安全测试 - Cookie


什么是 Cookie?

Cookie 是网络服务器发送的一小段信息,存储在网络浏览器上,以便浏览器稍后可以读取。这样,浏览器就会记住一些特定的个人信息。如果黑客掌握了 cookie 信息,可能会导致安全问题。

Cookie 的属性

以下是 cookie 的一些重要属性 -

  • 它们通常是小文本文件,带有存储在计算机浏览器目录中的 ID 标签。

  • Web 开发人员使用它们来帮助用户有效地浏览其网站并执行某些功能。

  • 当用户再次浏览同一网站时,cookie中存储的数据将被发送回网络服务器,以通知网站用户之前的活动。

  • 对于拥有庞大数据库、需要登录、具有可定制主题的网站来说,Cookie 是不可避免的。

Cookie 内容

cookie 包含以下信息 -

  • 发送 cookie 的服务器的名称。
  • cookie 的生命周期。
  • 一个值 - 通常是随机生成的唯一数字。

Cookie 的类型

  • 会话 Cookie - 这些 Cookie 是临时的,当用户关闭浏览器时会被删除。即使用户再次登录,也会为该会话创建一个新的 cookie。

  • 持久 cookie - 这些 cookie 保留在硬盘驱动器上,除非用户将其擦除或过期。Cookie 的有效期取决于它们可以持续多长时间。

测试 Cookie

以下是测试 cookie 的方法 -

  • 禁用 Cookie - 作为测试人员,我们需要在禁用 Cookie 后验证网站的访问并检查页面是否正常工作。导航到网站的所有页面并观察应用程序崩溃情况。还需要告知用户需要 cookie 才能使用该网站。

  • 损坏 Cookies - 另一项要执行的测试是损坏 cookie。为了做到这一点,人们必须找到网站 cookie 的位置,并使用虚假/无效数据手动编辑它,这些数据可用于从域访问内部信息,然后可用于攻击网站。

  • 删除 Cookie - 删除网站的所有 cookie 并检查网站对此的反应。

  • 跨浏览器兼容性- 从任何写入 cookie 的页面检查 cookie 是否在所有支持的浏览器上正确写入也很重要。

  • 编辑 Cookies - 如果应用程序使用 cookie 来存储登录信息,那么作为测试人员,我们应该尝试将 cookie 或地址栏中的用户更改为另一个有效用户。编辑 cookie 不应让您登录到不同的用户帐户。

查看和编辑 Cookie

现代浏览器支持在浏览器本身内查看/编辑 cookie 信息。mozilla/chrome 有一些插件,我们可以使用它们成功地执行编辑。

  • 为 Firefox 编辑 cookies 插件

  • 编辑此 chrome cookie 插件

应执行以下步骤来编辑 cookie -

  • 从这里下载 Chrome 插件

  • 只需从 Chrome 访问“编辑此 cookie”插件即可编辑 cookie 值,如下所示。

Cookie 测试