- 安全测试教程
- 安全测试 - 首页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试 - 恶意软件
- HTTP协议基础
- HTTPS协议基础
- 编码和解码
- 安全测试 - 密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客攻击Web应用程序
- 安全测试 - 注入攻击
- 测试身份验证漏洞
- 测试跨站脚本攻击
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据泄露
- 缺少函数级访问控制
- 跨站请求伪造
- 存在漏洞的组件
- 未验证的重定向和转发
- 安全测试 - Ajax安全
- 安全测试 - Web服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 服务拒绝攻击
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用资源
- 安全测试 - 快速指南
- 安全测试 - 有用资源
- 安全测试 - 讨论
安全测试 - Cookie
什么是Cookie?
Cookie是由Web服务器发送的一小段信息,存储在Web浏览器中,以便浏览器稍后读取。通过这种方式,浏览器可以记住一些特定的个人信息。如果黑客获取了Cookie信息,则可能导致安全问题。
Cookie的属性
以下是Cookie的一些重要属性:
它们通常是小文本文件,具有存储在您计算机浏览器目录中的ID标签。
它们被Web开发人员用来帮助用户有效地浏览其网站并执行某些功能。
当用户再次浏览同一网站时,存储在Cookie中的数据将被发送回Web服务器,以通知网站用户之前的活动。
对于拥有庞大数据库、需要登录、具有可自定义主题的网站来说,Cookie是不可避免的。
Cookie内容
Cookie包含以下信息:
- 发送Cookie的服务器名称。
- Cookie的生命周期。
- 一个值 - 通常是一个随机生成的唯一编号。
Cookie的类型
会话Cookie - 这些Cookie是临时的,当用户关闭浏览器时会被删除。即使用户再次登录,也会为该会话创建一个新的Cookie。
持久性Cookie - 除非用户将其清除或过期,否则这些Cookie会保留在硬盘驱动器上。Cookie的过期时间取决于其持续时间。
测试Cookie
以下是测试Cookie的方法:
禁用Cookie - 作为测试人员,我们需要在禁用Cookie后验证网站的访问权限,并检查页面是否正常工作。浏览网站的所有页面并注意应用程序崩溃。还需要告知用户需要Cookie才能使用该网站。
破坏Cookie - 另一个要执行的测试是破坏Cookie。为此,必须找到网站Cookie的位置并使用伪造/无效数据手动编辑它,这可以用来访问域的内部信息,进而用于入侵网站。
删除Cookie - 删除网站的所有Cookie,并检查网站对此的反应。
跨浏览器兼容性 - 还必须检查Cookie是否在所有支持的浏览器中从任何写入Cookie的页面正确写入。
编辑Cookie - 如果应用程序使用Cookie存储登录信息,那么作为测试人员,我们应该尝试将Cookie或地址栏中的用户更改为另一个有效用户。编辑Cookie不应该允许您登录到其他用户的帐户。
查看和编辑Cookie
现代浏览器支持在浏览器本身内查看/编辑Cookie信息。Mozilla/Chrome有一些插件,我们可以使用它们成功地执行编辑操作。
- Firefox的编辑Cookie插件
- Chrome的Edit This Cookie插件
应执行以下步骤来编辑Cookie:
从此处下载Chrome的插件:这里
只需从Chrome访问“Edit This Cookie”插件即可编辑Cookie值,如下所示。
