基于策略推导的访问控制漏洞测试用例生成方法
本文选题:软件测试 切入点:Web应用 出处:《计算机学报》2017年12期
【摘要】:Web应用已经成为越来越流行的信息传输媒介.为了保护重要信息不被泄漏,许多Web应用设计了针对不同角色不同用户的访问控制机制.然而由于不完善的访问控制机制,使得访问控制漏洞仍普遍存在,攻击者可对Web应用的敏感数据进行非法访问.为了获得准确的访问控制机制,测试用例的准确性和有效性至关重要.然而,现有的测试用例生成方法存在漏报、冗余度高等缺陷.文中根据Web应用程序的访问控制模型,提出一种基于策略推导的测试用例生成方法.此方法从角色和用户两个级别发现对应的授权操作集合,推导Web应用程序的访问控制策略,并利用推导所得访问控制策略生成合法与非法两类测试用例.其中,合法用例用以对推导所得策略的正确性进行验证,非法用例通过违背授权约束生成,用以检测Web应用程序的访问控制漏洞.为了对方法的有效性进行验证,我们设计并实现原型系统ACV-Scanner,并将其运行在开源Web应用上.实验结果表明该方法在能全面检测各种类型的访问控制漏洞的前提下,对测试用例进行了精简,与同类研究对比,减少漏报,提高了效率.
[Abstract]:Web applications have become more and more popular media for information transmission. In order to protect important information from being leaked, many Web applications have designed access control mechanisms for different roles and different users. In order to obtain accurate access control mechanism, it is very important to test the accuracy and validity of the use cases. The existing test case generation methods have some defects, such as missing reports and high redundancy. According to the access control model of Web application, This paper presents a test case generation method based on policy derivation, which finds the corresponding set of authorization operations from role and user levels, and deduces the access control policy of Web application. Two kinds of test cases are generated by using the derived access control strategy. Among them, the legal use cases are used to verify the correctness of the derived strategies, and the illegal use cases are generated by violating the authorization constraints. To detect access control vulnerabilities in Web applications. To verify the validity of the method, We design and implement the prototype system ACV-Scanner, and run it in open source Web application. The experimental results show that the method can detect all kinds of access control vulnerabilities, and the test cases are simplified and compared with the similar research. Reduce the missing report and improve the efficiency.
【作者单位】: 南开大学计算机与控制工程学院;山东交通学院信息科学与电气工程学院;
【基金】:天津市自然科学基金重点项目(12JCZDJC20800) 天津市科技计划项目(13ZCZDGX01098) 国家科技支撑计划项目(2013BAH01B05) 国家自然科学基金青年基金项目(61402264)资助~~
【分类号】:TP311.53;TP393.09
【相似文献】
相关期刊论文 前10条
1 李留英,王戟,齐治昌;UML statecharts的测试用例生成方法[J];计算机研究与发展;2001年06期
2 路晓丽;葛玮;陈新丽;郝克刚;;支持共享和复用的测试用例库系统的设计[J];计算机科学;2006年05期
3 胡珊;杨丰玉;张晔;刘琳岚;;基于测试项抽取的测试用例复用方法[J];微电子学与计算机;2010年01期
4 张德平;查日军;;划分测试用例选择的风险决策方法[J];计算机应用研究;2010年12期
5 杨翊;陈挺;许峥;;证券软件的测试用例设计充分性实践[J];中国证券期货;2012年07期
6 张智轶;陈振宇;徐宝文;杨瑞;;测试用例演化研究进展[J];软件学报;2013年04期
7 杨悦;秦湘河;杨永安;郭荣;;航天测控软件测试用例标准及应用研究[J];无线电工程;2013年09期
8 王侃,卢庆龄,彭艳丽;测试用例自动生成的链方法研究与实现[J];装甲兵工程学院学报;2001年03期
9 李顺华;测试用例管理方法探讨[J];飞航导弹;2001年05期
10 徐仁佐,陈斌,陈波,吴闽泉,熊忠伟;构造面向对象软件可复用测试用例的模式研究[J];武汉大学学报(理学版);2003年05期
相关会议论文 前10条
1 王道堂;林春哲;张凯;;软件测试用例构造方法与手段[A];计算机技术在工程建设中的应用——第十二届全国工程建设计算机应用学术会议论文集[C];2004年
2 李磊;曹先彬;;基于进化的软件测试用例生成方法[A];2005年“数字安徽”博士科技论坛论文集[C];2005年
3 徐李勤;王洁宁;;基于层次有色Petri网的软件测试用例选取研究[A];全国第二届信号处理与应用学术会议专刊[C];2008年
4 林春哲;张凯;王道堂;;软件测试用例设计分析[A];计算机技术在工程建设中的应用——第十二届全国工程建设计算机应用学术会议论文集[C];2004年
5 张侠影;李志蜀;;一种优化的测试用例约简方法[A];2008'中国信息技术与应用学术论坛论文集(一)[C];2008年
6 张德平;聂长海;徐宝文;;划分测试用例选择策略研究[A];第五届中国测试学术会议论文集[C];2008年
7 郭从颖;;场景驱动测试用例设计及其测试自动化技术研究[A];中国计量协会冶金分会2008年会论文集[C];2008年
8 郭从颖;;场景驱动测试用例设计及其测试自动化技术研究[A];2008全国第十三届自动化应用技术学术交流会论文集[C];2008年
9 周晓燕;李兵;潘伟丰;覃叶宜;;基于错误传播概率网络的软件回归测试用例选择[A];第五届全国复杂网络学术会议论文(摘要)汇集[C];2009年
10 万琳;张威;马雪雁;陈曼青;;基于路径的测试用例自动生成技术[A];第十届全国容错计算学术会议论文集[C];2003年
相关重要报纸文章 前5条
1 深圳市信息无障碍研究会 戴杰;“听”软件的IT工程师[N];人民政协报;2014年
2 谢敏 沈雪芳 戴金龙;解决软件测试的近忧和远虑[N];计算机世界;2005年
3 《网络世界》记者 郑楠;ONF测试步伐有条不紊[N];网络世界;2014年
4 ;找错[N];计算机世界;2002年
5 信息产业部软件与集成电路促进中心 于明邋唐仕武;驶入测试“快车道”[N];计算机世界;2007年
相关博士学位论文 前10条
1 罗玲;扩展π演算的建模、验证与测试[D];西安电子科技大学;2015年
2 王志强;基于模糊测试的漏洞挖掘及相关攻防技术研究[D];西安电子科技大学;2015年
3 涂径玄;基于覆盖分析的自动化错误定位关键技术研究[D];南京大学;2016年
4 苏亭;基于覆盖准则的软件测试用例自动化生成方法的研究与实现[D];华东师范大学;2016年
5 张功杰;基于集合进化与占优关系的变异测试用例生成[D];中国矿业大学;2017年
6 李丽;航天相机主控软件测试用例自动生成技术的研究[D];中国科学院研究生院(长春光学精密机械与物理研究所);2010年
7 黄如兵;组合测试用例的自适应随机生成与优先级排序方法研究[D];华中科技大学;2013年
8 张娟;软件测试中测试用例复用的研究[D];上海大学;2012年
9 游亮;回归测试用例选择技术研究[D];华中科技大学;2012年
10 谢晓东;基于模型比较的软件测试用例生成方法研究[D];华中科技大学;2007年
相关硕士学位论文 前10条
1 田春艳;基于灰色关联逼近理想解方法的测试用例评价模型研究[D];昆明理工大学;2009年
2 唐海鹏;基于Additional策略回归测试用例优先级排序优化研究[D];西南大学;2015年
3 陈梦云;基于圈复杂度和调用次数的测试用例排序方法[D];上海师范大学;2015年
4 姚瑞超;广东电网测试用例自动生成工具的研究与设计[D];华南理工大学;2015年
5 张泽林;基于数据挖掘的软件多故障定位与分析技术[D];南京理工大学;2015年
6 邹炳松;嵌入式软件的图形化测试用例生成系统设计与实现[D];哈尔滨工业大学;2015年
7 李锦程;基于微信平台的医疗就诊系统设计与实现[D];哈尔滨工业大学;2015年
8 赵群;软件错误定位中的巧合正确性问题研究[D];哈尔滨工业大学;2015年
9 常龙辉;Web应用的测试用例优化生成与优先级技术[D];上海大学;2015年
10 王令赛;基于粒子群优化算法的测试用例生成技术研究[D];中国矿业大学;2015年
,本文编号:1680581
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1680581.html
