cookies安全
测试
1. 判断测试的
web系统使用了cookie
可以找出系统的设计文档、共鞥规格说明书,或者直接问开发人员。除此还可以:
(1)找出电脑存储的cookie的目录
不同的浏览器吧cookie数据存储在不同的目录,IE一般存在C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files文件下。
(2)删除所有cookie
可通过存储cookie文件的目录进行删除,也可直接在IE里删除
(3)设置IE,当使用到cookie时自动提示
Internet选项--隐私--高级--勾选替换自动cookie处理----第一方和第三方处都勾选提示,确定。这样在操作web系统时使用到cookie就会自动弹出如图1提示框,谈后点击详细信息,就会看到如图2提示框。此提示框报刊cookie的详细信息,cookie的名称、来源、路径、数据、截止期限等。
2.cookie测试方法----屏蔽cookie
检测当cookie被屏蔽时web系统会出现什么问题。首先关闭所有浏览器实例,删除所有cookie。然后设置IE屏蔽cookie:隐私--默认值--如图3,设置为阻止所有cookie。然后运行web系统的所有主要功能,很多时候会出现功能不能正常运行的情况。如果用户必须激活cookie使用设置才能正常运行web系统的话,则要求web服务器能正确识别出客户端的cookie设置情况。
3.cookie测试方法--有选择性地拒绝cookie
如果某些cookie被接受,某些被拒绝,web系统会发生什么事情?
首先删除所偶cookie,然后设置IE下的cookie选项为提示状态,然后运行web系统的所有主要功能,在弹出的cookie提示中,接受某些cookie,拒绝某些cookie,检查web系统的
工作情况。有可能web系统会因此而出现错误、崩溃、数据错乱或其他不正常的行为。
4. cookie测试方法--篡改cookie
如果某些存储下来的cookie被篡改了,或者被删除了,web系统会怎样?如果web系统不能检测到cookie数据被篡改,则可能出现功能异常,或数据错乱等问题。
在运行web系统一段时间后,把某些cookie文件删除掉,然后继续使用web系统,看数据是否会丢失、错乱等。修改cookie值????
5. cookie测试方法---cookie加密测试
检查cookie文件内容,看是否有用户名、密码等敏感信息存储,并且被加密处理。某些类型的数据即使是加密了也绝不能存储在cookie文件中,如信用卡号。测试方法:手工打开所有cookie文件查看,也可利用cookie编辑工具来查看
6.cookie安全内容检查
a。cookie过期日期设置的合理性。检查是否把cookie的过期日期设置的过长。
b。HttpOnly属性的设置:把cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁,防止cookie被窃取。
c。Secure属性的设置:把cookie的Secure属性设置为True,在传输cookie时使用SSL连接,能保护数据在传输过程中不被篡改
对于这些设置可以利用cookie Editor 来查看是否正确的被设置