关于cookies安全测试的一些感想

　前段时间一直在做公司接的Sony外包测试项目。当时拿到测试用例的时候觉得这只是个没有技术含量的重复性活，对此也是觉得小Case，上百个不同歌手的bolg，然后测试一个简单的注册功能。

　　但是随着测试的深入，发现其实远远我想象的那么简单。测试步骤是：

　　1、清除浏览器中的cookies，然后关闭网站

　　2、粘贴sony提供的cookies链接于浏览器中，然后set cookies再粘贴网站链接注册，输入信息后，同时选择小于13岁的brithday，那么这时候网站会注册失败

　　3、粘贴sony提供的cookies的链接，查看该cookies链接页面是否保留了cookies，再remove cookies

　　4、再次关闭浏览器，再粘贴网站注册，输入大于13岁的brithday，那么是会成功，这时候调整客户端的时间在29天后，再注册小于13岁的brithday，那么是会失败的。再退后调整2天，那么也是会失败的。

　　5、在不同的浏览器和操作系统中根据测试步骤测试这些网站

　　其实整个测试的过程只是为了测试输入13岁brithday成功后，是否会在本机客户端的浏览器中保留有效的cookies，而造成小于13岁 brithday的人注册成功，并且调整客户端的时候就是为了验证cookies的有效性，所有测试都是为了避免13岁brithday的人注册成功而做的一个安全性测试。

　　虽然是个小小的测试，但是在不明白测试目的的时候，总是会很轻易的按照自己的常规思维来决定测试结果。开始觉得调整客户端时间很白痴，应该是调整服务端才是正确的。开始觉得输入大于13岁和小于13岁是为了测试边界值，这种测试用例设计的很常规。开始觉得每个网站在不同的浏览器和操作系统里测试是为了找出 UI差异，他们需要的仅仅是劳力而已。当实际上我都错了。

　　简单的外包测试，其实蕴含着很深的东西，只有明白测试真正的需求，你才能真正的把测试执行好。

原文转自：http://www.ltesting.net