cookie的测试

本文介绍了一种系统的Cookie安全测试方法,包括如何判断web系统使用了Cookie、如何屏蔽Cookie、有选择性地拒绝Cookie、篡改Cookie及加密测试等内容。文章还强调了Cookie过期日期、HttpOnly属性和Secure属性的重要性。
摘要由CSDN通过智能技术生成
cookies安全 测试
1. 判断测试的 web系统使用了cookie
可以找出系统的设计文档、共鞥规格说明书,或者直接问开发人员。除此还可以:
(1)找出电脑存储的cookie的目录
不同的浏览器吧cookie数据存储在不同的目录,IE一般存在C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files文件下。
(2)删除所有cookie
可通过存储cookie文件的目录进行删除,也可直接在IE里删除
(3)设置IE,当使用到cookie时自动提示
Internet选项--隐私--高级--勾选替换自动cookie处理----第一方和第三方处都勾选提示,确定。这样在操作web系统时使用到cookie就会自动弹出如图1提示框,谈后点击详细信息,就会看到如图2提示框。此提示框报刊cookie的详细信息,cookie的名称、来源、路径、数据、截止期限等。
2.cookie测试方法----屏蔽cookie
检测当cookie被屏蔽时web系统会出现什么问题。首先关闭所有浏览器实例,删除所有cookie。然后设置IE屏蔽cookie:隐私--默认值--如图3,设置为阻止所有cookie。然后运行web系统的所有主要功能,很多时候会出现功能不能正常运行的情况。如果用户必须激活cookie使用设置才能正常运行web系统的话,则要求web服务器能正确识别出客户端的cookie设置情况。
3.cookie测试方法--有选择性地拒绝cookie
如果某些cookie被接受,某些被拒绝,web系统会发生什么事情?
首先删除所偶cookie,然后设置IE下的cookie选项为提示状态,然后运行web系统的所有主要功能,在弹出的cookie提示中,接受某些cookie,拒绝某些cookie,检查web系统的 工作情况。有可能web系统会因此而出现错误、崩溃、数据错乱或其他不正常的行为。
4. cookie测试方法--篡改cookie
如果某些存储下来的cookie被篡改了,或者被删除了,web系统会怎样?如果web系统不能检测到cookie数据被篡改,则可能出现功能异常,或数据错乱等问题。
在运行web系统一段时间后,把某些cookie文件删除掉,然后继续使用web系统,看数据是否会丢失、错乱等。修改cookie值????
5. cookie测试方法---cookie加密测试
检查cookie文件内容,看是否有用户名、密码等敏感信息存储,并且被加密处理。某些类型的数据即使是加密了也绝不能存储在cookie文件中,如信用卡号。测试方法:手工打开所有cookie文件查看,也可利用cookie编辑工具来查看
6.cookie安全内容检查
a。cookie过期日期设置的合理性。检查是否把cookie的过期日期设置的过长。
b。HttpOnly属性的设置:把cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁,防止cookie被窃取。
c。Secure属性的设置:把cookie的Secure属性设置为True,在传输cookie时使用SSL连接,能保护数据在传输过程中不被篡改
对于这些设置可以利用cookie Editor 来查看是否正确的被设置
 

1

1

2

2

3

3

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值