cookie安全测试简述
1、cookie为什么要做安全性测试?
cookie提供了一种在web应用程序中储存用户特定信息的方法,例如存储用户的上次访问时间等信息。cookie其中一个作用就是记录用户操作系统的日志,而系统对cookie不单单是存储,还有读取,也就是说系统和用户之间是一个交互的过程,这称为有状态。
cookie在带来编程方便性的同时,也带来了安全上的问题。cookie的安全性问题与客户端获取数据的安全性问题是类似的,可以把cookie看成是另外一种形式的用户输入,因此很容易被黑客们非法利用这些数据。由于cookie保存在客户端,因此在客户端可以直接看到cookie中存储的数据,而且可以在浏览器向服务器端发送请求之前更改cookie的数据。因此,对cookie的测试,尤其是安全性方面的测试非常重要,是web应用系统测试中的重要方面。
2、如何判断web系统是否使用了cookie?
在进行cookie测试之前,首先要判断被测试的web系统是否使用了cookie,可直接咨询前端开发人员,也可以自己查找cookie,下面以谷歌浏览器为例进行讲解。
- 打开谷歌浏览器,点击右上角的三个点的图标–设置–安全和隐私设置–cookie及其他网站数据–查看所有cookie和网站数据;
2.进入所有cookie和网站数据页面后,找到被测试的web系统的IP地址,点击进入显示存储了哪些cookie信息,点击具体项可查看详细信息;
3、cookie安全测试方法
3.1删除所有cookie
- 先登录web系统;
- 在上面图4中,可以点击被测试web网址IP旁边的删除按钮,仅清除该web系统的cookie信息,也可以点击全部删除按钮,删除谷歌浏览器存储的所有网站的cookie信息;
- 也可以快速的删除所有的cookie信息,如图:
4.刷新web系统,系统登出。
3.2有选择性的阻止cookie
一般建议勾选“阻止第三方cookie”;
3.3篡改cookie
- 登录web系统;
- 按F12进入谷歌开发者页面,点击Application–cookies–IP,会显示该web系统的cookie信息;
3.修改PPDC、Athorize、Athorize_ROLE、sessionId或者JSESSIONID的value值;
4 回到web系统页面,进行任意操作,系统自动登出回到登录页面;
3.4cookie加密测试
检查存储的cookie文件内容,看是否有用户名、密码等敏感信息存储,并且未被加密处理。某些类型的数据即使加密了也绝对不能存储在cookie文件中,比如:银行卡号之类的。
3.5cookie安全内容检查
cookie安全内容检查包括前面讲的存储内容的检查,还包括以下方面:
- cookie过期日志设置的合理性:检查是否把cookie的过期日期设置的过长;
- HttpOnly属性的设置:把cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁,防止cookie被窃取;
- Secure属性的设置:把cookie的Secure属性设置为True,在传输cookie时使用SSL连接,能保护数据在传输过程中不被篡改。
不同的浏览器设置方法略有不同,目前还处于摸索阶段,只了解了常见的几种cookie安全测试方法,未来仍需努力!
标签:web,存储,设置,系统,安全,cookie,测试 来源: https://www.cnblogs.com/weilaiqinkong/p/16317803.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。