cookie安全测试

Cookie 提供了一种在Web 应用程序中存储用户特定信息的方法,例如存储用户的上次 访问时间等信息。假如不进行cookie存储一个网站的用户行为,那么可能会造成以下问题:用户进行购买几件商品转到结算页面时,系统怎样知道用户之前订了哪几件商品。因为,cookie其中一个作用就是记录用户操作系统的日志,而系统对cookie不单单是存储,还有读取,也就是说系统和用户之前是一个交互的过程,这称为有状态。

但是Cookie 在带来这些编程的方便性的同时,也带来了安全上的问题。Cookie 的安全性问题与从客户端获取数据的安全性问题是类似的,可以把Cookie 看成是另外一种形式的用户输入,因此很容易被黑客们非法利用这些数据。由于Cookie 保存在客户端,因为在客户端可以直接看到Cookie中存储的数据,而且可以在浏览器向服务器端发送Cookie 之前更改Cookie  的数据。因此,对Cookie  的测试,尤其是安全性方面的测试 非常重要,是Web 应用系统测试中的重要方面。

 

·如何判断正在测试的Web 系统使用了cookie?

在进行Cookie 测试之前,首先要判断被测试的Web 应用系统是否使用了Cookie。当然可以找出web系统的设计文档、功能规格说明书来看个究竟,或者直接问开发人员。除此之外,还有更加直接的办法:

1)找到电脑中存储cookie 的目录。

    需要注意的是不同的浏览器把Cookie 数据存储在不同的目录,IE 浏览器把Cookie 数据存储在类似下面的目录:

    C:\Documents and Settings\user\Local Settings\Temporary Internet Files

    (2)删除所有cookie。

    在IE 中,cookie 与缓存的临时文件存储在一起。可使用IE 中的删除Cookies 文件功能来删除所有Cookie,也可直接找到存储Cookie 文件的目录进行删除。打开IE 浏览器,选择 菜单“工具| Internet 选项”(或者按快捷方式“Ctrl+Shift+Delete”),如图1 所示。

 

 

 

                               图1 Internet 选项

 

    单击“删除Cookies”按钮,出现如图2 所示的对话框。单击“确定”按钮,把所有Cookie 文件删除掉。

 

 Cookie <wbr>初步了解及安全测试

 

                              图2  删除Cookies

 

     (3)设置IE,当使用到Cookie 时自动提示。

 

    如果想确切地知道测试的Web 系统在什么地方使用了Cookie,可以对IE 浏览器进行一些设置,让IE 浏览器在使用到Cookie 时自动弹出提示窗口,这样测试时就能知道在什么时候、什么功能操作使用到了Cookie。IE 的设置方法是:打开IE 菜单“工具| Internet 选项”,切换到“隐私”页面,如图3 所示。

 

 Cookie <wbr>初步了解及安全测试

 

                                图3  设置IE

 

    单击“高级”按钮,出现如图4 所示的界面。

 

 

 

                            图4  高级隐私策略设置

 

 

 

    选择“覆盖自动cookie 处理”,在“第一方Cookie”处选择“提示”,在“第三方Cookie”

处也选择“提示”,然后单击“确定”按钮。这样,当Web 页面使用到Cookie 时,IE 浏览

器会自动提示如图5 所示的界面。

 

 

 

                                图5  隐私警报

 

 

 

    说明:单击其中的“详细信息”,可以看到如图6 所示的Cookie 详细信息。包括

Cookie 的名称、来源、路径、数据、截止期限等信息。

 

 

 

                           图6 查看详细的Cookie 信息

 

 

 

·Cookie 测试方法  -  屏蔽Cookie

    这是最简单的Cookie 测试方法,检查当Cookie 被屏蔽时Web 系统会出现什么问题。

首先关闭所有浏览器实例,删除测试机器上的所有cookie。设置IE 屏蔽Cookie,可通过把IE 的“隐私”设置为如图7 所示的“阻止所有Cookie”。

 

 

 

                              图7 阻止所有Cookie

 

      然后运行Web  系统的所有主要功能,很多时候会出现功能不能正常运行的情况。如果用户必须激活Cookie 使用设置才能正常运行web 系统的话,则需要检查Web 服务器是否能正确识别出客户端的Cookie 设置情况,当用户屏蔽了Cookie 时,Web 服务器应该发送一个提示页面,告诉用户激活Cookie 设置才能使用系统(测试用例)

 

·Cookie 测试方法  -  有选择性地拒绝Cookie

     这种测试方法的目的是验证这种情况:如果某些Cookie 被接受,某些Cookie 被拒绝,

Web 系统会发生什么事情?

     首先删除测试机器上的所有Cookie,然后设置IE  的Cookie 选项,当Web 系统试图设置一个Cookie 时弹出提示。然后运行Web 系统的所有主要功能。在弹出的Cookie 提示中,接受某些Cookie,拒绝某些Cookie。检查Web  系统的工作情况,看Web 服务器是否能检测出某些Cookie 被拒绝了,是否出现正确的提示信息。有可能Web 系统会因为这样而出现错误、崩溃、数据错乱,或其他不正常的行为。

     例如在测试过程中,对前面的用于测试浏览器是否接受Cookie 的“测试Cookie”都予

以接受,但是对后面的设置Cookie 则予以拒绝,那么如果后续的代码要依赖所设置的Cookie 时,则会出错。例如下面的代码中,读取Cookies 部分的代码如果没有判断Cookie 是否存

在,则会出现异常。

 

·Cookie 测试方法  -  篡改Cookie

     如果某些存储下来的Cookie 被篡改了,或者被删除了,Web 系统会出现什么问题吗?

如果Web 系统不能检测到Cookie 数据被篡改了,则很可能出现功能异常,或者数据错乱等问题。优秀的设计则会检测到Cookie 数据的篡改,及时更新替换Cookie 文件。

     假设有如下ASP.NET 页面,根据Cookie 判断访问者的到访顺序,并且根据到访顺序做出相应的业务处理,如果是第8 位访问者,则送出奖品,那么就可能导致别有用心者通过篡改Cookie 数据来获得奖品。

          protected void Page_Load(object sender, EventArgs e)

          {

                   int counter;

                   if (Request.Cookies["counter"] == null)

                   {

                       counter = 0;

                   }

                   else

                   {

                       //  读取Cookie 数据

                       counter = int.Parse(Request.Cookies["counter"].Value);

                   }

                   counter++;

                   //  如果是第8 位访问者

                   if (counter == 8)

                   {

                       this.Label2.Text = "您是第8 位访问者!";

                   }

                   //  设置Cookie

                   Response.Cookies["counter"].Value = counter.ToString();

                   Response.Cookies["counter"].Expires = DateTime.Now.AddDays(1);

          }

 

     可以通过修改存储下来的Cookie 数据来达到不公平竞争的目的,查找到这个ASP.NET

页面使用的Cookie 文件并用文本编辑工具打开,可看到类似如下信息:

     counter

 

     3

 

     127.0.0.1/

 

     1536

 

     1291366528

 

     29908157

 

     589053024

 

     29907956

 

     *

 

     把counter     后面的值改为7             (注意修改前要关闭浏览器)。然后再次访问上面的

 

ASP.NET.NET 页面,则counter 值变成了8,页面提示“您是第8 位访问者!”。

 

     说明:测试过程中应该查找是否有业务逻辑是依赖Cookie 存储值而进行的,如果有,

 

则尝试修改Cookie  的值,看是否导致功能不正常,或者业务逻辑的混乱。另外,也可以尝

 

试有选择性地删除Cookie。在运行Web  系统一段时间后,把其中某些Cookie 文件删除掉,

 

然后继续使用Web  系统,看会出现什么情况,是否能恢复、是否有数据丢失或错乱。

 

·Cookie 测试方法  - Cookie 加密测试

     检查存储的Cookie 文件内容,看是否有用户名、密码等敏感信息存储,并且未被加密处理。某些类型的数据即使是加密了也绝对不能存储在Cookie 文件中的,例如:信用卡号。

    测试的方法可以手工地打开所有Cookie 文件来查看,也可以利用一些Cookie 编辑工具来查看,例如,如图8 所示的Cookie Editor。

 



 

                             图8 Cookie Editor 界面

 

    利用Cookie Editor,可以列出所有Cookie 文件,还可以在Cookie 文件中搜索内容,如

 

9 所示。

 

Cookie <wbr>初步了解及安全测试

 

 

                               图9 搜索Cookie

 

 

 

    说明:在“Look for”的输入框中输入需要查找的内容,例如username、password 等敏

感信息的关键字,单击“Go”按钮进行查找。

 

·Cookie 安全内容检查

 

    Cookie 安全内容检查包括前面讲的存储内容的检查,还包括以下方面:

     (1)Cookie 过期日期设置的合理性:检查是否把Cookie 的过期日期设置得过长。

     (2 )HttpOnly 属性的设置:把Cookie 的HttpOnly 属性设置为True 有助于缓解跨站点脚本威胁,防止Cookie 被窃取。

     (3)Secure 属性的设置:把Cookie 的Secure 属性设置为True,在传输Cookie 时使用SSL连接,能保护数据在传输过程中不被篡改。

    对于这些设置,可以利用Cookie Editor 来查看是否正确地被设置,如图10 所示。

 



 

 

                    图10  查看Cookie 的设置

 

 

    说明:可在“Expiration Date and Time”中查看Cookie 的过期日期设置是否合理,查“HttpOnly”和“Secure”是否勾选上,勾选上表示设置为True。在“Cookie                          Value”中可查看是否存在敏感信息,数据是否经过加密

posted @ 2016-05-11 16:42  YunMan  阅读(1401)  评论(0编辑  收藏  举报