試析Web應(yīng)用中的Cookie測(cè)試方法

1、試析Web應(yīng)用中的Cookie測(cè)試方法Web應(yīng)用程序是一種可以通過WebW問的應(yīng)用程序。Web應(yīng)用程序的一個(gè)最大好處是用戶很容易訪問應(yīng)用程序。用戶只需要有瀏覽器即可，不需要再安裝其他軟件。那么，WebS用中的Cookie測(cè)試方法有哪些呢?請(qǐng)看本論文介紹。論文摘要：在WebfS用程序中，Cookie應(yīng)用十分廣泛，且給用戶帶來了極大的便利，然而，由于Cookie中所包含信息的敏感性，極易被不法人員利用而造成巨大損失，因此，如何對(duì)Cookie進(jìn)行有效的測(cè)試就成為用戶上網(wǎng)安全的重要保障。本文對(duì)Cookie的概念、作用和調(diào)用過程進(jìn)行了分析，并Cookie機(jī)制存在的問題進(jìn)行了討論，在此基礎(chǔ)上提出了Cook

2、ie測(cè)試的概念，并對(duì)Cookie測(cè)試的測(cè)試點(diǎn)進(jìn)行了分析，進(jìn)而采用測(cè)試工具進(jìn)行測(cè)試法、屏蔽測(cè)試法、有選擇性拒絕測(cè)試法、篡改測(cè)試法實(shí)現(xiàn)了對(duì)Cookie的初步測(cè)試。測(cè)試結(jié)果表明，本文所提出的方法在實(shí)現(xiàn)Cookie測(cè)試方面具有較好的效果。論文關(guān)鍵詞：Cookie測(cè)試;測(cè)試點(diǎn);Cookie測(cè)試方法Cookie技術(shù)由網(wǎng)景公司(Netscape)員工LouMontulli于1993年發(fā)明。隨后WorldWideWeb()協(xié)會(huì)支持并采納了Cookie標(biāo)準(zhǔn)，微軟也在InterExplorer瀏覽器中使用了Cookie?，F(xiàn)在，絕大多數(shù)瀏覽器都支持Cookie,幾乎所有的網(wǎng)站設(shè)計(jì)者都使用了Cookie技術(shù)。隨著co

3、okie技術(shù)的普及，cookie技術(shù)使得瀏覽網(wǎng)頁更加容易，但cookie技術(shù)的濫用也給用戶信息造成了極大的威脅。因此，如何對(duì)Cookie進(jìn)行有效的測(cè)試是就成為用戶上網(wǎng)安全的重要保證。本文提出了4種Cookie測(cè)試方法：測(cè)試工具測(cè)試法、屏蔽測(cè)試法、有選擇性拒絕測(cè)試法、篡改測(cè)試法對(duì)Cookie進(jìn)行全面的測(cè)試，實(shí)驗(yàn)表明，以上方法能夠有效實(shí)現(xiàn)對(duì)Cookie的全面測(cè)試，保證Cookie使用安全。1Cookie概述1.1 Cookie的概念及作用Cookie是Web!艮務(wù)器保存在用戶硬盤上的一段文本，它允許一個(gè)We應(yīng)占點(diǎn)在用戶的電腦上保存信息并且隨后再取回，信息的片斷以“名/值”(Name/Value)對(duì)

4、的形式儲(chǔ)存，用戶在瀏覽網(wǎng)頁時(shí)，服務(wù)器發(fā)送給瀏覽器的體積很小的純文本信息，它保存在客戶機(jī)的內(nèi)存或客戶機(jī)的硬盤中，用戶以后訪問同一個(gè)Webl艮務(wù)器時(shí)，瀏覽器會(huì)把它們?cè)瓨影l(fā)送給服務(wù)器。通過讓服務(wù)器讀取它原先保存到客戶端的信息，網(wǎng)站能夠?yàn)闉g覽者提供一系列方便1，例如在線交易過程中標(biāo)識(shí)用戶身份、安全要求不高的場(chǎng)合避免用戶重復(fù)輸入用戶名和密碼、門戶網(wǎng)站的主頁定制、有針對(duì)性地投放廣告等。目前Cookie技術(shù)已廣泛用于WebS用中。1.2 Cookie的組成Netscape公司規(guī)定的Cookie格式為：Name=VALUE;Expires=DATE;Path=PATH;Domain=DOMAIN_NAME;S

5、E。CURE它由變量名和及其對(duì)應(yīng)值兩部分組成，Nam和為Cookie的名稱，VALU學(xué)其值，Expires是cookie的生存期，PAT晰識(shí)URLM徑，Domain為域名2。(1)Name=VALUE:是Cookie必備部分，Nam啾表其名稱，VALUE為其賦值。(2)Expires=DATE：Expires變量標(biāo)識(shí)出Cookie生存期，可以缺省，其書寫格式為：星期幾，DD-MM-YYHHMMSSGMT(GIW示這是格林尼治時(shí)間)。(3)Domain=DOMAIN_NAME:Domain標(biāo)識(shí)出Cookie的主機(jī)名或域名，通過該參數(shù)可以指定Inter域中可讀取瀏覽器所存取的Cookie的WebI

6、艮務(wù)器，即只有這個(gè)域的頁面才可以使用Cookie中的信息。該參數(shù)若缺省時(shí)，設(shè)置Cookie的屬性值為該Web!艮務(wù)器的域名。(4)Path=PATH:Path定義了Web服務(wù)器上哪些路徑下的頁面可獲取服務(wù)器設(shè)置的Cookie。若Path值為“/，則Wet務(wù)器上所有的資源均可讀取該Cookie。該項(xiàng)若缺省，Path的屬性值表示由Web服務(wù)器傳給瀏覽器的資源的路徑名。(5)Secure：若Cookie中含有該變量，則說明瀏覽器和Webserver之間的通信協(xié)議為加密認(rèn)證協(xié)議(S)時(shí)，瀏覽器才可以向服務(wù)器提交相應(yīng)的Cookie。1.3 Cookie的調(diào)用過程圖1使用cookie實(shí)現(xiàn)單點(diǎn)登錄圖1所示C

7、ookie實(shí)現(xiàn)單點(diǎn)登錄的步驟如下：（1） 單點(diǎn)登錄客戶端產(chǎn)生WebS用，向單點(diǎn)登錄服務(wù)器請(qǐng)求訪問和使用受保護(hù)的應(yīng)用。（2） 單點(diǎn)登錄服務(wù)器分析客戶端請(qǐng)求，首先檢查這個(gè)客戶端是否已經(jīng)擁有創(chuàng)建好的有效Cookie。（3） 若沒有有效的Cookie,單點(diǎn)登錄客戶端則將Web應(yīng)用請(qǐng)求重定向至單點(diǎn)登錄服務(wù)器，用戶輸入相應(yīng)信息（如用戶名和密碼等），然后經(jīng)過LDAPI艮務(wù)器認(rèn)證，將會(huì)產(chǎn)生本次客戶端Web$問相關(guān)的Cookie。（4） 當(dāng)另一單點(diǎn)登錄客戶端再次產(chǎn)生該WebS用時(shí)，單點(diǎn)登錄服務(wù)器首先會(huì)檢測(cè)與該應(yīng)用相關(guān)的Cookie,然后將該Cookie在LDAP服務(wù)器中進(jìn)行驗(yàn)證;若驗(yàn)證無誤，則通過某種授權(quán)機(jī)制將

8、Cookie返還給Web應(yīng)用，則單點(diǎn)登錄客戶端就可訪問到個(gè)性化的Wet務(wù)（如不需要輸入用戶名和密碼，直接訪問等）。2Cookie機(jī)制存在的問題3Cookie測(cè)試方法研究3.1 Cookie測(cè)試點(diǎn)既然要對(duì)Cookie進(jìn)行測(cè)試，那么首先我們要找到Cookie的測(cè)試點(diǎn)是什么，然后方可進(jìn)行測(cè)試，所謂測(cè)試點(diǎn)指所具備的即功能項(xiàng)、性能指標(biāo)等，本文認(rèn)為Cookie測(cè)試的測(cè)試點(diǎn)主要有：數(shù)據(jù)完整性（參數(shù)完整性）、數(shù)據(jù)校驗(yàn)（輸入更改，頁面顯示效果）、生存期正常與否（是否可以達(dá)到預(yù)期保留時(shí)間）、可用性（是否可以正常工作）等幾個(gè)方面。3.2 Cookie測(cè)試方法3.2.1通過已有測(cè)試工具進(jìn)行測(cè)試常用的Cookie測(cè)試工具有：CookieEditor、IECookieView、CookiesManager、MyCookie等，本文以CookieEditor為例完成對(duì)Cookie的測(cè)試4。如圖所示，通過CookieEditor1.9可以輕松的查看電腦中所有存儲(chǔ)的Cookie的Na