известного производителя для одной финтех-платформы. Задача была предельно ясной: выдержать пиковую нагрузку при включенных правилах блокировки из списка OWASP Top 10.

Как проходил тест:

  1. Полностью эмулировалось поведение реальных пользователей: переводы, проверка баланса, поиск по операциям.
  2. К этому легитимному трафику подмешивалось всего 5% вредоносных запросов (XSS и SQL-инъекции).

Результат оказался шокирующим: как только нагрузка достигла 80% от заявленной в документации, WAF начал «захлебываться». Задержка выросла с 5 миллисекунд до 2 секунд! Для финансового приложения такая задержка равносильна полной неработоспособности.

В чем была причина? Все дело в одном некорректном регулярном выражении в правиле защиты от XSS. Если бы такая проблема вскрылась не во время тестов, а в реальной эксплуатации, компания теряла бы деньги и лояльность клиентов каждую минуту. Нагрузочный тест позволил найти это «токсичное» правило и оптимизировать настройки до того, как случилась авария.

Помните: ошибка «на бумаге» стоит копейки. Ошибка в работающем продукте всегда стоит репутации. Если вы отвечаете за безопасность или архитектуру в ИТ продукте, относитесь к нагрузочным тестам как к обязательному этапу перед любым крупным запуском или изменением правил. Важно не просто «прогнать трафик», а воспроизвести реальные сценарии клиентов, добавить долю вредоносных запросов и смотреть не только на RPS, но и на задержки, поведение CPU и памяти под разными типами правил.

Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.

Бизнес и финансы
1,13 млн интересуются