安全测试 – Cookies

什么是饼干？

cookie 是网络服务器发送的一小段信息，用于存储在网络浏览器上，以便浏览器以后可以读取。这样，浏览器就会记住一些特定的个人信息。如果黑客掌握了 cookie 信息，则可能会导致安全问题。

Cookie 的属性

以下是 cookie 的一些重要属性 –

• 它们通常是小的文本文件，给定存储在计算机浏览器目录中的 ID 标签。

• Web 开发人员使用它们来帮助用户有效地浏览他们的网站并执行某些功能。

• 当用户再次浏览同一个网站时，存储在 cookie 中的数据会被发送回网络服务器，以通知网站用户之前的活动。

• 对于拥有庞大数据库、需要登录、具有可自定义主题的网站，Cookie 是不可避免的。

饼干内容

cookie 包含以下信息 –

• 发送 cookie 的服务器的名称。
• cookie 的生命周期。
• 一个值 – 通常是随机生成的唯一数字。

Cookie 的类型

• 会话 Cookies – 这些 cookie 是临时的，当用户关闭浏览器时会被删除。即使用户再次登录，也会为该会话创建一个新的 cookie。

• 持久性 cookie – 这些 cookie 会保留在硬盘驱动器上，除非用户将其擦除或过期。Cookie 的有效期取决于它们可以持续多长时间。

测试 Cookie

以下是测试 cookie 的方法 –

• 禁用 Cookies – 作为测试人员，我们需要在禁用 cookie 后验证网站的访问权限并检查页面是否正常工作。导航到网站的所有页面并注意应用程序崩溃。还需要通知用户使用网站需要 cookie。

• Corrupting Cookies – 要执行的另一个测试是通过破坏 cookie。为了做到这一点，人们必须找到站点 cookie 的位置，并使用虚假/无效数据对其进行手动编辑，这些数据可用于访问域中的内部信息，进而可用于入侵站点。

• 删除 Cookies – 删除网站的所有 cookie 并检查网站对它的反应。

• 跨浏览器兼容性– 检查是否在所有支持的浏览器上从写入 cookie 的任何页面正确写入 cookie 也很重要。

• 编辑 Cookies – 如果应用程序使用 cookie 来存储登录信息，那么作为测试人员，我们应该尝试将 cookie 或地址栏中的用户更改为另一个有效用户。编辑 cookie 不应让您登录到不同的用户帐户。

查看和编辑 Cookie

现代浏览器支持在浏览器本身内查看/编辑 cookie 通知。有用于 mozilla/chrome 的插件，我们可以使用它们成功执行编辑。

• 为 Firefox 编辑 cookie 插件
• 为 chrome 编辑此 cookie 插件

应该执行这些步骤来编辑 cookie –

• 从这里下载 Chrome 插件

• 只需从 chrome 访问“编辑此 cookie”插件即可编辑 cookie 值，如下所示。