基于策略推导的访问控制漏洞测试用例生成研究

发布时间：2017-08-20 01:29

  本文关键词：基于策略推导的访问控制漏洞测试用例生成研究

  更多相关文章： WEB应用程序 访问控制漏洞 访问控制策略 测试用例生成

【摘要】：Web应用以互联网为基础平台,采用Web服务,为用户提供Internet服务的网络应用软件。随着Web技术的成熟与发展,Web应用被广泛应用,软件系统也越来越复杂,Web应用的安全问题愈发严重,访问控制漏洞便是其中一种主要的安全漏洞。访问控制漏洞主要是指恶意攻击者能够伪造请求,执行未经适当授权的访问功能,使得攻击者可以对敏感数据进行非法访问。因此,该问题在学术界和工业界引起了越来越多的关注。测试用例的生成一直以来都是软件测试中的难点问题,生成测试用例的质量对漏洞检测的准确性和效率至关重要。本文通过对Web应用的访问控制模型进行研究,基于该访问控制策略对此类漏洞的测试用例生成进行探讨和研究。首先,本文对Web应用中的访问控制漏洞的产生背景、概念以及相关的测试用例生成技术进行了介绍和分析。然后,通过研究Web应用的访问控制模型,提出一种基于黑盒的访问控制策略推导算法,并设计与构建基于策略推导的测试用例生成模型。该模型从角色和用户两个层次发现对应的授权操作集合,推导访问控制策略,然后利用该策略生成合法及非法两类测试用例。其中,合法测试用例用以验证推导所得策略的合法性,违背授权约束生成的非法测试用例用以检测访问控制漏洞。为了验证方法的有效性,本文设计并实现原型系统ACTC-Generator,运行在公开的Web应用上,结果表明该方法在保证一定覆盖率的同时,精简测试用例,减少了测试用例集的冗余度,提高了检测效率,具有一定的理论意义和应用价值。
【关键词】：WEB应用程序 访问控制漏洞 访问控制策略 测试用例生成
【学位授予单位】：南开大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要5-6
• Abstract6-13
• 第一章 绪论13-20
• 第一节 研究背景13-17
• 1.1.1 Web服务及其应用13-14
• 1.1.2 Web应用中的安全问题14
• 1.1.3 Web应用的访问控制策略及漏洞14-16
• 1.1.4 Web应用安全测试的测试用例生成16-17
• 第二节 国内外研究水平及现状17-18
• 1.2.1 Web应用测试用例生成技术的研究现状17-18
• 1.2.2 Web应用访问控制漏洞测试用例生成技术的研究现状18
• 第三节 研究目标及论文结构18-20
• 1.3.1 研究目标18
• 1.3.2 论文结构18-20
• 第二章 Web应用安全漏洞及测试用例生成技术研究与分析20-34
• 第一节 Web应用安全漏洞20-24
• 2.1.1 Web应用安全漏洞概述20-21
• 2.1.2 Web应用安全漏洞分类21-24
• 第二节 Web应用访问控制漏洞分析24-28
• 2.2.1 基本概念24
• 2.2.2 访问控制模型类型研究24-27
• 2.2.3 访问控制漏洞27-28
• 第三节 Web应用测试用例生成技术研究与分析28-34
• 2.3.1 人工分析生成技术28-29
• 2.3.2 模糊随机生成技术29-30
• 2.3.3 动态分析生成技术30-31
• 2.3.4 静态分析生成技术31-34
• 第三章 基于策略推导的访问控制漏洞测试用例生成模型设计34-47
• 第一节 语义定义34
• 第二节 交互数据样本生成34-35
• 第三节 策略推导35-42
• 3.3.1 RBR推导37-39
• 3.3.2 UBR推导39-42
• 第四节 测试用例生成方法42-47
• 3.4.1 合法测试用例生成42-43
• 3.4.2 非法测试用例生成43-47
• 第四章 基于策略推导的访问控制漏洞测试用例生成模型实现47-61
• 第一节 系统功能架构47-48
• 第二节 系统运行流程48-49
• 第三节 系统主要模块的设计与实现49-55
• 4.3.1 交互数据样本生成模块49-50
• 4.3.2 策略推导模块50-52
• 4.3.3 测试用例生成模块52-54
• 4.3.4 测试用例执行模块54-55
• 第四节 关键技术55-61
• 4.4.1 简单工厂模式55-58
• 4.4.2 XML文件解析58-61
• 第五章 基于策略推导的访问控制漏洞测试用例生成模型测试61-67
• 第一节 测试的目的61
• 第二节 测试环境61-62
• 第三节 测试过程62-64
• 第四节 测试结果64-67
• 第六章 总结和展望67-69
• 第一节 本文工作总结67-68
• 第二节 研究工作展望68-69
• 参考文献69-72
• 致谢72-73
• 个人简历与研究成果73

【相似文献】

中国期刊全文数据库 前10条

1 路晓丽;葛玮;陈新丽;郝克刚;;支持共享和复用的测试用例库系统的设计[J];计算机科学;2006年05期

2 胡珊;杨丰玉;张晔;刘琳岚;;基于测试项抽取的测试用例复用方法[J];微电子学与计算机;2010年01期

3 张德平;查日军;;划分测试用例选择的风险决策方法[J];计算机应用研究;2010年12期

4 杨翊;陈挺;许峥;;证券软件的测试用例设计充分性实践[J];中国证券期货;2012年07期

5 张智轶;陈振宇;徐宝文;杨瑞;;测试用例演化研究进展[J];软件学报;2013年04期

6 杨悦;秦湘河;杨永安;郭荣;;航天测控软件测试用例标准及应用研究[J];无线电工程;2013年09期

7 王侃,卢庆龄,彭艳丽;测试用例自动生成的链方法研究与实现[J];装甲兵工程学院学报;2001年03期

8 李顺华;测试用例管理方法探讨[J];飞航导弹;2001年05期

9 徐仁佐,陈斌,陈波,吴闽泉,熊忠伟;构造面向对象软件可复用测试用例的模式研究[J];武汉大学学报(理学版);2003年05期

10 陈绍英;金成姬;;性能测试用例[J];程序员;2004年11期

中国重要会议论文全文数据库 前10条

1 王道堂;林春哲;张凯;;软件测试用例构造方法与手段[A];计算机技术在工程建设中的应用——第十二届全国工程建设计算机应用学术会议论文集[C];2004年

2 李磊;曹先彬;;基于进化的软件测试用例生成方法[A];2005年“数字安徽”博士科技论坛论文集[C];2005年

3 徐李勤;王洁宁;;基于层次有色Petri网的软件测试用例选取研究[A];全国第二届信号处理与应用学术会议专刊[C];2008年

4 林春哲;张凯;王道堂;;软件测试用例设计分析[A];计算机技术在工程建设中的应用——第十二届全国工程建设计算机应用学术会议论文集[C];2004年

5 张侠影;李志蜀;;一种优化的测试用例约简方法[A];2008'中国信息技术与应用学术论坛论文集（一）[C];2008年

6 张德平;聂长海;徐宝文;;划分测试用例选择策略研究[A];第五届中国测试学术会议论文集[C];2008年

7 郭从颖;;场景驱动测试用例设计及其测试自动化技术研究[A];中国计量协会冶金分会2008年会论文集[C];2008年

8 郭从颖;;场景驱动测试用例设计及其测试自动化技术研究[A];2008全国第十三届自动化应用技术学术交流会论文集[C];2008年

9 周晓燕;李兵;潘伟丰;覃叶宜;;基于错误传播概率网络的软件回归测试用例选择[A];第五届全国复杂网络学术会议论文（摘要）汇集[C];2009年

10 万琳;张威;马雪雁;陈曼青;;基于路径的测试用例自动生成技术[A];第十届全国容错计算学术会议论文集[C];2003年

中国重要报纸全文数据库 前6条

1 深圳市信息无障碍研究会 戴杰;“听”软件的IT工程师[N];人民政协报;2014年

2 谢敏 沈雪芳 戴金龙;解决软件测试的近忧和远虑[N];计算机世界;2005年

3 计算机世界实验室 韩勖;拨云见日[N];计算机世界;2008年

4 《网络世界》记者 郑楠;ONF测试步伐有条不紊[N];网络世界;2014年

5 ;找错[N];计算机世界;2002年

6 信息产业部软件与集成电路促进中心 于明邋唐仕武;驶入测试“快车道”[N];计算机世界;2007年

中国博士学位论文全文数据库 前10条

1 罗玲;扩展π演算的建模、验证与测试[D];西安电子科技大学;2015年

2 王志强;基于模糊测试的漏洞挖掘及相关攻防技术研究[D];西安电子科技大学;2015年

3 李丽;航天相机主控软件测试用例自动生成技术的研究[D];中国科学院研究生院（长春光学精密机械与物理研究所）;2010年

4 黄如兵;组合测试用例的自适应随机生成与优先级排序方法研究[D];华中科技大学;2013年

5 张娟;软件测试中测试用例复用的研究[D];上海大学;2012年

6 游亮;回归测试用例选择技术研究[D];华中科技大学;2012年

7 谢晓东;基于模型比较的软件测试用例生成方法研究[D];华中科技大学;2007年

8 李根;基于动态测试用例生成的二进制软件缺陷自动发掘技术研究[D];国防科学技术大学;2010年

9 邢颖;测试用例自动生成的分支限界算法及实验研究[D];北京邮电大学;2014年

10 钱思佑;图形用户界面测试中相关问题研究[D];中国科学技术大学;2010年

中国硕士学位论文全文数据库 前10条

1 田春艳;基于灰色关联逼近理想解方法的测试用例评价模型研究[D];昆明理工大学;2009年

2 唐海鹏;基于Additional策略回归测试用例优先级排序优化研究[D];西南大学;2015年

3 陈梦云;基于圈复杂度和调用次数的测试用例排序方法[D];上海师范大学;2015年

4 姚瑞超;广东电网测试用例自动生成工具的研究与设计[D];华南理工大学;2015年

5 张泽林;基于数据挖掘的软件多故障定位与分析技术[D];南京理工大学;2015年

6 邹炳松;嵌入式软件的图形化测试用例生成系统设计与实现[D];哈尔滨工业大学;2015年

7 李锦程;基于微信平台的医疗就诊系统设计与实现[D];哈尔滨工业大学;2015年

8 赵群;软件错误定位中的巧合正确性问题研究[D];哈尔滨工业大学;2015年

9 常龙辉;Web应用的测试用例优化生成与优先级技术[D];上海大学;2015年

10 王令赛;基于粒子群优化算法的测试用例生成技术研究[D];中国矿业大学;2015年

，

本文编号：704002