安全测试Cookies

Cookie是Web服务器发送的一小段信息,用于存储在Web浏览器上,以便以后可以被浏览器读取。这样浏览器会记住一些特定的个人信息。如果黑客获取cookie信息,则可能导致安全问题。

Cookies的属性

以下是Cookie的一些重要属性 -

  • 它们通常是小文本文件,给定ID标记存储在计算机的浏览器目录中。
  • Web开发人员使用它们来帮助用户有效地浏览其网站并执行某些功能。
  • 当用户再次浏览同一网站时,存储在cookie中的数据被发送回网络服务器以通知网站用户先前的活动。
  • 对于拥有庞大数据库,需要登录,具有可自定义主题的网站,Cookie是不可避免的。

Cookie包含以下信息 -

  • Cookie发送到的服务器的名称。
  • cookie的生命周期。
  • Cookie值 - 通常是随机生成的唯一编号。

会话Cookie - 这些Cookie是临时的,在用户关闭浏览器时会被删除。即使用户再次登录,也会创建该会话的新cookie。

持久性cookie - 除非用户将其擦除或过期,否则这些cookie将保留在硬盘驱动器上。Cookie的到期时间取决于它们可以持续多长时间。

测试Cookies

以下是测试cookie的方法 -

  • 禁用Cookie - 作为测试人员,我们需要在禁用Cookie后验证网站的访问权限并检查网页是否正常运行。导航到网站的所有页面并观察应用程序崩溃。还需要通知用户使用该站点需要cookie。
  • 破坏Cookie - 要执行的另一项测试是破坏Cookie。要做到这一点,需要找到网站cookie的位置,并使用伪造/无效数据手动编辑它,可以使用这些数据访问域中的内部信息,然后可以用来破解网站。
  • 删除Cookie - 删除网站的所有Cookie并检查网站对其的反应。
  • 跨浏览器兼容性 - 从写入cookie的任何页面检查所有支持的浏览器上是否正确编写了cookie也很重要。
  • 编辑Cookie - 如果应用程序使用cookie存储登录信息,那么作为测试人员,我们应该尝试将cookie或地址栏中的用户更改为另一个有效用户。编辑cookie不应该让您登录到其他用户帐户。

现代浏览器支持在浏览器内查看/编辑cookie。使用mozilla/chrome的插件,我们可以执行编辑cookie。

  • 编辑Firefox的cookie插件
  • 编辑chrome的cookie插件

可通过执行以下步骤来编辑cookie -


上一篇:安全测试同源策略

下一篇:入侵Web应用程序

关注微信小程序
程序员编程王-随时随地学编程

扫描二维码
程序员编程王

扫一扫关注最新编程教程