一种Cookie安全性测试的方法

一种Cookie安全性测试的方法
【专利摘要】本发明涉及Web系统安全测试【技术领域】，特别涉及一种Cookie安全性测试的方法。本发明所述的方法是先判断Web系统是否使用了Cookie；然后，对Cookie进行屏蔽、有选择性的拒绝和/或篡改测试Web系统反应；对Cookie加密和/或安全内容进行检查以确认是否安全或正确。本发明降低了用户使用Web系统的潜在风险，提高了Web系统的安全性；可以用于Web系统的安全性测试。
【专利说明】—种Cookie安全性测试的方法

【技术领域】
[0001]本发明涉及Web系统安全测试【技术领域】，特别涉及一种Cookie安全性测试的方法。

【背景技术】
[0002]Cookie提供了一种在Web应用程序中存储用户特定信息的方法，例如存储用户的上次访问时间等信息。假如不进行Cookie存储一个网站的用户行为，那么可能会造成以下问题:用户进行购买几件商品转到结算页面时，系统怎样知道用户之前订了哪几件商品。因为Cookie其中一个作用就是记录用户操作系统的日志，而系统对Cookie不单单是存储，还有读取，也就是说系统和用户之间是一个交互的过程，这称为有状态。
[0003]但是Cookie在带来这些编程的方便性的同时，也带来了安全上的问题。Cookie的安全性问题与从客户端获取数据的安全性问题是类似的，可以把Cookie看成是另外一种形式的用户输入，因此很容易被黑客们非法利用这些数据。由于Cookie保存在客户端，因为在客户端可以直接看到Cookie中存储的数据，而且可以在浏览器向服务器端发送Cookie之前更改Cookie的数据。因此，对Cookie的测试，尤其是安全性方面的测试非常重要，是Web应用系统测试中的重要方面。


【发明内容】

[0004]本发明解决的技术问题在于提供一种Cookie安全性测试方法；解决Web应用系统Cookie安全性问题。
[0005]本发明解决上述技术问题的技术方案是:
[0006]所述的方法是先判断Web系统是否使用了 Cookie ;然后,对Cookie进行屏蔽、有选择性的拒绝和/或篡改测试Web系统反应；对Cookie加密和/或安全内容进行检查以确认是否安全或正确。
[0007]所述的判断web系统是否使用了 Cookie是:
[0008](I)找到电脑中存储 cookie 的目录，IE 一般放在 C:\Documents and Settings'user\Local Settings\Temporary Internet Files ；
[0009](2)删除所有Cookie，在IE中，Cookie与缓存的临时文件存储在一起；可使用IE中的删除Cookies文件功能来删除所有Cookie,也可直接找到存储Cookie文件的目录进行删除；
[0010](3)设置IE，当使用Cookie时自动提示。
[0011]所述的屏蔽Cookie ;首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况；如果用户必须激活Cookie使用设置才能正常运行Web系统，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况；当用户屏蔽了 Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。
[0012]5、根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于:所述的有选择性地拒绝Cookie ;先删除所有的Cookie，然后设置IE的Cookie选项，设置Cookie自动提醒；然后运行所有Web功能，当弹出Cookie提示时，接收某些Cookie，拒绝某些Cookie ;检查Web系统的工作情况，看Web服务器是否能检测出某些Cookie被拒绝了，是否出现正确的提示信息。
[0013]所述的篡改Cookie ;篡改或删除某些已存储下来的Cookie，检测Web系统会出现什么问题；测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱；也可以尝试有选择性的删除Cookie ;在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。
[0014]所述的Cookie加密；检查存储的Cookie文件内容,看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看，也可以l1n个一些Cookie编辑工具来查看。
[0015]所述的Cookie安全内容检查包括:
[0016](I)Cookie过期日期设置的合理性:检查是否把Cookie的过期日期设置的过长；
[0017](2) HttpOnly属性的设置:把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取；
[0018](3) Sccure熟悉的设置:把Cookie的Sccure属性设置为True,在传输Cookie时使用SSL连接，保护数据在传输过程中不被篡改；
[0019]对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。
[0020]可以对IE浏览器进行设置，使IE浏览器在使用到Cookie时自动弹出提示窗口，以确切地知道测试时在什么时候、什么功能操作使用到了 Cookie。
[0021]本发明降低了用户使用Web系统的潜在风险，提高了 Web系统的安全性。

【专利附图】

【附图说明】
[0022]下面结合附图对本发明进一步说明:
[0023]图1为本发明的方法流程图。

【具体实施方式】
[0024]见图1所示，本发明Cookie安全性测试方法，具体包含以下几个步骤:
[0025]步骤1:先是如何判断web系统是否使用了 Cookie ；
[0026](I)找到电脑中存储 cookie 的目录。IE 一般放在 C:\Documents and Settings'user\Local Settings\Temporary Internet Files。
[0027](2)删除所有Cookie。在IE中，Cookie与缓存的临时文件存储在一起。可使用IE中的删除Cookies文件功能来删除所有Cookie,也可直接找到存储Cookie文件的目录进行删除。
[0028](3)设置IE，当使用Cookie时自动提示。如果想确切地知道测试的Web系统在什么地方使用了 Cookie，可以对IE浏览器进行一些设置，让IE浏览器在使用到Cookie时自动弹出提示窗口，这样测试时就能知道在什么时候、什么功能操作使用到了 Cookie。。
[0029]步骤2:屏蔽Cookie ;这是最简单的Cookie测试方法,检查当Cookie被屏蔽时Web系统会出现什么问题。首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况。如果用户必须激活Cookie使用设置才能正常运行Web系统的话，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况，当用户屏蔽了 Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。
[0030]步骤3:有选择性地拒绝Cookie ;先删除所有的Cookie，然后设置IE的Cookie选项，设置Cookie自动提醒。然后运行所有Web功能，当弹出Cookie提示时，接收某些Cookie,拒绝某些Cookie。检查Web系统的工作情况，看Web服务器是否能检测出某些Cookie被拒绝了，是否出现正确的提示信息。有可能Web系统会因为这样而出现错误、崩溃、数据错乱，或其他不正常的行为。
[0031]步骤4:篡改Cookie ;篡改或删除某些已存储下来的Cookie，检测Web系统会出现什么问题。测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱。也可以尝试有选择性的删除Cookie。在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。
[0032]步骤5 =Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理。某些类型的数据即时加密也不能存储在Cookie中。例如:信用卡号。测试方法可以手工打开Cookie文件来查看,也可以I1n个一些Cookie编辑工具来查看。例如:Cookie Editor。
[0033]步骤6:Cookie安全内容检查:
[0034](I)Cookie过期日期设置的合理性:检查是否把Cookie的过期日期设置的过长；
[0035](2) HttpOnly属性的设置:把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取；
[0036](3) Sccure熟悉的设置:把Cookie的Sccure属性设置为True,在传输Cookie时使用SSL连接，能保护数据在传输过程中不被篡改。
[0037]对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。
【权利要求】
1.一种Cookie安全性测试的方法，其特征在于:所述的方法是先判断Web系统是否使用了 Cookie ;然后，对Cookie进行屏蔽、有选择性的拒绝和/或篡改测试Web系统反应；对Cookie加密和/或安全内容进行检查以确认是否安全或正确。
2.根据权利要求1所述的Cookie安全性测试方法，其特征在于:所述的判断web系统是否使用了 Cookie是: (1)找到电脑中存储cookie 的目录，IE 一般放在 C:\Documents and Settings\user\Local Settings\Temporary Internet Files ； (2)删除所有Cookie，在IE中，Cookie与缓存的临时文件存储在一起；可使用IE中的删除Cookies文件功能来删除所有Cookie,也可直接找到存储Cookie文件的目录进行删除； (3)设置IE，当使用Cookie时自动提示。
3.根据权利要求1所述的Cookie安全性测试方法，其特征在于:所述的屏蔽Cookie；首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况；如果用户必须激活Cookie使用设置才能正常运行Web系统，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况；当用户屏蔽了 Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。
4.根据权利要求2所述的Cookie安全性测试方法，其特征在于:所述的屏蔽Cookie；首先关闭所有浏览器实例，删除测试机器上的所有Cookie，然后运行Web系统的所有主要功能，很多时候会出现功能不能正常运行的情况；如果用户必须激活Cookie使用设置才能正常运行Web系统，则需要检查Web服务器是否能正确识别出客户端的Cookie设置情况；当用户屏蔽了 Cookie时，Web服务器应该发送一个提示页面，告诉用户激活Cookie设置才能使用系统。
5.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于:所述的有选择性地拒绝Cookie ;先删除所有的Cookie，然后设置IE的Cookie选项，设置Cookie自动提醒；然后运行所有Web功能，当弹出Cookie提示时,接收某些Cookie,拒绝某些Cookie ；检查Web系统的工作情况，看Web服务器是否能检测出某些Cookie被拒绝了，是否出现正确的提不?目息。
6.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于:所述的篡改Cookie ;篡改或删除某些已存储下来的Cookie,检测Web系统会出现什么问题；测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱；也可以尝试有选择性的删除Cookie ;在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。
7.根据权利要求5所述的Cookie安全性测试方法，其特征在于:所述的篡改Cookie；篡改或删除某些已存储下来的Cookie，检测Web系统会出现什么问题；测试过程中查找是否有业务逻辑是依赖Cookie存储值而进行的，如果有，则尝试修改Cookie的值，看是否导致功能不正常，或者业务逻辑的胡乱；也可以尝试有选择性的删除Cookie ;在运行Web应用一段时间后，把其中某些Cookie文件删除掉，然后继续使用Web系统，看会出现什么情况，是否能恢复或者是否有数据丢失或错乱。
8.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于:所述的Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看,也可以I1n个一些Cookie编辑工具来查看。
9.根据权利要求5所述的Cookie安全性测试方法,其特征在于:所述的Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看,也可以I1n个一些Cookie编辑工具来查看。
10.根据权利要求6所述的Cookie安全性测试方法,其特征在于:所述的Cookie加密；检查存储的Cookie文件内容，看是否有用户名、密码等敏感信息存储，并且未加密处理；可以手工打开Cookie文件来查看,也可以I1n个一些Cookie编辑工具来查看。
11.根据权利要求1至4任一项所述的Cookie安全性测试方法，其特征在于:所述的Cookie安全内容检查包括: (1)Cookie过期日期设置的合理性:检查是否把Cookie的过期日期设置的过长； (2)HttpOnly属性的设置:把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取； (3)Sccure熟悉的设置:把Cookie的Sccure属性设置为True,在传输Cookie时使用SSL连接，保护数据在传输过程中不被篡改； 对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。
12.根据权利要求5所述的Cookie安全性测试方法,其特征在于:所述的Cookie安全内容检查包括: (1)Cookie过期日期设置的合理性:检查是否把Cookie的过期日期设置的过长； (2)HttpOnly属性的设置:把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取； (3)Sccure熟悉的设置:把Cookie的Sccure属性设置为True,在传输Cookie时使用SSL连接，保护数据在传输过程中不被篡改； 对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。
13.根据权利要求6所述的Cookie安全性测试方法,其特征在于:所述的Cookie安全内容检查包括: (1)Cookie过期日期设置的合理性:检查是否把Cookie的过期日期设置的过长； (2)HttpOnly属性的设置:把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取； (3)Sccure熟悉的设置:把Cookie的Sccure属性设置为True,在传输Cookie时使用SSL连接，保护数据在传输过程中不被篡改； 对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。
14.根据权利要求8所述的Cookie安全性测试方法,其特征在于:所述的Cookie安全内容检查包括: (1)Cookie过期日期设置的合理性:检查是否把Cookie的过期日期设置的过长； (2)HttpOnly属性的设置:把Cookie的HttpOnly属性设置为True有助于缓解跨站点脚本威胁，防止Cookie被窃取； (3) Sccure熟悉的设置:把Cookie的Sccure属性设置为True,在传输Cookie时使用SSL连接，保护数据在传输过程中不被篡改； 对于上面这些设置，可以利用Cookie Editor来查看是否正确地被设置。
15.根据权利要求2所述的Cookie安全性测试方法，其特征在于:可以对IE浏览器进行设置，使IE浏览器在使用到Cookie时自动弹出提示窗口，以确切地知道测试时在什么时候、什么功能操作使用到了 Cookie。
【文档编号】G06F21/52GK104392170SQ201410655769
【公开日】2015年3月4日 申请日期:2014年11月17日 优先权日:2014年11月17日
【发明者】何龙泉, 徐震宇, 孙傲冰, 季统凯 申请人:国云科技股份有限公司