一種Cookie安全性測試的方法
【專利摘要】本發(fā)明涉及Web系統(tǒng)安全測試【技術(shù)領(lǐng)域】�,特別涉及一種Cookie安全性測試的方法。本發(fā)明所述的方法是先判斷Web系統(tǒng)是否使用了Cookie��;然后����,對Cookie進(jìn)行屏蔽、有選擇性的拒絕和/或篡改測試Web系統(tǒng)反應(yīng)�;對Cookie加密和/或安全內(nèi)容進(jìn)行檢查以確認(rèn)是否安全或正確。本發(fā)明降低了用戶使用Web系統(tǒng)的潛在風(fēng)險(xiǎn)����,提高了Web系統(tǒng)的安全性��;可以用于Web系統(tǒng)的安全性測試����。
【專利說明】—種Cookie安全性測試的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及Web系統(tǒng)安全測試【技術(shù)領(lǐng)域】���,特別涉及一種Cookie安全性測試的方法。
【背景技術(shù)】
[0002]Cookie提供了一種在Web應(yīng)用程序中存儲用戶特定信息的方法�����,例如存儲用戶的上次訪問時間等信息���。假如不進(jìn)行Cookie存儲一個網(wǎng)站的用戶行為�����,那么可能會造成以下問題:用戶進(jìn)行購買幾件商品轉(zhuǎn)到結(jié)算頁面時�,系統(tǒng)怎樣知道用戶之前訂了哪幾件商品��。因?yàn)镃ookie其中一個作用就是記錄用戶操作系統(tǒng)的日志���,而系統(tǒng)對Cookie不單單是存儲�����,還有讀取����,也就是說系統(tǒng)和用戶之間是一個交互的過程,這稱為有狀態(tài)�����。
[0003]但是Cookie在帶來這些編程的方便性的同時���,也帶來了安全上的問題����。Cookie的安全性問題與從客戶端獲取數(shù)據(jù)的安全性問題是類似的�����,可以把Cookie看成是另外一種形式的用戶輸入���,因此很容易被黑客們非法利用這些數(shù)據(jù)��。由于Cookie保存在客戶端�����,因?yàn)樵诳蛻舳丝梢灾苯涌吹紺ookie中存儲的數(shù)據(jù)����,而且可以在瀏覽器向服務(wù)器端發(fā)送Cookie之前更改Cookie的數(shù)據(jù)。因此��,對Cookie的測試�,尤其是安全性方面的測試非常重要,是Web應(yīng)用系統(tǒng)測試中的重要方面����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明解決的技術(shù)問題在于提供一種Cookie安全性測試方法��;解決Web應(yīng)用系統(tǒng)Cookie安全性問題���。
[0005]本發(fā)明解決上述技術(shù)問題的技術(shù)方案是:
[0006]所述的方法是先判斷Web系統(tǒng)是否使用了 Cookie ;然后,對Cookie進(jìn)行屏蔽�、有選擇性的拒絕和/或篡改測試Web系統(tǒng)反應(yīng)����;對Cookie加密和/或安全內(nèi)容進(jìn)行檢查以確認(rèn)是否安全或正確。
[0007]所述的判斷web系統(tǒng)是否使用了 Cookie是:
[0008](I)找到電腦中存儲 cookie 的目錄����,IE 一般放在 C:\Documents and Settings'user\Local Settings\Temporary Internet Files ���;
[0009](2)刪除所有Cookie,在IE中���,Cookie與緩存的臨時文件存儲在一起�;可使用IE中的刪除Cookies文件功能來刪除所有Cookie,也可直接找到存儲Cookie文件的目錄進(jìn)行刪除����;
[0010](3)設(shè)置IE,當(dāng)使用Cookie時自動提示�。
[0011]所述的屏蔽Cookie ;首先關(guān)閉所有瀏覽器實(shí)例,刪除測試機(jī)器上的所有Cookie����,然后運(yùn)行Web系統(tǒng)的所有主要功能,很多時候會出現(xiàn)功能不能正常運(yùn)行的情況���;如果用戶必須激活Cookie使用設(shè)置才能正常運(yùn)行Web系統(tǒng)����,則需要檢查Web服務(wù)器是否能正確識別出客戶端的Cookie設(shè)置情況����;當(dāng)用戶屏蔽了 Cookie時����,Web服務(wù)器應(yīng)該發(fā)送一個提示頁面�����,告訴用戶激活Cookie設(shè)置才能使用系統(tǒng)���。
[0012]5����、根據(jù)權(quán)利要求1至4任一項(xiàng)所述的Cookie安全性測試方法��,其特征在于:所述的有選擇性地拒絕Cookie ;先刪除所有的Cookie�,然后設(shè)置IE的Cookie選項(xiàng)���,設(shè)置Cookie自動提醒��;然后運(yùn)行所有Web功能��,當(dāng)彈出Cookie提示時�����,接收某些Cookie�,拒絕某些Cookie ;檢查Web系統(tǒng)的工作情況,看Web服務(wù)器是否能檢測出某些Cookie被拒絕了�,是否出現(xiàn)正確的提示信息。
[0013]所述的篡改Cookie ;篡改或刪除某些已存儲下來的Cookie��,檢測Web系統(tǒng)會出現(xiàn)什么問題��;測試過程中查找是否有業(yè)務(wù)邏輯是依賴Cookie存儲值而進(jìn)行的�,如果有,則嘗試修改Cookie的值�����,看是否導(dǎo)致功能不正常���,或者業(yè)務(wù)邏輯的胡亂�����;也可以嘗試有選擇性的刪除Cookie ;在運(yùn)行Web應(yīng)用一段時間后����,把其中某些Cookie文件刪除掉,然后繼續(xù)使用Web系統(tǒng)���,看會出現(xiàn)什么情況�����,是否能恢復(fù)或者是否有數(shù)據(jù)丟失或錯亂�。
[0014]所述的Cookie加密����;檢查存儲的Cookie文件內(nèi)容,看是否有用戶名、密碼等敏感信息存儲�����,并且未加密處理����;可以手工打開Cookie文件來查看�����,也可以l1n個一些Cookie編輯工具來查看�����。
[0015]所述的Cookie安全內(nèi)容檢查包括:
[0016](I)Cookie過期日期設(shè)置的合理性:檢查是否把Cookie的過期日期設(shè)置的過長;
[0017](2) HttpOnly屬性的設(shè)置:把Cookie的HttpOnly屬性設(shè)置為True有助于緩解跨站點(diǎn)腳本威脅��,防止Cookie被竊?���。?br>
[0018](3) Sccure熟悉的設(shè)置:把Cookie的Sccure屬性設(shè)置為True,在傳輸Cookie時使用SSL連接����,保護(hù)數(shù)據(jù)在傳輸過程中不被篡改;
[0019]對于上面這些設(shè)置�,可以利用Cookie Editor來查看是否正確地被設(shè)置。
[0020]可以對IE瀏覽器進(jìn)行設(shè)置��,使IE瀏覽器在使用到Cookie時自動彈出提示窗口�,以確切地知道測試時在什么時候、什么功能操作使用到了 Cookie��。
[0021]本發(fā)明降低了用戶使用Web系統(tǒng)的潛在風(fēng)險(xiǎn)�����,提高了 Web系統(tǒng)的安全性。
【專利附圖】
【附圖說明】
[0022]下面結(jié)合附圖對本發(fā)明進(jìn)一步說明:
[0023]圖1為本發(fā)明的方法流程圖����。
【具體實(shí)施方式】
[0024]見圖1所示,本發(fā)明Cookie安全性測試方法���,具體包含以下幾個步驟:
[0025]步驟1:先是如何判斷web系統(tǒng)是否使用了 Cookie �;
[0026](I)找到電腦中存儲 cookie 的目錄�。IE 一般放在 C:\Documents and Settings'user\Local Settings\Temporary Internet Files。
[0027](2)刪除所有Cookie�。在IE中,Cookie與緩存的臨時文件存儲在一起����。可使用IE中的刪除Cookies文件功能來刪除所有Cookie,也可直接找到存儲Cookie文件的目錄進(jìn)行刪除�����。
[0028](3)設(shè)置IE���,當(dāng)使用Cookie時自動提示�����。如果想確切地知道測試的Web系統(tǒng)在什么地方使用了 Cookie��,可以對IE瀏覽器進(jìn)行一些設(shè)置�����,讓IE瀏覽器在使用到Cookie時自動彈出提示窗口��,這樣測試時就能知道在什么時候�、什么功能操作使用到了 Cookie����。。
[0029]步驟2:屏蔽Cookie ;這是最簡單的Cookie測試方法,檢查當(dāng)Cookie被屏蔽時Web系統(tǒng)會出現(xiàn)什么問題�。首先關(guān)閉所有瀏覽器實(shí)例,刪除測試機(jī)器上的所有Cookie���,然后運(yùn)行Web系統(tǒng)的所有主要功能���,很多時候會出現(xiàn)功能不能正常運(yùn)行的情況。如果用戶必須激活Cookie使用設(shè)置才能正常運(yùn)行Web系統(tǒng)的話�,則需要檢查Web服務(wù)器是否能正確識別出客戶端的Cookie設(shè)置情況,當(dāng)用戶屏蔽了 Cookie時����,Web服務(wù)器應(yīng)該發(fā)送一個提示頁面�����,告訴用戶激活Cookie設(shè)置才能使用系統(tǒng)�。
[0030]步驟3:有選擇性地拒絕Cookie ;先刪除所有的Cookie�����,然后設(shè)置IE的Cookie選項(xiàng)���,設(shè)置Cookie自動提醒����。然后運(yùn)行所有Web功能����,當(dāng)彈出Cookie提示時,接收某些Cookie,拒絕某些Cookie�。檢查Web系統(tǒng)的工作情況,看Web服務(wù)器是否能檢測出某些Cookie被拒絕了�����,是否出現(xiàn)正確的提示信息。有可能Web系統(tǒng)會因?yàn)檫@樣而出現(xiàn)錯誤�����、崩潰����、數(shù)據(jù)錯亂����,或其他不正常的行為。
[0031]步驟4:篡改Cookie ;篡改或刪除某些已存儲下來的Cookie�,檢測Web系統(tǒng)會出現(xiàn)什么問題。測試過程中查找是否有業(yè)務(wù)邏輯是依賴Cookie存儲值而進(jìn)行的�,如果有,則嘗試修改Cookie的值�,看是否導(dǎo)致功能不正常,或者業(yè)務(wù)邏輯的胡亂���。也可以嘗試有選擇性的刪除Cookie�。在運(yùn)行Web應(yīng)用一段時間后�����,把其中某些Cookie文件刪除掉,然后繼續(xù)使用Web系統(tǒng)���,看會出現(xiàn)什么情況����,是否能恢復(fù)或者是否有數(shù)據(jù)丟失或錯亂�。
[0032]步驟5 =Cookie加密;檢查存儲的Cookie文件內(nèi)容�����,看是否有用戶名���、密碼等敏感信息存儲����,并且未加密處理�����。某些類型的數(shù)據(jù)即時加密也不能存儲在Cookie中��。例如:信用卡號�����。測試方法可以手工打開Cookie文件來查看,也可以I1n個一些Cookie編輯工具來查看。例如:Cookie Editor�����。
[0033]步驟6:Cookie安全內(nèi)容檢查:
[0034](I)Cookie過期日期設(shè)置的合理性:檢查是否把Cookie的過期日期設(shè)置的過長��;
[0035](2) HttpOnly屬性的設(shè)置:把Cookie的HttpOnly屬性設(shè)置為True有助于緩解跨站點(diǎn)腳本威脅�,防止Cookie被竊?����?�;
[0036](3) Sccure熟悉的設(shè)置:把Cookie的Sccure屬性設(shè)置為True,在傳輸Cookie時使用SSL連接��,能保護(hù)數(shù)據(jù)在傳輸過程中不被篡改����。
[0037]對于上面這些設(shè)置,可以利用Cookie Editor來查看是否正確地被設(shè)置���。
【權(quán)利要求】
1.一種Cookie安全性測試的方法���,其特征在于:所述的方法是先判斷Web系統(tǒng)是否使用了 Cookie ;然后�,對Cookie進(jìn)行屏蔽����、有選擇性的拒絕和/或篡改測試Web系統(tǒng)反應(yīng);對Cookie加密和/或安全內(nèi)容進(jìn)行檢查以確認(rèn)是否安全或正確�����。
2.根據(jù)權(quán)利要求1所述的Cookie安全性測試方法����,其特征在于:所述的判斷web系統(tǒng)是否使用了 Cookie是: (1)找到電腦中存儲cookie 的目錄,IE 一般放在 C:\Documents and Settings\user\Local Settings\Temporary Internet Files ��; (2)刪除所有Cookie����,在IE中,Cookie與緩存的臨時文件存儲在一起��;可使用IE中的刪除Cookies文件功能來刪除所有Cookie,也可直接找到存儲Cookie文件的目錄進(jìn)行刪除�����; (3)設(shè)置IE,當(dāng)使用Cookie時自動提示�。
3.根據(jù)權(quán)利要求1所述的Cookie安全性測試方法,其特征在于:所述的屏蔽Cookie���;首先關(guān)閉所有瀏覽器實(shí)例�,刪除測試機(jī)器上的所有Cookie�����,然后運(yùn)行Web系統(tǒng)的所有主要功能�,很多時候會出現(xiàn)功能不能正常運(yùn)行的情況�����;如果用戶必須激活Cookie使用設(shè)置才能正常運(yùn)行Web系統(tǒng)��,則需要檢查Web服務(wù)器是否能正確識別出客戶端的Cookie設(shè)置情況�����;當(dāng)用戶屏蔽了 Cookie時����,Web服務(wù)器應(yīng)該發(fā)送一個提示頁面�����,告訴用戶激活Cookie設(shè)置才能使用系統(tǒng)��。
4.根據(jù)權(quán)利要求2所述的Cookie安全性測試方法�����,其特征在于:所述的屏蔽Cookie��;首先關(guān)閉所有瀏覽器實(shí)例�����,刪除測試機(jī)器上的所有Cookie�,然后運(yùn)行Web系統(tǒng)的所有主要功能���,很多時候會出現(xiàn)功能不能正常運(yùn)行的情況����;如果用戶必須激活Cookie使用設(shè)置才能正常運(yùn)行Web系統(tǒng)���,則需要檢查Web服務(wù)器是否能正確識別出客戶端的Cookie設(shè)置情況���;當(dāng)用戶屏蔽了 Cookie時��,Web服務(wù)器應(yīng)該發(fā)送一個提示頁面���,告訴用戶激活Cookie設(shè)置才能使用系統(tǒng)。
5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的Cookie安全性測試方法��,其特征在于:所述的有選擇性地拒絕Cookie ;先刪除所有的Cookie����,然后設(shè)置IE的Cookie選項(xiàng),設(shè)置Cookie自動提醒�����;然后運(yùn)行所有Web功能����,當(dāng)彈出Cookie提示時,接收某些Cookie,拒絕某些Cookie �;檢查Web系統(tǒng)的工作情況,看Web服務(wù)器是否能檢測出某些Cookie被拒絕了����,是否出現(xiàn)正確的提不?目息���。
6.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的Cookie安全性測試方法,其特征在于:所述的篡改Cookie ;篡改或刪除某些已存儲下來的Cookie,檢測Web系統(tǒng)會出現(xiàn)什么問題���;測試過程中查找是否有業(yè)務(wù)邏輯是依賴Cookie存儲值而進(jìn)行的�,如果有����,則嘗試修改Cookie的值,看是否導(dǎo)致功能不正常����,或者業(yè)務(wù)邏輯的胡亂;也可以嘗試有選擇性的刪除Cookie ;在運(yùn)行Web應(yīng)用一段時間后����,把其中某些Cookie文件刪除掉,然后繼續(xù)使用Web系統(tǒng)�����,看會出現(xiàn)什么情況���,是否能恢復(fù)或者是否有數(shù)據(jù)丟失或錯亂����。
7.根據(jù)權(quán)利要求5所述的Cookie安全性測試方法,其特征在于:所述的篡改Cookie���;篡改或刪除某些已存儲下來的Cookie����,檢測Web系統(tǒng)會出現(xiàn)什么問題�����;測試過程中查找是否有業(yè)務(wù)邏輯是依賴Cookie存儲值而進(jìn)行的�����,如果有���,則嘗試修改Cookie的值����,看是否導(dǎo)致功能不正常�,或者業(yè)務(wù)邏輯的胡亂;也可以嘗試有選擇性的刪除Cookie ;在運(yùn)行Web應(yīng)用一段時間后���,把其中某些Cookie文件刪除掉���,然后繼續(xù)使用Web系統(tǒng),看會出現(xiàn)什么情況��,是否能恢復(fù)或者是否有數(shù)據(jù)丟失或錯亂���。
8.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的Cookie安全性測試方法�,其特征在于:所述的Cookie加密�;檢查存儲的Cookie文件內(nèi)容,看是否有用戶名���、密碼等敏感信息存儲�����,并且未加密處理����;可以手工打開Cookie文件來查看,也可以I1n個一些Cookie編輯工具來查看�����。
9.根據(jù)權(quán)利要求5所述的Cookie安全性測試方法,其特征在于:所述的Cookie加密;檢查存儲的Cookie文件內(nèi)容�����,看是否有用戶名����、密碼等敏感信息存儲,并且未加密處理��;可以手工打開Cookie文件來查看,也可以I1n個一些Cookie編輯工具來查看����。
10.根據(jù)權(quán)利要求6所述的Cookie安全性測試方法,其特征在于:所述的Cookie加密;檢查存儲的Cookie文件內(nèi)容��,看是否有用戶名���、密碼等敏感信息存儲���,并且未加密處理;可以手工打開Cookie文件來查看,也可以I1n個一些Cookie編輯工具來查看�����。
11.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的Cookie安全性測試方法���,其特征在于:所述的Cookie安全內(nèi)容檢查包括: (1)Cookie過期日期設(shè)置的合理性:檢查是否把Cookie的過期日期設(shè)置的過長�; (2)HttpOnly屬性的設(shè)置:把Cookie的HttpOnly屬性設(shè)置為True有助于緩解跨站點(diǎn)腳本威脅��,防止Cookie被竊?��?; (3)Sccure熟悉的設(shè)置:把Cookie的Sccure屬性設(shè)置為True,在傳輸Cookie時使用SSL連接���,保護(hù)數(shù)據(jù)在傳輸過程中不被篡改�����; 對于上面這些設(shè)置����,可以利用Cookie Editor來查看是否正確地被設(shè)置��。
12.根據(jù)權(quán)利要求5所述的Cookie安全性測試方法,其特征在于:所述的Cookie安全內(nèi)容檢查包括: (1)Cookie過期日期設(shè)置的合理性:檢查是否把Cookie的過期日期設(shè)置的過長�����; (2)HttpOnly屬性的設(shè)置:把Cookie的HttpOnly屬性設(shè)置為True有助于緩解跨站點(diǎn)腳本威脅,防止Cookie被竊?�?�; (3)Sccure熟悉的設(shè)置:把Cookie的Sccure屬性設(shè)置為True,在傳輸Cookie時使用SSL連接�����,保護(hù)數(shù)據(jù)在傳輸過程中不被篡改�����; 對于上面這些設(shè)置�,可以利用Cookie Editor來查看是否正確地被設(shè)置。
13.根據(jù)權(quán)利要求6所述的Cookie安全性測試方法,其特征在于:所述的Cookie安全內(nèi)容檢查包括: (1)Cookie過期日期設(shè)置的合理性:檢查是否把Cookie的過期日期設(shè)置的過長����; (2)HttpOnly屬性的設(shè)置:把Cookie的HttpOnly屬性設(shè)置為True有助于緩解跨站點(diǎn)腳本威脅,防止Cookie被竊?。? (3)Sccure熟悉的設(shè)置:把Cookie的Sccure屬性設(shè)置為True,在傳輸Cookie時使用SSL連接�,保護(hù)數(shù)據(jù)在傳輸過程中不被篡改; 對于上面這些設(shè)置,可以利用Cookie Editor來查看是否正確地被設(shè)置����。
14.根據(jù)權(quán)利要求8所述的Cookie安全性測試方法,其特征在于:所述的Cookie安全內(nèi)容檢查包括: (1)Cookie過期日期設(shè)置的合理性:檢查是否把Cookie的過期日期設(shè)置的過長; (2)HttpOnly屬性的設(shè)置:把Cookie的HttpOnly屬性設(shè)置為True有助于緩解跨站點(diǎn)腳本威脅�����,防止Cookie被竊?����?; (3) Sccure熟悉的設(shè)置:把Cookie的Sccure屬性設(shè)置為True,在傳輸Cookie時使用SSL連接��,保護(hù)數(shù)據(jù)在傳輸過程中不被篡改��; 對于上面這些設(shè)置��,可以利用Cookie Editor來查看是否正確地被設(shè)置�����。
15.根據(jù)權(quán)利要求2所述的Cookie安全性測試方法��,其特征在于:可以對IE瀏覽器進(jìn)行設(shè)置,使IE瀏覽器在使用到Cookie時自動彈出提示窗口��,以確切地知道測試時在什么時候�、什么功能操作使用到了 Cookie。
【文檔編號】G06F21/52GK104392170SQ201410655769
【公開日】2015年3月4日 申請日期:2014年11月17日 優(yōu)先權(quán)日:2014年11月17日
【發(fā)明者】何龍泉, 徐震宇, 孫傲冰, 季統(tǒng)凱 申請人:國云科技股份有限公司