cookie提供了一種在web應用程式中儲存使用者特定資訊的方法,例如儲存使用者的上次訪問時間等資訊。cookie其中乙個作用就是記錄使用者作業系統的日誌,而系統對cookie不單單是儲存,還有讀取,也就是說系統和使用者之間是乙個互動的過程,這稱為有狀態。
cookie在帶來程式設計方便性的同時,也帶來了安全上的問題。cookie的安全性問題與客戶端獲取資料的安全性問題是類似的,可以把cookie看成是另外一種形式的使用者輸入,因此很容易被黑客們非法利用這些資料。由於cookie儲存在客戶端,因此在客戶端可以直接看到cookie中儲存的資料,而且可以在瀏覽器向伺服器端傳送請求之前更改cookie的資料。因此,對cookie的測試,尤其是安全性方面的測試非常重要,是web應用系統測試中的重要方面。
在進行cookie測試之前,首先要判斷被測試的web系統是否使用了cookie,可直接諮詢前端開發人員,也可以自己查詢cookie,下面以谷歌瀏覽器為例進行講解。
開啟谷歌瀏覽器,點選右上角的三個點的圖示–設定–安全和隱私設定–cookie及其他**資料–檢視所有cookie和**資料;
圖1
圖2
圖3
圖4先登入web系統;
也可以快速的刪除所有的cookie資訊,如圖:
4.重新整理web系統,系統登出。
一般建議勾選「阻止第三方cookie」;
登入web系統;
3.修改ppdc、athorize、athorize_role、sessionid或者jsessionid的value值;
4 回到web系統頁面,進行任意操作,系統自動登出回到登入頁面;
此處只講述了最簡單的篡改,如有興趣可以嘗試複雜點的。
檢查儲存的cookie檔案內容,看是否有使用者名稱、密碼等敏感資訊儲存,並且未被加密處理。某些型別的資料即使加密了也絕對不能儲存在cookie檔案中,比如:銀行卡號之類的。
cookie安全內容檢查包括前面講的儲存內容的檢查,還包括以下方面:
cookie過期日誌設定的合理性:檢查是否把cookie的過期日期設定的過長;
httponly屬性的設定:把cookie的httponly屬性設定為true有助於緩解跨站點指令碼威脅,防止cookie被竊取;
secure屬性的設定:把cookie的secure屬性設定為true,在傳輸cookie時使用ssl連線,能保護資料在傳輸過程中不被篡改。
不同的瀏覽器設定方法略有不同,目前還處於摸索階段,只了解了常見的幾種cookie安全測試方法,未來仍需努力!
Cookie禁用 Cookie安全問題
cookie作為客戶端的會話技術,可以實現使用者資料傳入到服務端。但cookie被禁用怎麼辦?1 首先,提示使用者不要禁用cookie。2 使用url重寫,原理就是將資料新增到url的引數中 cookie由於是客戶端的會話技術,因此存在著安全問題 1 不解決,因為一些資料就是暴露出去的 2 隱私資料...
Cookie 如何安全的使用cookie
在使用者使用某個cookie的登入某個 時,通過餅乾可以拿到安全的訪問許可權,如果餅乾被盜,那麼任何人都可以訪問 我們需要關注的是如何保證客戶端提交資料的保密性和伺服器獲取資訊的隨機性,即可變性。首先,客戶端使用安全的方式儲存使用者資訊,例如chrome不允許使用者通過瀏覽器獲取cookie,是乙個...
滲透測試 cookie注入
cookie最先是由netscape 網景 公司提出的,netscape官方文件中對cookie的定義是這樣的 cookie是在http協議下,伺服器或指令碼可以維護客戶工作站上資訊的一種方式。cookie的用途非常廣泛,在網路中經常可以見到cookie的身影。它通常被用來辨別使用者身份 進行ses...