Cookie安全测试

1、找到电脑中存储cookie的目录。IE一般放在C:\Documents and Settings\user\Local Settings\Temporary Internet Files

2、删除所有Cookie。

3、设置IE，当使用Cookie时自动提示。

IE-》工具-》Internet选项-》隐私-》高级：选择覆盖自动cookie处理，在“第一方cookie”选择“提示”，“第三方Cookie”选择“提示”。

当web使用到cookie时，IE会弹出提示信息。单击提示信息的“详细信息”，可以查看cookie的名称、来源、路径、数据等等。

1、屏蔽Cookie

关闭所有浏览器，删除所有Cookie。设置IE屏蔽Cookie：IE-》工具-》Internet选项-》隐私-》阻止所有Cookie。如下图：

 

然后运行web系统所以功能，如果出现有的功能只有激活Cookie才能正常使用的话，系统应该弹出提示页面，告诉用户激活Cookie才能使用系统。

2、有选择性的拒绝Cookie

先删除所有的cookie，然后设置IE的cookie选项，设置Cookie自动提醒。然后运行所有web功能，当弹出cookie提示时，接收某些cookie，拒绝某些cookie。检查web系统的工作情况，看web服务器是否能检测出某些cookie被拒绝了，是否出现正确的提示信息。有可能web系统会因为这样而出现错误、崩溃、数据错乱，或其他不正常的行为。

3、篡改Cookie：

篡改或删除某些已存储下来的cookie，检测Web系统会出现什么问题。

测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱。另外，也可以尝试有选择性的删除Cookie。在运行web应用一段时间后，把其中某些cookie文件删除掉，然后继续使用web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。

4、Cookie加密：

检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理。某些类型的数据即时加密也不能存储在Cookie中。例如：信用卡号。

测试方法可以手工打开Cookie文件来查看，也可以lion个一些Cookie编辑工具来查看。例如：Cookie Editor.

5、Cookie安全内容检查：

对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。

Tips：可在“Expiration Date and Time”中查看Cookie的过期日期设置是否合理，查看“HttpOnly”和“Sccure”是否勾选上，勾选上表示设置为True，在“Cookie Value”中查看是否存在敏感信息，数据是否经过加密。