51Testing软件测试论坛

标题: Web安全测试学习笔记(Cookie&Session) [打印本页]

作者: ruanyongjie 时间: 2007-8-3 11:26
标题: Web安全测试学习笔记(Cookie&Session)
一，Session：含义：有始有终的一系列动作\消息
1，  隐含了“面向连接” 和“保持状态”两种含义
2，  一种用来在客户端与服务器之间保持状态的解决方案
3，  也指这种解决方案的存储结构“把××保存在session里”

二， http 协议本来是无状态的，所以引进了cookie和session机制来保持连接状态

cookie与session 机制之间的区别与联系：
cookie机制采用的是在客户端保持状态的方法
session机制采用的是在服务器端保持状态的方案，由于在服务器端保  持状态的同时必须要求客户端提供一个标识，

三，关于cookie机制
Cookie 的使用是由浏览器按照一定的原则在后台自动发送给服务器的，浏览器会检查所有存储的cookie，如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置，则把该cookie附在请求资源的http请求头上发送给服务器。
存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而保存在内存里的cookie，不同的浏览器有不同的处理方式，对于IE，在一个打开的窗口上按CTRL＋ N（从文件菜单）打开的窗口可以与原窗口共享cookie，而使用其他方式新开的IE进程则不能共享已经打开的窗口的内存cookie。
Cookie的内容包括：名字，值，过期时间，路径和域

四，关于session的机制
当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个请求是否含了一个session 标识（session id），如果有，则说明以前为该客户创建了一个session，服务器就按照session id把这个session检索出来用，一般一个cookie的名字就是类似于session ID，如果cookie被禁止的时候（cookie可以被人为的禁止），经常使用重写URL的方式，把session ID附加在URL路径后面，为了在整个交互过程中始终保持状态，就必须在每个客户端可能请求的路径后面都包含这个session id。
人们以为：“把浏览器关闭了，session 就小时了”其实不对，除非程序通知服务器删除一个session，否则服务器会一直保留，而程序一般都是在用户作log off的时候发个指令去删除session。人们之所以会产生这种错觉，是因为大部分session会采用cookie来保存session，而关闭浏览器后这个session就消失了，如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的http请求头，把原来的session id发送给服务器，则再次打开浏览器，其实是可以再次找到之前的session id的。所以设置失效时间可以起到一定的保护作用。

五，关于session的一些问题
1，  session何时被创建：不是在客户端访问时就被创建，而是在服务器端调用httpservletRequest.getSession(true)时才被创建。
2，  session何时被删除：  A，程序调用httpSession.invalidate(),B距离上一次收到客户端发送的session id时间间隔超过了session的超时设置 C，  服务器进程被停止（非持久session）
3，  如何做到关闭浏览器同时关闭session：  严格说做不到，可以让所有的客户端页面使用window.onclose来监视浏览器的关闭东西，然后向服务器发送一个请求来删除session，但是对于浏览器崩溃或者强行杀死进程时仍然无能为力。

作者: zhouzxcv 时间: 2007-9-19 01:05
谢谢~——~

作者: angel-lz 时间: 2007-9-21 23:57
辛苦

作者: yanhuali888 时间: 2007-9-25 11:48
请问对于cookie &Session在实际过程怎么测试。对安全存在怎样的安全隐患？

作者: tongfei96 时间: 2007-10-5 13:23
标题: 谢谢
谢谢

作者: 1qazse4 时间: 2007-10-9 16:14
版主辛苦了
谢谢
学习，我狂学习；呼吸，我深呼吸！~！

作者: MTest20101219 时间: 2010-12-19 20:54
学习中，谢谢。

作者: ericzhou2009 时间: 2011-1-28 11:50
版主辛苦了

作者: gaichifanle 时间: 2011-11-9 17:36
谢谢斑竹

作者: moyiyun 时间: 2011-11-15 09:46
回复 4# yanhuali888

我也比较关注这个问题，不知道在进行安全测试的时候要不要禁用cookie。

作者: 朱丽娟 时间: 2013-7-15 16:26
真心学习了

作者: Miss_love 时间: 2013-11-18 10:03
还是不太清楚。

作者: auto_tester 时间: 2015-10-9 14:15
学习了~！！

作者: 慢慢乌龟宝宝 时间: 2015-11-13 16:56
学习了

作者: sglxk 时间: 2015-11-26 15:34
没有问题，坚决支持

作者: michealbjw 时间: 2016-1-14 09:26
要是可以把利用session和cookie产生的危害也写一下就更好了

作者: Gaecer 时间: 2017-7-19 14:25
THX

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)