Security Testing 简明教程
Security Testing - Cookies
What is a Cookie?
Cookie 是 Web 服务器发送的小段信息,存储在 Web 浏览器中以便浏览器以后读取。通过这种方式,浏览器会记住一些特定个人信息。如果黑客掌握了 Cookie 信息,则可能导致安全问题。
Properties of Cookies
以下是一些 Cookie 的重要属性:
-
它们通常是小文本文件,存储在计算机浏览器目录中的 ID 标记。
-
Web 开发人员使用它们来帮助用户有效浏览其网站并执行特定功能。
-
当用户再次浏览同一网站时,存储在 Cookie 中的数据将发送回 Web 服务器,以通知网站用户以前的活动。
-
对于具有大型数据库、需要登录、具有可自定义主题的网站,Cookie 是不可避免的。
Types of Cookies
-
Session Cookies - 这些 Cookie 是临时 Cookie,当用户关闭浏览器时会被删除。即使用户再次登录,也会为该会话创建一个新的 Cookie。
-
Persistent cookies - 这些 Cookie 会保留在硬盘驱动器中,除非用户将其删除或它们过期。Cookie 的过期取决于它们能持续多长时间。
Testing Cookies
Here are the ways to test the cookies −
-
Disabling Cookies − As a tester, we need to verify the access of the website after disabling cookies and to check if the pages are working properly. Navigating to all the pages of the website and watch for app crashes. It is also required to inform the user that cookies are required to use the site.
-
Corrupting Cookies − Another testing to be performed is by corrupting the cookies. In order to do the same, one has to find the location of the site’s cookie and manually edit it with fake / invalid data which can be used access internal information from the domain which in turn can then be used to hack the site.
-
Removing Cookies − 删除网站的所有 cookies 并检查网站对它的反应。
-
Cross-Browser Compatibility − 必须查看在所有受支持的浏览器中,是否从所有写入 cookie 的页面中正确地写入 cookie。
-
Editing Cookies − 如果应用程序使用 cookie 存储登录信息,则作为测试人员,我们应该尝试在 cookie 或地址栏中将用户更改为另一个有效用户。编辑 cookie 不应允许您登录到其他用户的帐户。
Viewing and Editing Cookies
现代浏览器支持在浏览器本身内查看/编辑 cookie 信息。此处有 Mozilla/Chrome 使用的插件,我们可以使用它们成功执行编辑。
-
适用于 Firefox 的编辑 cookie 插件
-
适用于 Chrome 的为此 Cookie 编辑插件
编辑 cookie 的步骤如下 −
-
Download the plugin for Chrome from here
-
Edit the cookie value just by accessing the 'edit this cookie' plugin from chrome as shown below.