[发明专利]一种Cookie安全性测试的方法

权利要求书

1.一种Cookie安全性测试的方法，其特征在于：所述的方法是先判断Web系统是否使用了Cookie；然后，对Cookie进行屏蔽、有选择性的拒绝和/或篡改测试Web系统反应；对Cookie加密和/或安全内容进行检查以确认是否安全或正确。

2.根据权利要求1所述的Cookie安全性测试方法，其特征在于：所述的判断web系统是否使用了Cookie是：

(1)找到电脑中存储cookie的目录，IE一般放在C：/Documents and Settings/user/Local Settings/Temporary Internet Files；

(2)删除所有Cookie，在IE中，Cookie与缓存的临时文件存储在一起；可使用IE中的删除Cookies文件功能来删除所有Cookie，也可直接找到存储Cookie文件的目录进行删除；

(3)设置IE，当使用Cookie时自动提示。

3.根据权利要求1所述的Cookie安全性测试方法，其特征在于：所述的屏蔽Cookie；首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况；如果用户必须激活Cookie使用设置才能正常运行Web系统，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况；当用户屏蔽了Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。

4.根据权利要求2所述的Cookie安全性测试方法，其特征在于：所述的屏蔽Cookie；首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况；如果用户必须激活Cookie使用设置才能正常运行Web系统，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况；当用户屏蔽了Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。

5.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于：所述的有选择性地拒绝Cookie；先删除所有的Cookie，然后设置IE的Cookie选项，设置Cookie自动提醒；然后运行所有Web功能，当弹出Cookie提示时，接收某些Cookie，拒绝某些Cookie；检查Web系统的工作情况，看Web服务器是否能检测出某些Cookie被拒绝了，是否出现正确的提示信息。

6.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于：所述的篡改Cookie；篡改或删除某些已存储下来的Cookie，检测Web系统会出现什么问题；测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱；也可以尝试有选择性的删除Cookie；在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。

7.根据权利要求5所述的Cookie安全性测试方法，其特征在于：所述的篡改Cookie；篡改或删除某些已存储下来的Cookie，检测Web系统会出现什么问题；测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱；也可以尝试有选择性的删除Cookie；在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。

8.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于：所述的Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看，也可以lion个一些Cookie编辑工具来查看。

9.根据权利要求5所述的Cookie安全性测试方法，其特征在于：所述的Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看，也可以lion个一些Cookie编辑工具来查看。