QA на практике
Реальные баг-репорты, интерактивный запуск тестов и понятные QA-артефакты, которые показывают, как мы снижаем риск релиза до выхода в продакшн.
Доказательства до контакта
Реальные примеры QA
Эта страница работает как короткий proof-pack: вместо абстрактных обещаний вы сразу видите формат баг-репортов, уровень детализации и качество QA-артефактов, с которыми будет работать ваша команда.
Как Мы Работаем С Репортом
Как мы оформляем находки
Проблема
Фиксируем проблему, контекст, окружение и шаги воспроизведения без двусмысленности.
Влияние
Показываем, что именно ломается для пользователя, бизнеса или релиза.
Рекомендация
Даём более безопасное направление исправления и что проверить после изменений.
Повторная проверка
После фикса повторно проходим сценарий и подтверждаем фактический статус.
Формат реального отчёта
Примеры баг-репортов
PAY-001
КРИТИЧЕСКИЙ
Таймаут платёжного шлюза
Оплата не проходит, когда ответ провайдера занимает более 15 секунд. Пользователи теряют заказы и деньги.
Окружение: Продакшн, Chrome 120, сеть 3G
Шаги воспроизведения:
- Добавить товар в корзину
- Перейти к оформлению
- Ввести данные карты
- Нажать "Оплатить" на медленном соединении
Фактический результат: Ошибка таймаута "Сессия завершилась" спустя 15 с
Ожидаемый результат: Платёж обрабатывается или показывается кнопка повтора
Рекомендации:
- Увеличить таймаут до 30 секунд
- Добавить механизм повторов (3 попытки)
- Показывать индикатор прогресса
RULE-001
КРИТИЧЕСКИЙ
Processing продолжает поиск транзакций после отклонения Travel Rule
Сервис processing-service продолжает поиск и обработку транзакций даже после того, как сервис Travel Rule возвращает статус отклонения (DECLINED).
Окружение: Продакшн, Процессинг, Travel Rule
Шаги воспроизведения:
- Создать инвойс или транзакцию
- Дождаться запуска проверки Travel Rule
- Вернуть ответ DECLINED от сервиса Travel Rule
- Проверить логи processing-service и активность очередей
- Убедиться, что поиск транзакции продолжается после отклонения
Фактический результат:
Processing-service продолжает поиск и обработку транзакций после отклонения проверки Travel Rule.
Ожидаемый результат:
Processing-service должен немедленно прекращать поиск и дальнейшую обработку
транзакций после получения статуса отклонения от Travel Rule.
Рекомендации:
- Немедленно завершать transaction-search после статуса DECLINED
- Добавить early-stop механизм для processing pipeline
- Блокировать создание новых processing jobs после отказа Travel Rule
- Добавить guard-check перед каждым этапом обработки транзакции
- Логировать причину остановки processing flow
- Покрыть сценарий integration и e2e тестами
RPC-018
КРИТИЧЕСКИЙ
Polygon RPC provider возвращает некорректные block data
Polygon RPC провайдеры (Infura, Alchemy, GetBlock) периодически возвращают
некорректные block payloads, которые не проходят десериализацию из-за
DeserError: BlockTransactions во время обработки блоков.
Окружение:
Продакшн, Polygon RPC, Infura / GetBlock
Шаги воспроизведения:
- Подключиться к Polygon RPC через Infura или Alchemy
- Запросить block data через
eth_getBlockByNumber - Попытаться десериализовать
BlockTransactions - Проверить появление периодических
DeserError
Фактический результат:
Десериализация блоков периодически завершается ошибкой
DeserError, из-за чего RPC backend пропускает затронутые блоки.
Ожидаемый результат:
Block data должны корректно десериализоваться, включая поддержку
EIP-4844 blob transactions.
Рекомендации:
- Обновить логику десериализации транзакций для поддержки EIP-4844
- Добавить fallback parsing для неизвестных transaction variants
- Реализовать retry и provider failover для некорректных RPC-ответов
- Логировать номера проблемных блоков и ответы провайдеров
- Валидировать RPC payload schema перед обработкой транзакций
- Покрыть blob transaction сценарии regression и integration тестами
INV-024
КРИТИЧЕСКИЙ
Crypto invoice ожидает полный timeout без обнаруженного депозита
Crypto invoices остаются в состоянии AwaitingCryptoDeposit
до полного expires_at timeout (5-10+ часов), даже если
blockchain transaction так и не была обнаружена, что создает плохой UX
в payment widget.
Окружение:
Продакшн, payment-invoices, crypto payment widget
Шаги воспроизведения:
- Создать crypto invoice и открыть payment widget
- Проверить состояние
AwaitingCryptoDeposit - Не отправлять crypto transaction
- Дождаться окончания deposit detection window
- Убедиться, что invoice продолжает ожидание до
expires_at
Фактический результат:
Invoice остается активным в течение полного timeout периода (5-10+ часов).
Step_02 продолжает polling oracle-pool примерно каждые 2 минуты и получает
ответы
"Transaction still not found", в то время как widget
продолжает показывать "awaiting payment".
Ожидаемый результат:
Invoices без обнаруженных blockchain transactions должны завершаться
раньше после окончания deposit detection window, тогда как полный
expires_at timeout должен применяться только после
обнаружения транзакции.
Рекомендации:
- Реализовать two-tier timeout логику для crypto invoices
- Добавить early expiry для invoices без обнаруженных транзакций
- Сохранять возможность cancel во время deposit detection window
- Не завершать invoice, если oracle-pool уже обнаружил in-flight transaction
- Отписывать oracle-pool listeners при любом expiry state
- Вынести invoice timeout values в configurable environment variables
C2F-011
КРИТИЧЕСКИЙ
GetInvoice возвращает 500 после oracle-pool callback
После получения oracle-pool callback endpoint
GetInvoice возвращает
500 Internal Server Error вместо корректного invoice object.
Окружение:
Development, payment-invoices, oracle-pool callback flow
Шаги воспроизведения:
- Создать invoice через
PaymentInvoicesService.CreateInvoice - Убедиться, что invoice имеет статус
pending.awaiting_crypto_deposit - Вызвать
GetInvoiceи проверить, что endpoint работает до callback - Отправить
POST /v1/callbacks/oracle-poolсоstatus=1иconfirmations=1 - Повторно вызвать
GetInvoiceдля того жеinvoice_id
Фактический результат:
GetInvoice возвращает
500 Internal Server Error после обработки oracle-pool callback.
Ожидаемый результат:
GetInvoice должен возвращать корректный invoice object
с обновленным статусом:
pending.awaiting_checks,
pending.awaiting_exchange
или expired.
Рекомендации:
- Проверить invoice state transitions после oracle-pool callback
- Добавить null и schema validation перед invoice serialization
- Логировать callback payloads и invoice state mutations для debugging
- Не допускать некорректные invoice states в GetInvoice response mapping
- Добавить fallback error handling для malformed callback data
- Покрыть callback-to-GetInvoice flow integration и regression тестами
AUTH-042
ВЫСОКИЙ
Токен сессии в URL
Токен аутентификации виден в адресной строке браузера, что позволяет перехват через историю браузера или логи прокси.
Окружение: Все браузеры, после OAuth-входа
Шаги воспроизведения:
- Нажать "Войти через Google"
- Завершить OAuth-авторизацию
- Проверить URL после редиректа
Фактический результат: Токен виден:
site.com/home?token=abc123
Ожидаемый результат: Токен хранится только в httpOnly cookie
Рекомендации:
- Убрать токен из URL-параметров
- Використовувати secure cookie з SameSite=Strict
- Проверить логи доступа на наличие токенов
UI-089
СРЕДНИЙ
Накладання меню на iPhone SE
Пункты меню навигации накладываются друг на друга на экранах меньше 375px.
Окружение: iOS Safari, iPhone SE (375×667)
Шаги воспроизведения:
- Открыть сайт на iPhone SE
- Натиснути на меню-бургер
- Посмотреть расположение пунктов меню
Фактический результат: Пункты меню накладываются, часть из них недоступна
Ожидаемый результат: Все пункты меню видны и кликабельны
Рекомендации:
- Добавить media query для экранов <375px
- Уменьшить размер шрифта или отступы
- Тестувати на реальному iPhone SE
SYNC-014
ВЫСОКИЙ
Потеря черновика после обновления страницы
Последние изменения в длинной форме исчезают, если пользователь обновляет страницу во время задержки автосохранения.
Окружение: Стейджинг, Safari 17, нестабильный Wi-Fi
Шаги воспроизведения:
- Открыть длинную форму с автосохранением
- Вводить данные 20-30 секунд
- Обновить страницу во время синхронизации
Фактический результат: Последние изменения исчезают без предупреждения
Ожидаемый результат: Черновик восстанавливается или показывается предупреждение о несохранённых изменениях
Рекомендации:
- Хранить несинхронизированное состояние локально
- Добавить индикатор состояния синхронизации
- Предупреждать перед перезагрузкой при наличии несохранённых изменений
ROLE-031
КРИТИЧЕСКИЙ
Эскалация прав через кеш ролей
После отзыва админ-прав пользователь ещё некоторое время может выполнять защищённые действия.
Окружение: Продакшн, SaaS админ-панель
Шаги воспроизведения:
- Снять роль администратора с существующего пользователя
- Не завершать текущую сессию
- Попробовать выполнить админ-действия
Фактический результат: Часть админ-эндпоинтов остаётся доступной до протухания кеша
Ожидаемый результат: Изменения ролей применяются сразу после обновления прав
Рекомендации:
- Инвалидировать кеш ролей после обновления прав
- Проверять роли на сервере для чувствительных действий
- Логировать попытки доступа после отзыва прав
AN-022
СРЕДНИЙ
Событие покупки не попадает в аналитику
Успешный заказ создаётся, но событие покупки не отправляется после оформления в один клик.
Окружение: Продакшн, GA4 + внутренний BI-конвейер
Шаги воспроизведения:
- Запустить оформление в один клик с сохранённой картой
- Успешно завершить оплату
- Проверить сетевые запросы и дашборд аналитики
Фактический результат: Заказ создан, но событие выручки отсутствует
Ожидаемый результат: Событие покупки отправляется один раз с корректной суммой и ID заказа
Рекомендации:
- Запускать аналитику только после подтверждённого backend-успеха
- Добавить оповещения о просадке событий покупки
- Покрыть checkout-сценарии отдельным regression-набором
PERF-017
СРЕДНИЙ
Сброс фильтров после пагинации каталога
После перехода на вторую страницу каталога активные фильтры исчезают, а список товаров меняется без предупреждения.
Окружение: Продакшн, Chrome 123, десктопный каталог
Шаги воспроизведения:
- Открыть каталог товаров
- Применить 2-3 фильтра и сортировку
- Перейти на вторую страницу результатов
Фактический результат: Фильтры сбрасываются, показываются нефильтрованные товары
Ожидаемый результат: Фильтры сохраняются при пагинации
Рекомендации:
- Добавить фильтры в URL-параметры
- Использовать History API для навигации
- Хранить состояние фильтров в sessionStorage
FILE-055
ВЫСОКИЙ
PDF-счёт доступен после выхода из аккаунта
Ссылка на инвойс продолжает открывать документ даже после завершения пользовательской сессии.
Окружение: Продакшн, клиентский портал, история инвойсов
Шаги воспроизведения:
- Войти в аккаунт и открыть историю счетов
- Скопировать прямую ссылку на PDF
- Выйти из аккаунта и открыть ссылку в новой вкладке
Фактический результат: Документ скачивается без повторной проверки доступа
Ожидаемый результат: Доступ к файлу блокируется или требует новой авторизации
Рекомендации:
- Проверять авторизацию на уровне файлового эндпоинта
- Использовать короткоживущие подписанные URL
- Добавить аудит доступа к чувствительным документам
SQL-008
КРИТИЧЕСКИЙ
SQL-инъекция в поисковом поле
Поле поиска не экранирует спецсимволы, позволяя выполнять произвольные SQL-запросы.
Окружение: Продакшн, поиск товаров, PostgreSQL 14
Шаги воспроизведения:
- Открыть каталог товаров
- Ввести в пошук:
'; DROP TABLE orders; -- - Натиснути Enter
Фактический результат: Запрос выполняется без санитизации, возможна потеря данных
Ожидаемый результат: Спецсимволы экранируются, поиск безопасен
Рекомендации:
- Использовать параметризованные запросы (prepared statements)
- Добавить валидацию ввода на уровне API
- Включить WAF-правила для SQL-инъекций
XSS-003
ВЫСОКИЙ
XSS через поле отзыва
Отзывы пользователей отображаются без экранирования HTML, позволяя выполнять скрипты.
Окружение: Продакшн, страница товара, раздел отзывов
Шаги воспроизведения:
- Открыть любой товар
- Добавить отзыв с текстом:
<script>alert('XSS')</script> - Сохранить отзыв
Фактический результат: Скрипт выполняется при просмотре отзыва другими пользователями
Ожидаемый результат: HTML-теги экранируются, текст отображается как текст
Рекомендации:
- Использовать textContent вместо innerHTML
- Добавить CSP-заголовки
- Провести аудит всех мест вывода пользовательских данных
RATE-007
СРЕДНИЙ
Отсутствие ограничения частоты запросов на API
API-эндпоинт для смены пароля не имеет ограничений на количество запросов.
Окружение: Продакшн, API-эндпоинт /api/v1/password-reset
Шаги воспроизведения:
- Отправить запрос на смену пароля
- Повторить запрос 100+ раз за минуту
- Проверить ответы сервера
Фактический результат: Все запросы обрабатываются, возможен перебор токенов
Ожидаемый результат: После 5 неудачных попыток — временная блокировка
Рекомендации:
- Добавить rate limiting (5 запросов в минуту)
- Внедрить exponential backoff
- Логировать подозрительную активность
UPLOAD-012
ВЫСОКИЙ
Загрузка исполняемых файлов
Форма загрузки аватара принимает любые типы файлов, включая .exe и .php.
Окружение: Продакшн, профиль пользователя, загрузка аватара
Шаги воспроизведения:
- Открыть настройки профиля
- Выбрать файл shell.php вместо изображения
- Загрузить файл
Фактический результат: Файл загружается и доступен по прямой ссылке
Ожидаемый результат: Ошибка валидации — разрешены только изображения
Рекомендации:
- Валидировать MIME-тип и расширение файла
- Проверять magic bytes файла
- Хранить файлы вне web-root с переименованием
PAY-014
КРИТИЧЕСКИЙ
Повторное списание после повторной оплаты
Если пользователь повторно нажимает оплату после долгого ответа провайдера, создаются два успешных списания для одного заказа.
Окружение: Продакшн, checkout, Stripe fallback flow
Шаги воспроизведения:
- Оформить заказ с банковской картой
- Дождаться задержки ответа платёжного провайдера
- Повторно нажать кнопку "Оплатить"
Фактический результат: Создаются два успешных платежа и дублирующий webhook
Ожидаемый результат: Повторное нажатие блокируется, платёж обрабатывается один раз
Рекомендации:
- Добавить idempotency key для каждого платёжного запроса
- Блокировать кнопку после первого клика до ответа провайдера
- Отдельно логировать дублирующиеся webhooks и reconciliation case
PAY-029
СРЕДНИЙ
Некорректное округление суммы при частичной оплате
При частичной оплате бонусами итоговая сумма в checkout отличается от суммы, которая передаётся в платёжный провайдер.
Окружение: Продакшн, бонусный баланс, частичная оплата картой
Шаги воспроизведения:
- Добавить товар с копейками в корзину
- Применить бонусный баланс на часть суммы
- Перейти к подтверждению оплаты картой
Фактический результат: На странице показана одна сумма, а у провайдера формируется другая
Ожидаемый результат: Сумма в UI, backend и у провайдера полностью совпадает
Рекомендации:
- Унифицировать правила округления между клиентской и серверной частями
- Работать с минимальными денежными единицами вместо чисел с плавающей точкой
- Добавить автотесты для бонусных и смешанных оплат
AN-031
ВЫСОКИЙ
Событие возврата не попадает в аналитику
После успешного refund в админ-панели событие возврата не попадает ни в GA4, ни во внутренний финансовый дашборд.
Окружение: Продакшн, админ-панель, refund workflow
Шаги воспроизведения:
- Открыть оплаченный заказ в админ-панели
- Выполнить частичный или полный возврат
- Проверить аналитические события и BI-дашборд
Фактический результат: Refund завершён, но событие о возврате не отправляется
Ожидаемый результат: Аналитика обновляется сразу после успешного refund
Рекомендации:
- Отправлять отдельную refund event после подтверждения backend-статуса
- Добавить мониторинг разрыва между orders и refunds в аналитике
- Покрыть refund flow отдельным regression-сценарием
AN-044
СРЕДНИЙ
Потеря UTM-меток после входа в аккаунт
После логина пользователя атрибуция кампании сбрасывается, и заказы попадают в отчётность как direct / none.
Окружение: Продакшн, multi-step login перед checkout
Шаги воспроизведения:
- Открыть лендинг с UTM-метками
- Перейти к товару и войти в аккаунт
- Завершить checkout и проверить source / medium
Фактический результат: Заказ регистрируется как direct / none без кампании
Ожидаемый результат: Исходные UTM-метки сохраняются до завершения покупки
Рекомендации:
- Сохранять attribution state в sessionStorage или server session
- Не перезаписывать source после auth redirect
- Добавить проверки для login-to-checkout funnel
Интерактивное демо
Демо запуска автотестов
Посмотрите, как выглядит запуск демо-набора автотестов: со статусами, сигналами риска, итогом и переходом к примеру реального QA-отчёта.
Что это показывает: типичный сценарий проверки оформления заказа со статусами прохождения, предупреждениями и сигналами, которые помогают не выпустить рискованный релиз.
Проверки оформления
~3.2 с симулированного запуска
Нажмите кнопку, чтобы увидеть не только итог, но и пример конкретных находок в отчёте
$ qanetix test --suite=checkout
Рабочие тестовые артефакты
Примеры тест-кейсов
Предусловия: Аккаунт пользователя существует, есть интернет
Шаги:
- Открыть страницу входа
- Ввести валидный email
- Ввести валидный пароль
- Нажать кнопку "Войти"
Ожидаемый результат: Редирект на дашборд, сессия создана
Предусловия: Каталог товаров загружен
Шаги:
- Открыть страницу товара
- Выбрать размер/цвет при необходимости
- Нажать "Добавить в корзину"
- Проверить обновление значка корзины
Ожидаемый результат: Товар добавлен, сумма обновлена, показано подтверждение
Предусловия: Пользователь на странице сброса пароля
Шаги:
- Ввести несуществующий email
- Нажать "Отправить ссылку"
- Наблюдать ответ системы
Ожидаемый результат: Показано общее сообщение (безопасность), письмо не отправлено
Предусловия: Аналитика включена, способ оплаты уже сохранён
Шаги:
- Открыть оформление в один клик
- Успешно завершить оплату
- Проверить сетевые запросы и события аналитики
Ожидаемый результат: Событие покупки отправляется один раз с корректной суммой и ID заказа
Предусловия: У пользователя активная админ-сессия, доступно управление ролями
Шаги:
- Снять роль администратора с пользователя в другой сессии
- Вернуться в текущую админ-сессию
- Попробовать изменить биллинг или роли других пользователей
Ожидаемый результат: Чувствительные действия блокируются сразу после изменения роли
Предусловия: Открыта длинная форма, автосохранение работает с задержкой
Шаги:
- Внести изменения в несколько полей формы
- Не ждать завершения автосохранения
- Попробовать обновить страницу или перейти в другой раздел
Ожидаемый результат: Система предупреждает о несохранённых изменениях и даёт шанс остаться на странице
Что вы получите
Что вы получаете в реальной работе
Эти примеры упрощены, но сама структура в реальных проектах такая же: воспроизводимые доказательства, понятные приоритеты, бизнес-влияние и рекомендации, которые команда может брать в работу сразу.
Приоритезированные находки
Каждый баг группируется по критичности и влиянию, чтобы команда сразу видела, что блокирует релиз, а что можно планировать отдельно.
Чёткие шаги воспроизведения
Окружение, шаги, ожидаемый и фактический результат убирают неоднозначность и экономят время разработки.
Практические рекомендации
Мы не останавливаемся на фразе “сломано”, а подсказываем зоны риска, более безопасный путь исправления и что проверить после изменений.
Быстрый первый сигнал
В фокусе всегда критические сценарии, поэтому уже первый отчёт помогает продукту и разработке принимать решения.
Нужен такой же формат QA-артефактов для вашего продукта?
Покажем, как может выглядеть QA-поддержка именно для вашей команды: с баг-репортами, ретестами, релизными рисками и понятной структурой отчёта.