安全测试 - Cookies

什么是 Cookie？

Cookie 是由 Web 服务器发送的一小段信息，存储在 Web 浏览器上，以便浏览器稍后可以读取。这样，浏览器就可以记住一些特定的个人信息。如果黑客掌握了 cookie 信息，则会导致安全问题。

Cookie 的属性

以下是 cookie 的一些重要属性 −

• 它们通常是小型文本文件，带有 ID 标签，存储在计算机的浏览器目录中。

• Web 开发人员使用它们来帮助用户高效地浏览他们的网站并执行某些功能。

• 当用户再次浏览同一网站时，存储在 cookie 中的数据将发送回 Web 服务器，以通知网站用户之前的活动。

• 对于拥有庞大数据库、需要登录、具有可自定义主题的网站来说，Cookie 是不可避免的。

Cookie 内容

Cookie 包含以下信息 −

• 发送 cookie 的服务器的名称。
• cookie 的生命周期。
• 一个值 - 通常是一个随机生成的唯一数字。

Cookie 的类型

• 会话 Cookie − 这些 Cookie 是临时的，当用户关闭浏览器时会被删除。即使用户再次登录，也会为该会话创建一个新的 Cookie。

• 持久性 Cookie − 这些 Cookie 会保留在硬盘驱动器上，除非用户将其删除或过期。 Cookie 的有效期取决于它们可以持续多长时间。

测试 Cookies

以下是测试 cookies 的方法 −

• 禁用 Cookies − 作为测试人员，我们需要在禁用 cookies 后验证网站的访问情况，并检查页面是否正常运行。导航到网站的所有页面并观察应用程序是否崩溃。还需要告知用户使用该网站需要 cookies。

• 破坏 Cookies − 另一个要执行的测试是破坏 cookies。为了做到这一点，必须找到网站 cookie 的位置，并使用虚假/无效数据手动编辑它，这些数据可用于访问域中的内部信息，进而可用于破解网站。

• 删除 Cookies − 删除网站的所有 cookies，并检查网站对其的反应。

• 跨浏览器兼容性 − 同样重要的是，从任何写入 cookies 的页面检查所有受支持的浏览器上是否正确写入 cookies。

• 编辑 Cookies − 如果应用程序使用 cookies 来存储登录信息，那么作为测试人员，我们应该尝试将 cookie 或地址栏中的用户更改为另一个有效用户。编辑 cookie 不应允许您登录到其他用户帐户。

查看和编辑 Cookie

现代浏览器支持在浏览器本身内查看/编辑 cookie 信息。有 mozilla/chrome 插件，我们可以使用它们成功执行编辑。

• 编辑 Firefox 的 cookies 插件

• 编辑 chrome 的此 cookie 插件

应执行以下步骤来编辑 cookie −

• 从此处下载 Chrome 插件

• 只需从 chrome 访问"编辑此 cookie"插件即可编辑 cookie 值，如下所示。