1、清空缓存、cookie(不只是网络缓存)
在火狐下,如下图:
否则,会影响测试效果及对有效cookie的分析判断;
2、搞清楚哪个cookie是会话id(sessionid),这个在cookie事先都清空,无历史干扰时会很好判断的,见1;
3、搞清楚哪个是登录后协商产生的cookie
4、搞清楚协商过程,服务端、客户端中谁发起的,发起后能否改变(往往攻击就在这);改变后的反应是什么:认同修改?还是不认同,抛弃?还是强制返回程序初始页面?(这是协商过程中的)
5、cookie能否修改?(增删改)改变后的处理,是强制返回。。。(同上)(这是协商后,或者说是登录成功后的)