[发明专利]一种Cookie安全性测试的方法

说明书

技术领域

本发明涉及Web系统安全测试技术领域，特别涉及一种Cookie安全性测试的方法。

背景技术

Cookie提供了一种在Web应用程序中存储用户特定信息的方法，例如存储用户的上次访问时间等信息。假如不进行Cookie存储一个网站的用户行为，那么可能会造成以下问题：用户进行购买几件商品转到结算页面时，系统怎样知道用户之前订了哪几件商品。因为Cookie其中一个作用就是记录用户操作系统的日志，而系统对Cookie不单单是存储，还有读取，也就是说系统和用户之间是一个交互的过程，这称为有状态。

但是Cookie在带来这些编程的方便性的同时，也带来了安全上的问题。Cookie的安全性问题与从客户端获取数据的安全性问题是类似的，可以把Cookie看成是另外一种形式的用户输入，因此很容易被黑客们非法利用这些数据。由于Cookie保存在客户端，因为在客户端可以直接看到Cookie中存储的数据，而且可以在浏览器向服务器端发送Cookie之前更改Cookie的数据。因此，对Cookie的测试，尤其是安全性方面的测试非常重要，是Web应用系统测试中的重要方面。

发明内容

本发明解决的技术问题在于提供一种Cookie安全性测试方法；解决Web应用系统Cookie安全性问题。

本发明解决上述技术问题的技术方案是：

所述的方法是先判断Web系统是否使用了Cookie；然后，对Cookie进行屏蔽、有选择性的拒绝和/或篡改测试Web系统反应；对Cookie加密和/或安全内容进行检查以确认是否安全或正确。

所述的判断web系统是否使用了Cookie是：

(1)找到电脑中存储cookie的目录，IE一般放在C：/Documents and Settings/user/Local Settings/Temporary Internet Files；

(2)删除所有Cookie，在IE中，Cookie与缓存的临时文件存储在一起；可使用IE中的删除Cookies文件功能来删除所有Cookie，也可直接找到存储Cookie文件的目录进行删除；

(3)设置IE，当使用Cookie时自动提示。

所述的屏蔽Cookie；首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况；如果用户必须激活Cookie使用设置才能正常运行Web系统，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况；当用户屏蔽了Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。

5、根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于：所述的有选择性地拒绝Cookie；先删除所有的Cookie，然后设置IE的Cookie选项，设置Cookie自动提醒；然后运行所有Web功能，当弹出Cookie提示时，接收某些Cookie，拒绝某些Cookie；检查Web系统的工作情况，看Web服务器是否能检测出某些Cookie被拒绝了，是否出现正确的提示信息。

所述的篡改Cookie；篡改或删除某些已存储下来的Cookie，检测Web系统会出现什么问题；测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱；也可以尝试有选择性的删除Cookie；在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。

所述的Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看，也可以lion个一些Cookie编辑工具来查看。

所述的Cookie安全内容检查包括：

(1)Cookie过期日期设置的合理性：检查是否把Cookie的过期日期设置的过长；

(2)HttpOnly属性的设置：把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取；

(3)Sccure熟悉的设置：把Cookie的Sccure属性设置为True，在传输Cookie时使用SSL连接，保护数据在传输过程中不被篡改；

对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。