第三方WEB应用测试:Cookie安全属性(HttpOnly/Secure)的测试方法
Cookie是Web应用为了维持用户会话状态的,但Cookie安全性直接关系到用户账户与敏感数据的安危。HttpOnly和Secure是两种至关重要的Cookie安全属性,用于缓解跨站脚本(XSS)攻击和中间人攻击(MitM)的风险。
HttpOnly是指示浏览器禁止客户端脚本(如JavaScript)通过document.cookieAPI访问该Cookie。
HttpOnly的作用:极大程度上缓解XSS攻击的impact。即使网站存在XSS漏洞,攻击者也无法通过注入的脚本直接窃取标记为HttpOnly的Cookie(如SessionID),从而无法劫持用户会话。它是最重要、最基础的Cookie防护。
Secure是指示浏览器仅通过加密的HTTPS连接来发送该Cookie。在非加密的HTTP请求中,浏览器绝不会发送带有Secure属性的Cookie。
Secure作用:防止网络窃听者(如处于同一公共WiFi的攻击者)通过明文传输的流量轻松截获用户的会话Cookie。它要求整个网站必须全站HTTPS才能生效。
测试应覆盖Cookie的设置、传输、存储全过程。
手动检测-Cookie属性验证,这是最直接和基础的测试方法。
触发Cookie设置:正常访问网站,完成登录等会触发服务端设置Cookie的操作。
检查响应头(Set-Cookie):
打开浏览器开发者工具(F12),切换到“网络”(Network)标签页。
刷新页面或重新执行操作,在网络请求列表中,找到由服务器返回的响应(通常是登录请求或第一个文档请求)-。
点击该请求,查看“响应头”(ResponseHeaders)部分,找到Set-Cookie头。
验证:检查Set-Cookie头中是否包含HttpOnly和Secure标志。
示例:Set-Cookie:sessionId=apc123;path=/;expires=Mon,21Oct202405:00:00GMT;HttpOnly;Secure;SameSite=Lax;
检查存储的Cookie(可选验证):
在开发者工具中,切换到“应用程序”(Application)或“存储”(Storage)标签页。
在左侧导航栏中找到“Cookie”并展开,选择目标网站的域名。
右侧会列出所有当前存储的Cookie及其属性(HttpOnly、Secure、SameSite等)。
验证:确认关键的会话Cookie在此处的“HttpOnly”和“Secure”列已被勾选。注意:某些浏览器可能不会在此处显示所有属性,因此以Set-Cookie响应头为准。
客户端脚本访问测试(HttpOnly专项)
此测试旨在主动验证HttpOnly属性的有效性。
执行测试:在已登录目标网站的状态下,打开浏览器开发者工具的“控制台”(Console)标签页。
输入命令:键入document.cookie并执行。
结果分析:
测试通过:返回的字符串中不包含被标记为HttpOnly的Cookie(例如,看不到sessionId=abc123)。可能只显示一些非敏感、未设置HttpOnly的Cookie(如UI偏好设置)。
测试失败/漏洞:返回的字符串中包含了明显的会话标识符或其他敏感Cookie。这证明该Cookie未设置HttpOnly属性,存在被XSS攻击窃取的高风险。
明文传输测试(Secure专项)
此测试验证Secure属性是否有效防止Cookie在明文中传输。
强制HTTP访问:尝试使用http://协议(而非https://)访问网站的受限页面(如用户个人中心)。注意:现代浏览器可能会自动强制跳转到HTTPS。
拦截和分析请求(推荐方法-使用代理工具):
使用BurpSuite或OWASPZAP等中间人代理工具。
配置浏览器流量经过该代理。
即使浏览器自动跳转到HTTPS,代理工具通常可以拦截到最初的HTTP请求。
验证:查看工具捕获到的发出的HTTP请求头。在Cookie请求头中,不应出现任何标记了Secure属性的Cookie。
同时验证HTTPS请求:确保在正常的HTTPS请求中,这些Cookie被正常发送。结论:Secure属性工作正常,当且仅当该Cookie在HTTPS请求中被发送,而在HTTP请求中绝不发送。
自动化全面爬取与检测
手动测试可能遗漏某些边缘功能设置的Cookie。自动化工具可以提供更加全面的覆盖。
使用动态应用安全测试(DAST)工具:
工具:OWASPZAP,BurpSuiteProfessional(自带主动扫描功能),Nessus,QualysWAS等。
方法:配置工具对目标网站进行认证式爬取(提供测试账户凭证),让工具自动遍历网站的所有功能链接和表单。
报告分析:扫描完成后,查看工具生成的报告。高级安全扫描器通常会有一个专门的检查项(如“CookieWithoutHttpOnlyFlag”,“CookieWithoutSecureFlag”),并会列出所有存在问题的Cookie及其所在的URL,提供清晰的风险评估。
热门标签 换一换
WEB应用测试 API接口测试 接口性能测试 第三方系统测试 第三方网站系统测试 数据库系统检测 第三方数据库检测 第三方数据库系统检测 第三方软件评估 课题认证 第三方课题认证 小程序测试 app测试 区块链业务逻辑 智能合约代码安全 区块链 区块链智能合约 软件数据库测试 第三方数据库测试 第三方软件数据库测试 软件第三方测试 软件第三方测试方案 软件测试报告内容 网站测试报告 网站测试总结报告 信息系统测试报告 信息系统评估报告 信息系统测评 语言模型安全 语言模型测试 软件报告书 软件测评报告书 第三方软件测评报告 检测报告厂家 软件检测报告厂家 第三方网站检测 第三方网站测评 第三方网站测试 检测报告 软件检测流程 软件检测报告 第三方软件检测 第三方软件检测机构 第三方检测机构 软件产品确认测试 软件功能性测试 功能性测试 软件崩溃 稳定性测试 API测试 API安全测试 网站测试测评 敏感数据泄露测试 敏感数据泄露 敏感数据泄露测试防护 课题软件交付 科研经费申请 软件网站系统竞赛 竞赛CMA资质补办通道 中学生软件网站系统CMA资质 大学生软件网站系统CMA资质 科研软件课题cma检测报告 科研软件课题cma检测 国家级科研软件CMA检测 科研软件课题 国家级科研软件 web测评 网站测试 网站测评 第三方软件验收公司 第三方软件验收 软件测试选题 软件测试课题是什么 软件测试课题研究报告 软件科研项目测评报告 软件科研项目测评内容 软件科研项目测评 长沙第三方软件测评中心 长沙第三方软件测评公司 长沙第三方软件测评机构 软件科研结项强制清单 软件课题验收 软件申报课题 数据脱敏 数据脱敏传输规范 远程测试实操指南 远程测试 易用性专业测试 软件易用性 政府企业软件采购验收 OA系统CMA软件测评 ERP系统CMA软件测评 CMA检测报告的法律价值 代码原创性 软件著作登记 软件著作权登记 教育APP备案 教育APP 信息化软件项目测评 信息化软件项目 校园软件项目验收标准 智慧软件项目 智慧校园软件项目 CSRF漏洞自动化测试 漏洞自动化测试 CSRF漏洞 反序列化漏洞测试 反序列化漏洞原理 反序列化漏洞 命令执行 命令注入 漏洞检测 文件上传漏洞 身份验证 出具CMA测试报告 cma资质认证 软件验收流程 软件招标文件 软件开发招标 卓码软件测评 WEB安全测试 漏洞挖掘 身份验证漏洞 测评网站并发压力 测评门户网站 Web软件测评 XSS跨站脚本 XSS跨站 C/S软件测评 B/S软件测评 渗透测试 网站安全 网络安全 WEB安全 并发压力测试 常见系统验收单 CRM系统验收 ERP系统验收 OA系统验收 软件项目招投 软件项目 软件投标 软件招标 软件验收 App兼容性测试 CNAS软件检测 CNAS软件检测资质 软件检测 软件检测排名 软件检测机构排名 Web安全测试 Web安全 Web兼容性测试 兼容性测试 web测试 黑盒测试 白盒测试 负载测试 软件易用性测试 软件测试用例 软件性能测试 科技项目验收测试 首版次软件 软件鉴定测试 软件渗透测试 软件安全测试 第三方软件测试报告 软件第三方测试报告 第三方软件测评机构 湖南软件测评公司 软件测评中心 软件第三方测试机构 软件安全测试报告 第三方软件测试公司 第三方软件测试机构 CMA软件测试 CNAS软件测试 第三方软件测试 移动app测试 软件确认测试 软件测评 第三方软件测评 软件测试公司 软件测试报告 跨浏览器测试 软件更新 行业资讯 软件测评机构 大数据测试 测试环境 网站优化 功能测试 APP测试 软件兼容测试 安全测评 第三方测试 测试工具 软件测试 验收测试 系统测试 测试外包 压力测试 测试平台 bug管理 性能测试 测试报告 测试框架 CNAS认可 CMA认证 自动化测试
400-607-0568