- 安全測試教程
- 安全測試 - 首頁
- 安全測試 - 概述
- 安全測試 - 流程
- 安全測試 - 惡意軟體
- HTTP協議基礎
- HTTPS協議基礎
- 編碼和解碼
- 安全測試 - 密碼學
- 安全測試 - 同源策略
- 安全測試 - Cookie
- 駭客攻擊Web應用程式
- 安全測試 - 注入攻擊
- 測試身份驗證漏洞
- 測試跨站指令碼攻擊
- 不安全的直接物件引用
- 測試安全配置錯誤
- 測試敏感資料洩露
- 缺少函式級訪問控制
- 跨站請求偽造
- 存在漏洞的元件
- 未驗證的重定向和轉發
- 安全測試 - Ajax安全
- 安全測試 - Web服務
- 安全測試 - 緩衝區溢位
- 安全測試 - 服務拒絕攻擊
- 測試惡意檔案執行
- 安全測試 - 自動化工具
- 安全測試有用資源
- 安全測試 - 快速指南
- 安全測試 - 有用資源
- 安全測試 - 討論
安全測試 - Cookie
什麼是Cookie?
Cookie是由Web伺服器傳送的一小段資訊,儲存在Web瀏覽器中,以便瀏覽器稍後讀取。透過這種方式,瀏覽器可以記住一些特定的個人資訊。如果駭客獲取了Cookie資訊,則可能導致安全問題。
Cookie的屬性
以下是Cookie的一些重要屬性:
它們通常是小文字檔案,具有儲存在您計算機瀏覽器目錄中的ID標籤。
它們被Web開發人員用來幫助使用者有效地瀏覽其網站並執行某些功能。
當用戶再次瀏覽同一網站時,儲存在Cookie中的資料將被髮送回Web伺服器,以通知網站使用者之前的活動。
對於擁有龐大資料庫、需要登入、具有可自定義主題的網站來說,Cookie是不可避免的。
Cookie內容
Cookie包含以下資訊:
- 傳送Cookie的伺服器名稱。
- Cookie的生命週期。
- 一個值 - 通常是一個隨機生成的唯一編號。
Cookie的型別
會話Cookie - 這些Cookie是臨時的,當用戶關閉瀏覽器時會被刪除。即使使用者再次登入,也會為該會話建立一個新的Cookie。
永續性Cookie - 除非使用者將其清除或過期,否則這些Cookie會保留在硬碟驅動器上。Cookie的過期時間取決於其持續時間。
測試Cookie
以下是測試Cookie的方法:
停用Cookie - 作為測試人員,我們需要在停用Cookie後驗證網站的訪問許可權,並檢查頁面是否正常工作。瀏覽網站的所有頁面並注意應用程式崩潰。還需要告知使用者需要Cookie才能使用該網站。
破壞Cookie - 另一個要執行的測試是破壞Cookie。為此,必須找到網站Cookie的位置並使用偽造/無效資料手動編輯它,這可以用來訪問域的內部資訊,進而用於入侵網站。
刪除Cookie - 刪除網站的所有Cookie,並檢查網站對此的反應。
跨瀏覽器相容性 - 還必須檢查Cookie是否在所有支援的瀏覽器中從任何寫入Cookie的頁面正確寫入。
編輯Cookie - 如果應用程式使用Cookie儲存登入資訊,那麼作為測試人員,我們應該嘗試將Cookie或位址列中的使用者更改為另一個有效使用者。編輯Cookie不應該允許您登入到其他使用者的帳戶。
檢視和編輯Cookie
現代瀏覽器支援在瀏覽器本身內檢視/編輯Cookie資訊。Mozilla/Chrome有一些外掛,我們可以使用它們成功地執行編輯操作。
- Firefox的編輯Cookie外掛
- Chrome的Edit This Cookie外掛
應執行以下步驟來編輯Cookie:
從此處下載Chrome的外掛:這裡
只需從Chrome訪問“Edit This Cookie”外掛即可編輯Cookie值,如下所示。
