Pruebas de seguridad: cookies

¿Qué es una cookie?

Una cookie es una pequeña pieza de información enviada por un servidor web para almacenar en un navegador web para que luego pueda ser leída por el navegador. De esta forma, el navegador recuerda cierta información personal específica. Si un pirata informático se apodera de la información de la cookie, puede provocar problemas de seguridad.

Propiedades de las Cookies

Estas son algunas propiedades importantes de las cookies:

  • Suelen ser pequeños archivos de texto, con etiquetas de identificación que se almacenan en el directorio del navegador de su computadora.

  • Los desarrolladores web los utilizan para ayudar a los usuarios a navegar por sus sitios web de manera eficiente y realizar determinadas funciones.

  • Cuando el usuario vuelve a navegar por el mismo sitio web, los datos almacenados en la cookie se envían de vuelta al servidor web para notificar al sitio web de las actividades anteriores del usuario.

  • Las cookies son inevitables para los sitios web que tienen enormes bases de datos, necesitan inicios de sesión y tienen temas personalizables.

Contenido de las cookies

La cookie contiene la siguiente información:

  • El nombre del servidor desde el que se envió la cookie.
  • La vida útil de la cookie.
  • Un valor, generalmente un número único generado aleatoriamente.

Tipos de cookies

  • Session Cookies- Estas cookies son temporales y se borran cuando el usuario cierra el navegador. Incluso si el usuario vuelve a iniciar sesión, se crea una nueva cookie para esa sesión.

  • Persistent cookies- Estas cookies permanecen en la unidad de disco duro a menos que el usuario las borre o caduquen. La caducidad de la galleta depende de cuánto tiempo puedan durar.

Prueba de cookies

Estas son las formas de probar las cookies:

  • Disabling Cookies- Como tester, necesitamos verificar el acceso al sitio web después de deshabilitar las cookies y verificar si las páginas funcionan correctamente. Navegar a todas las páginas del sitio web y ver si la aplicación se bloquea. También es necesario informar al usuario que se requieren cookies para utilizar el sitio.

  • Corrupting Cookies- Otra prueba que se debe realizar es corromper las cookies. Para hacer lo mismo, uno tiene que encontrar la ubicación de la cookie del sitio y editarla manualmente con datos falsos / no válidos que se pueden usar para acceder a información interna del dominio que a su vez se puede usar para piratear el sitio.

  • Removing Cookies - Eliminar todas las cookies del sitio web y comprobar cómo reacciona el sitio web.

  • Cross-Browser Compatibility - También es importante comprobar que las cookies se escriben correctamente en todos los navegadores compatibles desde cualquier página que escriba cookies.

  • Editing Cookies- Si la aplicación utiliza cookies para almacenar información de inicio de sesión, entonces, como tester, deberíamos intentar cambiar el usuario en la barra de cookies o direcciones a otro usuario válido. La edición de la cookie no debería permitirle iniciar sesión en una cuenta de usuario diferente.

Visualización y edición de cookies

Los navegadores modernos admiten la visualización / edición de las cookies informadas dentro del propio navegador. Hay complementos para mozilla / chrome con los que podemos realizar la edición con éxito.

  • Editar el complemento de cookies para Firefox

  • Editar este complemento de cookies para Chrome

Deben realizarse los pasos para editar una cookie:

  • Descarga el complemento para Chrome desde aquí

  • Edite el valor de la cookie simplemente accediendo al complemento 'editar esta cookie' de Chrome como se muestra a continuación.