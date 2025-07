By Elvira Khusainova, Senior Test Automation Engineer at Deutsche Telekom ITTC Hungary





"کیورٹی اب ایک ادارے نہیں ہے. یہ ایک سوچ ہے - اور ٹیسٹنگ وہاں ہے جہاں یہ شروع ہوتا ہے." - Elvira Khusainova

2025 میں، یہ کوئی تعجب نہیں ہے جب آپ کی موبائل اپلی کیشن کو توڑ دیا جاتا ہے.how early in the process those breaches could’ve been stoppedاگر صحیح لوگ صحیح سوالات پوچھتے ہیں تو

ان لوگوں کو زیادہ سے زیادہ، وہ QA انجینئرز ہیں. اور ہم میں سے زیادہ سے زیادہ ایکnew identity: part tester, part ethical hacker.

حملہ آوروں کی طرح سوچنے والے ٹیسٹرز

روایتی QA توقعات کی تصدیق کرنے کے بارے میں تھا. لیکن یہ صرف نصف کہانی ہے. اگر صارف صرف ایک صارف نہیں ہے - لیکن ایک مخالف؟

ایک ٹیسٹ جو صرف کچھ ثابت کرتا ہےکام کرتا ہےایک حقیقی ٹیسٹ بھی اسے ثابت کرنے کی کوشش کرنی چاہئےتوڑ سکتا ہے’’لیکن Elvira نے کہا۔‘‘

Deutsche Telekom میں اس کے موجودہ کردار میں، Elvira OWASP ZAP، Burp Suite، Postman، اور یہاں تک کہ Metasploit جیسے آلات کے ساتھ Selenium پر مبنی UI خود کار طریقے سے منسلک کرتا ہے.

ہم ایک تیز رفتار رجحان دیکھتے ہیں: ٹیسٹنگ فریم ورکز اور QA پلیٹ فارمز کو ایک بار پینٹریشن ٹیسٹروں کے لئے انفرادی خصوصیات کے ساتھ ضم کیا جاتا ہے.

یہاں یہ ہے کہ اس تبدیلی کو عملی طور پر نظر آتا ہے:

Selenium WebDriver اب بھی UI ٹیسٹنگ کے لئے جا رہا ہے - لیکن اب یہ اکثر زیادہ سے زیادہ تجزیہ کے لئے OWASP ZAP یا Playwright کے ساتھ استعمال کیا جاتا ہے.

Postman، API ٹیسٹنگ کا ایک بنیادی حصہ، زیادہ سے زیادہ غیر مجاز رسائی یا انجکشن کی کوششوں کو متعارف کرنے کے لئے Hoppscotch یا Burp Suite کے ساتھ جوڑا جاتا ہے.

Jenkins اور GitLab CI اب صرف ٹیسٹ آٹومیشن کے لئے نہیں ہیں - وہ اب تعمیر کے عمل کے حصے کے طور پر OWASP Dependency Check جیسے داخلہ سیکورٹی چیک چلاتے ہیں.

Elvira کی ٹیموں نے BDD کو دھمکی ماڈلنگ کے ساتھ مکمل کیا ہے، صارف کی کہانیوں کو ممکنہ حملے کے درختوں میں تبدیل کرنے سے پہلے بھی کوڈ کا پہلا خط لکھا جاتا ہے.

تبدیلی کی تیزی سے بڑھ رہی ہے

اپنی ٹیم کی تازہ ترین منصوبہ بندی میں، Elvira نے استعمال کیا ہےLLMs to generate attack simulationsاور ممکنہ کاروباری منطق کے زخموں کی شناخت کریں. یہ صرف ٹیسٹ کی پوشیدگی کے بارے میں نہیں تھا - یہ خطرے کی دریافت کے بارے میں تھا.

"ہم نے ماضی میں استعمال شدہ اعداد و شمار پر ایک مقامی جی پی ٹی ایجنٹ کو تربیت دی۔ یہ سالوں سے ہمارے رجسٹریشن سیٹ کو بھولنے والے ایڈج کیشنز کو ظاہر کرنے کے لئے شروع کر دیا."

یہاں یہ ہے کہ کس طرح AI نے اپنی QA کی حکمت عملی کو دوبارہ بیان کیا ہے:

خود کار طریقے سے براہ راست صارف کی فراہمی

درخواستوں کو حملے کے درختوں میں خود کار طریقے سے تبدیل کرنا

Duress کے تحت متعارف کردہ صارف کے رویے (Load + Intrusion)

سیکورٹی ثقافت کا فرق

فوائد کے باوجود، اب بھی ایک کمی ہے. بہت سے تنظیموں نے سیکورٹی کو انفرادی ایڈجسٹنگ ٹیموں میں تقسیم کیا.

"جب تک سیکورٹی کا جائزہ لیا جاتا ہے، یہ پہلے سے ہی بہت دیر ہے. QA کو پہلے دن سے سیکورٹی کا مالک ہونا چاہئے."

وہ cross-training کی حمایت کرتا ہے، جوانی ٹیسٹروں کو اس طرح کے آلات جیسے Kali Linux یا OWASP Juice Shop کا سامنا کرنے کی اجازت دیتا ہے، اور انٹرفیس.basic threat modeling into agile sprint planning.

Next کیا آتا ہے؟

Elvira ایک مستقبل دیکھتا ہے جہاں:

ہر QA ملازمین جانتے ہیں کہ کس طرح ایک لچکدار اسکن کو چلانے کے لئے

CI پائپ لائنز صرف خراب خصوصیات پر نہیں بلکہ کھلی بندرگاہوں یا کمزور auth پر ناکام رہتے ہیں.

سیکورٹی ایک مشترکہ زبان بن جاتا ہے، ایک ہینڈوف نہیں ہے

آپ کی اگلی منصوبہ بندی؟ داخلہaccessibility testing،performance under exploitاورsecure-by-default test frameworksEnterprise Release Cycles میں شامل کریں

آخری خیال

ٹیسٹرز ہمیشہ صارف کے تجربے کے دفاع کرنے والے تھے. 2025 میں، وہ اعتماد، ڈیٹا اور اپ ٹائم کے دفاع کرنے والے بھی ہیں.

یہ صرف "کیا یہ کام کرتا ہے؟" کے بارے میں نہیں ہے. یہ "کیا یہ ہمیں ٹوٹ سکتا ہے؟" کے بارے میں ہے.

اور یہ ایک سوال ہےQA should be asking first.