浅谈cookie测试
Cookie 提供了一种在Web 应用程序中存储用户特定信息的方法,例如存储用户的上次 访问时间等信息。假如不进行cookie存储一个网站的用户行为,那么可能会造成以下问题:用户进行购买几件商品转到结算页面时,系统怎样知道用户之前订了哪几件商品。因为,cookie其中一个作用就是记录用户操作系统的日志,而系统对cookie不单单是存储,还有读取,也就是说系统和用户之前是一个交互的过程,这称为有状态。
但是Cookie 在带来这些编程的方便性的同时,也带来了安全上的问题。Cookie 的安全性问题与从客户端获取数据的安全性问题是类似的,可以把Cookie 看成是另外一种形式的用户输入,因此很容易被黑客们非法利用这些数据。由于Cookie 保存在客户端,因为在客户端可以直接看到Cookie中存储的数据,而且可以在浏览器向服务器端发送Cookie 之前更改Cookie 的数据。因此,对Cookie 的测试,尤其是安全性方面的测试 非常重要,是Web 应用系统测试中的重要方面。
·如何判断正在测试的Web 系统使用了cookie?
在进行Cookie 测试之前,首先要判断被测试的Web 应用系统是否使用了Cookie。当然可以找出web系统的设计文档、功能规格说明书来看个究竟,或者直接问开发人员。除此之外,还有更加直接的办法:
(1)找到电脑中存储cookie 的目录。
需要注意的是不同的浏览器把Cookie 数据存储在不同的目录,IE 浏览器把Cookie 数据存储在类似下面的目录:
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
(2)删除所有cookie。
在IE 中,cookie 与缓存的临时文件存储在一起。可使用IE 中的删除Cookies 文件功能来删除所有Cookie,也可直接找到存储Cookie 文件的目录进行删除。打开IE 浏览器,选择 菜单“工具 | Internet 选项”(或者按快捷方式“Ctrl+Shift+Delete”),如图1 所示。
图1 Internet 选项
单击“删除Cookies”按钮,出现如图2 所示的对话框。单击“确定”按钮,把所有Cookie 文件删除掉。
图2 删除Cookies
(3)设置IE,当使用到Cookie 时自动提示。
如果想确切地知道测试的Web 系统在什么地方使用了Cookie,可以对IE 浏览器进行一些设置,让IE 浏览器在使用到Cookie 时自动弹出提示窗口,这样测试时就能知道在什么时候、什么功能操作使用到了Cookie。IE 的设置方法是:打开IE 菜单“工具 | Internet 选项”,切换到“隐私”页面,如图3 所示。
图3 设置IE
单击“高级”按钮,出现如图4 所示的界面。
图4 高级隐私策略设置
选择“覆盖自动cookie 处理”,在“第一方Cookie”处选择“提示”,在“第三方Cookie”
处也选择“提示”,然后单击“确定”按钮。这样,当Web 页面使用到Cookie 时,IE 浏览
器会自动提示如图5 所示的界面。
图5 隐私警报
说明:单击其中的“详细信息”,可以看到如图6 所示的Cookie 详细信息。包括
Cookie 的名称、来源、路径、数据、截止期限等信息。
图6 查看详细的Cookie 信息
·Cookie 测试方法 - 屏蔽 Cookie
这是最简单的Cookie 测试方法,检查当Cookie 被屏蔽时Web 系统会出现什么问题。
首先关闭所有浏览器实例,删除测试机器上的所有cookie。设置IE 屏蔽Cookie,可通过把 IE的“隐私”设置为如图7 所示的“阻止所有Cookie”。
图7 阻止所有Cookie
然后运行Web 系统的所有主要功能,很多时候会出现功能不能正常运行的情况。如果用户必须激活Cookie 使用设置才能正常运行web 系统的话,则需要检查Web 服务器是否能正确识别出客户端的Cookie 设置情况,当用户屏蔽了Cookie 时,Web 服务器应该发送一个提示页面,告诉用户激活Cookie 设置才能使用系统(测试用例)。
·Cookie 测试方法 - 有选择性地拒绝Cookie
这种测试方法的目的是验证这种情况:如果某些Cookie 被接受,某些Cookie 被拒绝,
Web 系统会发生什么事情?
首先删除测试机器上的所有Cookie,然后设置IE 的Cookie 选项,当Web 系统试图设置一个Cookie 时弹出提示。然后运行Web 系统的所有主要功能。在弹出的Cookie 提示中,接受某些Cookie,拒绝某些Cookie。检查Web 系统的工作情况,看Web 服务器是否能检测出某些Cookie 被拒绝了,是否出现正确的提示信息。有可能Web 系统会因为这样而出现错误、崩溃、数据错乱,或其他不正常的行为。
例如在测试过程中,对前面的用于测试浏览器是否接受Cookie 的“测试Cookie”都予
以接受,但是对后面的设置Cookie 则予以拒绝,那么如果后续的代码要依赖所设置的Cookie 时,则会出错。例如下面的代码中,读取Cookies 部分的代码如果没有判断Cookie 是否存
在,则会出现异常。
·Cookie 测试方法 - 篡改Cookie
如果某些存储下来的Cookie 被篡改了,或者被删除了,Web 系统会出现什么问题吗?
如果Web 系统不能检测到Cookie 数据被篡改了,则很可能出现功能异常,或者数据错乱等问题。优秀的设计则会检测到Cookie 数据的篡改,及时更新替换Cookie 文件。
假设有如下ASP.NET 页面,根据Cookie 判断访问者的到访顺序,并且根据到访顺序做出相应的业务处理,如果是第8 位访问者,则送出奖品,那么就可能导致别有用心者通过篡改Cookie 数据来获得奖品。
protected void Page_Load(object sender, EventArgs e)
{
int counter;
if (Request.Cookies["counter"] == null)
{
counter = 0;
}
else
{
// 读取Cookie 数据
counter = int.Parse(Request.Cookies["counter"].Value);
}
counter++;
// 如果是第8 位访问者
if (counter == 8)
{
this.Label2.Text = "您是第8 位访问者!";
}
// 设置Cookie
Response.Cookies["counter"].Value = counter.ToString();
Response.Cookies["counter"].Expires = DateTime.Now.AddDays(1);
}
可以通过修改存储下来的Cookie 数据来达到不公平竞争的目的,查找到这个ASP.NET
页面使用的Cookie 文件并用文本编辑工具打开,可看到类似如下信息:
counter
3
127.0.0.1/
1536
1291366528
29908157
589053024
29907956
*
把 counter 后面的值改为 7 (注意修改前要关闭浏览器)。然后再次访问上面的
ASP.NET.NET 页面,则counter 值变成了8,页面提示“您是第8 位访问者!”。
说明:测试过程中应该查找是否有业务逻辑是依赖Cookie 存储值而进行的,如果有,
则尝试修改Cookie 的值,看是否导致功能不正常,或者业务逻辑的混乱。另外,也可以尝
试有选择性地删除Cookie。在运行Web 系统一段时间后,把其中某些Cookie 文件删除掉,
然后继续使用Web 系统,看会出现什么情况,是否能恢复、是否有数据丢失或错乱。
·Cookie 测试方法 - Cookie 加密测试
检查存储的Cookie 文件内容,看是否有用户名、密码等敏感信息存储,并且未被加密处理。某些类型的数据即使是加密了也绝对不能存储在Cookie 文件中的,例如:信用卡号。
测试的方法可以手工地打开所有Cookie 文件来查看,也可以利用一些Cookie 编辑工具来查看,例如,如图8 所示的Cookie Editor。
图8 Cookie Editor 界面
利用Cookie Editor,可以列出所有Cookie 文件,还可以在Cookie 文件中搜索内容,如图9 所示。
图9 搜索Cookie
说明:在“Look for”的输入框中输入需要查找的内容,例如username、password 等敏
感信息的关键字,单击“Go”按钮进行查找。
·Cookie 安全内容检查
Cookie 安全内容检查包括前面讲的存储内容的检查,还包括以下方面:
(1)Cookie 过期日期设置的合理性:检查是否把Cookie 的过期日期设置得过长。
(2 )HttpOnly 属性的设置:把Cookie 的HttpOnly 属性设置为True 有助于缓解跨站点脚本威胁,防止Cookie 被窃取。
(3)Secure 属性的设置:把Cookie 的Secure 属性设置为True,在传输Cookie 时使用SSL连接,能保护数据在传输过程中不被篡改。
对于这些设置,可以利用Cookie Editor 来查看是否正确地被设置,如图10 所示。
图10 查看Cookie 的设置
说明:可在“Expiration Date and Time”中查看Cookie 的过期日期设置是否合理,查“HttpOnly”和“Secure”是否勾选上,勾选上表示设置为True。在“Cookie Value”中可查看是否存在敏感信息,数据是否经过加密。
Session是存在服务器端的;而Cookie是存在客户端的!
Session更不需要Cookie来支持和不会受浏览器端的设置影响,可记录每个访问者的信息,独立在服务器端,比Cookie安全!
Session是存在内存中的,浏览器关闭它也就“死”了;Cookie是以文件方式存在的,可以修改其“存活”时间。
参考来源: