關于cookies安全測試的一些感想

　前段時間一直在做公司接的Sony外包測試項目。當時拿到測試用例的時候覺得這只是個沒有技術含量的重復性活，對此也是覺得小Case，上百個不同歌手的bolg，然后測試一個簡單的注冊功能。

　　但是隨著測試的深入，發現其實遠遠我想象的那么簡單。測試步驟是：

　　1、清除瀏覽器中的cookies，然后關閉網站

　　2、粘貼sony提供的cookies鏈接于瀏覽器中，然后set cookies再粘貼網站鏈接注冊，輸入信息后，同時選擇小于13歲的brithday，那么這時候網站會注冊失敗

　　3、粘貼sony提供的cookies的鏈接，查看該cookies鏈接頁面是否保留了cookies，再remove cookies

　　4、再次關閉瀏覽器，再粘貼網站注冊，輸入大于13歲的brithday，那么是會成功，這時候調整客戶端的時間在29天后，再注冊小于13歲的brithday，那么是會失敗的。再退后調整2天，那么也是會失敗的。

　　5、在不同的瀏覽器和操作系統中根據測試步驟測試這些網站

　　其實整個測試的過程只是為了測試輸入13歲brithday成功后，是否會在本機客戶端的瀏覽器中保留有效的cookies，而造成小于13歲 brithday的人注冊成功，并且調整客戶端的時候就是為了驗證cookies的有效性，所有測試都是為了避免13歲brithday的人注冊成功而做的一個安全性測試。

　　雖然是個小小的測試，但是在不明白測試目的的時候，總是會很輕易的按照自己的常規思維來決定測試結果。開始覺得調整客戶端時間很白癡，應該是調整服務端才是正確的。開始覺得輸入大于13歲和小于13歲是為了測試邊界值，這種測試用例設計的很常規。開始覺得每個網站在不同的瀏覽器和操作系統里測試是為了找出 UI差異，他們需要的僅僅是勞力而已。當實際上我都錯了。

　　簡單的外包測試，其實蘊含著很深的東西，只有明白測試真正的需求，你才能真正的把測試執行好。

原文轉自：http://www.anti-gravitydesign.com