1. Web安全的测试范围

2.Web安全的四要素

3. Web安全的分类

4. Web安全的类别排名

5. 零时差攻击

6. Web安全的载体

7. 了解软件安全测试相关的Cooike，Session，Token

7.1 会话级鉴权及认证技术

7.2 会话安全管理需要授权和鉴权两个步骤

7.3 Cookie

7.3.1 Cookie类型

7.3.2 Cookies测试(session测试同)

7.3.3 如何使用Cookie来保持登录状态

7.4 Session

7.4.1 session安全测试的原理

7.4.2 session安全测试的过程

7.4.3 Session的其他测试

7.4.4 如何使用Session来保持登录状态

7.4.5 Session的两种实现方式（也就是传递方式）

7.5 Token

7.5.1 Token概述

7.5.2 使用Token保持会话的原理

7.5.3 JWT

7.6 Session与Cookie的区别

7.6.1 存储位置不同

7.6.2 安全性不同

7.6.3 性能不同

7.6.4 会话的安全管理

7.6.5 其他

7.7 Web客户端的作用

7.8 Web服务端作用

1. Web安全的测试范围

服务器系统的漏洞，权限，网络端口的管理，Tomcat，Apache的配置，浏览器本身的安全配置，web应用程序本身的前端，后端，数据库安全等。

2.Web安全的四要素

安全性

可靠性

可用性

完整性

3. Web安全的分类

web安全性包括但不仅限于下面几个部分，做好系统，数据库，服务器配置的安全测量，提高整体的安全防护等级，确保开发的应用程序遵从安全标准开发。

4. Web安全的类别排名

5. 零时差攻击

0day又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞，通俗地讲，即安全补丁与瑕
疵曝光的同一日内，相关的恶意程序就出现，这种攻击往往具有很大的突发性与破坏性。

Oday就是只有你知道的一个漏洞!
1day就是刚刚公布的漏洞(没有超过一天)
nday就是这个漏洞已经公布出来了N天啦!

6. Web安全的载体

web安全的载体是网络协议，而网络协议中最常见的是http协议。

Http协议的性质：

HTTP是简单的
HTTP是可扩展的
HTTP是无状态，有会话的
HTTP是可靠的
Web客户端的作用

7. 了解软件安全测试相关的Cooike，Session，Token

7.1 会话级鉴权及认证技术

cookie管理、
session会话技术
token令牌技术

Cookie管理是浏览器的一种策略，用于解决http协议是无状态连接问题的， Cookie可以记录用户浏览历史，辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据。
不管是session会话技术还是token令牌技术都是基于cookie管理进行的。

7.2 会话安全管理需要授权和鉴权两个步骤

授权:相当于下发一个通行证(通行证保存cookie管理器)
鉴权:鉴定是否有权访问(判断有请求是否正确携带通行证)

7.3 Cookie

7.3.1 Cookie类型

会话Cookie：保存在内存中，由浏览器维护，浏览器关闭后消失。
持久性Cookie：保存在硬盘里，有过期时间，用户手动清理或到了过期时间，持久性Cookie会被删除。
Expires属性：Cookie中的maxAge或者Expired用来表示该属性，单位为秒

7.3.2 Cookies测试(session测试同)

Cookies是否起作用；
Cookies是否按预定的时间进行保存；
刷新对Cookies有什么影响
避免保存敏感信息到cookie文件中。如用户名、密码

作用域不同应用系统不同作用域。下图中为单个应用系统，Path对应的是这个cookie的作用域，斜杠表示根目录，即该条cookeie作用域为整个应用系统

Set-Cookie: access-token=LluyJIfAggsBH_woZgQAledLq3ZJzNwOD501WuvHNdjV5JthEWw; Path=/

屏蔽 Cookie，检查当Cookie 被屏蔽时Web 系统会出现什么问题
篡改Cookie，如果某些存储下来的Cookie 被篡改了，或者被删除了，Web 系统会出现什么问题吗？优秀的设计则会检测到Cookie 数据的篡改，及时更新替换Cookie 文件
Cookie 加密测试，检查存储的Cookie 文件内容，看是否有用户名、密码等敏感信息存储，并且未被加密处理。某些类型的数据即使是加密了也绝对不能存储在Cookie 文件中的，例如：信用卡号。
HttpOnly 属性的设置：把Cookie 的HttpOnly 属性设置为True 有助于缓解跨站点脚本威胁，防止Cookie 被窃取
Secure 属性的设置：把Cookie 的Secure 属性设置为True，在传输Cookie 时使用SSL连接，能保护数据在传输过程中不被篡改
Cookie 过期日期设置的合理性：检查是否把Cookie 的过期日期设置得过长

7.3.3 如何使用Cookie来保持登录状态

7.4 Session

用户第一次请求服务器时，服务器端会生成一个sessionId
服务器端将生成的sessionId返回给客户端，通过set-cookie
客户端收到sessionId会将它保存在Cookie中，当客户端再次访问服务端时会带上这个sessionId
当服务端再次接收到来自客户端的请求时，会先去检查是否存在sessionId，不存在就新建一个sessionId重复1,2的流程，如果存在就去遍历服务端的session文件，找到与这个sessionId相对应的文件，文件中的键值便是sessionId，值为当前用户的一些信息
此后的请求都会交换这个 sessionId ，进行有状态的会话

7.4.1 session安全测试的原理

Session是应用系统对浏览器客户端身份认证的属性标识，在用户退出系统时应将客户端session认证属性标识清空。如果未能及时清空客户端session标识，下次登录时系统会重复利用该session标识进行认证会话。攻击者可以利用该漏洞生成固定的session会话，诱骗用户利用攻击者生成的固定会话进行系统登录，从而导致用户会话认证被窃取。

7.4.2 session安全测试的过程

在注销退出系统时，对当前浏览器授权 SessionID 值进行记录。再次登录系统，将本次授权 SessionID 值与上次进行比对校验。判断服务器是否使用与上次相同的 SessionID 值进行授权认证，若使用相同 SessionID 值则存在固定会话风险.

截取注销退出时请求中的sessionid
截取再次登录时的sessionid

7.4.3 Session的其他测试

session的创建时间点，是打开浏览器访问开始创建session?还是用户登陆时开始创建session? 还是其它情况下创建的
session的删除时间点，过期文件是否删除，关闭浏览器时，session是否会删除？当有多个窗口时，是全部关掉还是关掉一个会删除session?
session超时，基于Session原理，需要验证系统session是否有超时机制，还需要验证session超时后功能是否还能继续走下去。

测试方法：

1）打开一个页面，等着10分钟session超时时间到了，然后对页面进行操作，查看效果。

2）多TAB浏览器，在两个TAB页中都保留的是用户A的session记录，然后在其中一个TAB页执行退出操作，马上在另外一个页面进行要验证的操作，查看是能继续到下一步还是到登录页面。

session互窜，即是用户A的操作被用户B执行。

测试方法：

多TAB浏览器，在两个TAB页中都保留的是用户A的session记录，然后在其中一个TAB页执行退出操作，登陆用户B，此时两个TAB页都是B的session，然后在另一个A的页面执行操作，查看是否能成功。预期结果：有权限控制的操作，B不能执行A页面的操作，应该报错，没有权限控制的操作，B执行了A页面操作后，数据记录是B的而不是A的