發(fā)布時間：2018-03-29 09:44

  本文選題：軟件測試　切入點(diǎn)：Web應(yīng)用　出處：《計(jì)算機(jī)學(xué)報(bào)》2017年12期

【摘要】：Web應(yīng)用已經(jīng)成為越來越流行的信息傳輸媒介.為了保護(hù)重要信息不被泄漏,許多Web應(yīng)用設(shè)計(jì)了針對不同角色不同用戶的訪問控制機(jī)制.然而由于不完善的訪問控制機(jī)制,使得訪問控制漏洞仍普遍存在,攻擊者可對Web應(yīng)用的敏感數(shù)據(jù)進(jìn)行非法訪問.為了獲得準(zhǔn)確的訪問控制機(jī)制,測試用例的準(zhǔn)確性和有效性至關(guān)重要.然而,現(xiàn)有的測試用例生成方法存在漏報(bào)、冗余度高等缺陷.文中根據(jù)Web應(yīng)用程序的訪問控制模型,提出一種基于策略推導(dǎo)的測試用例生成方法.此方法從角色和用戶兩個級別發(fā)現(xiàn)對應(yīng)的授權(quán)操作集合,推導(dǎo)Web應(yīng)用程序的訪問控制策略,并利用推導(dǎo)所得訪問控制策略生成合法與非法兩類測試用例.其中,合法用例用以對推導(dǎo)所得策略的正確性進(jìn)行驗(yàn)證,非法用例通過違背授權(quán)約束生成,用以檢測Web應(yīng)用程序的訪問控制漏洞.為了對方法的有效性進(jìn)行驗(yàn)證,我們設(shè)計(jì)并實(shí)現(xiàn)原型系統(tǒng)ACV-Scanner,并將其運(yùn)行在開源Web應(yīng)用上.實(shí)驗(yàn)結(jié)果表明該方法在能全面檢測各種類型的訪問控制漏洞的前提下,對測試用例進(jìn)行了精簡,與同類研究對比,減少漏報(bào),提高了效率.
[Abstract]:Web applications have become more and more popular media for information transmission. In order to protect important information from being leaked, many Web applications have designed access control mechanisms for different roles and different users. In order to obtain accurate access control mechanism, it is very important to test the accuracy and validity of the use cases. The existing test case generation methods have some defects, such as missing reports and high redundancy. According to the access control model of Web application, This paper presents a test case generation method based on policy derivation, which finds the corresponding set of authorization operations from role and user levels, and deduces the access control policy of Web application. Two kinds of test cases are generated by using the derived access control strategy. Among them, the legal use cases are used to verify the correctness of the derived strategies, and the illegal use cases are generated by violating the authorization constraints. To detect access control vulnerabilities in Web applications. To verify the validity of the method, We design and implement the prototype system ACV-Scanner, and run it in open source Web application. The experimental results show that the method can detect all kinds of access control vulnerabilities, and the test cases are simplified and compared with the similar research. Reduce the missing report and improve the efficiency.
【作者單位】： 南開大學(xué)計(jì)算機(jī)與控制工程學(xué)院;山東交通學(xué)院信息科學(xué)與電氣工程學(xué)院;
【基金】：天津市自然科學(xué)基金重點(diǎn)項(xiàng)目(12JCZDJC20800) 天津市科技計(jì)劃項(xiàng)目(13ZCZDGX01098) 國家科技支撐計(jì)劃項(xiàng)目(2013BAH01B05) 國家自然科學(xué)基金青年基金項(xiàng)目(61402264)資助~~
【分類號】：TP311.53;TP393.09

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李留英,王戟,齊治昌;UML statecharts的測試用例生成方法[J];計(jì)算機(jī)研究與發(fā)展;2001年06期

2 路曉麗;葛瑋;陳新麗;郝克剛;;支持共享和復(fù)用的測試用例庫系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)科學(xué);2006年05期

3 胡珊;楊豐玉;張曄;劉琳嵐;;基于測試項(xiàng)抽取的測試用例復(fù)用方法[J];微電子學(xué)與計(jì)算機(jī);2010年01期

4 張德平;查日軍;;劃分測試用例選擇的風(fēng)險(xiǎn)決策方法[J];計(jì)算機(jī)應(yīng)用研究;2010年12期

5 楊翊;陳挺;許崢;;證券軟件的測試用例設(shè)計(jì)充分性實(shí)踐[J];中國證券期貨;2012年07期

6 張智軼;陳振宇;徐寶文;楊瑞;;測試用例演化研究進(jìn)展[J];軟件學(xué)報(bào);2013年04期

7 楊悅;秦湘河;楊永安;郭榮;;航天測控軟件測試用例標(biāo)準(zhǔn)及應(yīng)用研究[J];無線電工程;2013年09期

8 王侃,盧慶齡,彭艷麗;測試用例自動生成的鏈方法研究與實(shí)現(xiàn)[J];裝甲兵工程學(xué)院學(xué)報(bào);2001年03期

9 李順華;測試用例管理方法探討[J];飛航導(dǎo)彈;2001年05期

10 徐仁佐,陳斌,陳波,吳閩泉,熊忠偉;構(gòu)造面向?qū)ο筌浖蓮?fù)用測試用例的模式研究[J];武漢大學(xué)學(xué)報(bào)(理學(xué)版);2003年05期

相關(guān)會議論文 前10條

1 王道堂;林春哲;張凱;;軟件測試用例構(gòu)造方法與手段[A];計(jì)算機(jī)技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國工程建設(shè)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會議論文集[C];2004年

2 李磊;曹先彬;;基于進(jìn)化的軟件測試用例生成方法[A];2005年“數(shù)字安徽”博士科技論壇論文集[C];2005年

3 徐李勤;王潔寧;;基于層次有色Petri網(wǎng)的軟件測試用例選取研究[A];全國第二屆信號處理與應(yīng)用學(xué)術(shù)會議�？痆C];2008年

4 林春哲;張凱;王道堂;;軟件測試用例設(shè)計(jì)分析[A];計(jì)算機(jī)技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國工程建設(shè)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會議論文集[C];2004年

5 張俠影;李志蜀;;一種優(yōu)化的測試用例約簡方法[A];2008'中國信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（一）[C];2008年

6 張德平;聶長海;徐寶文;;劃分測試用例選擇策略研究[A];第五屆中國測試學(xué)術(shù)會議論文集[C];2008年

7 郭從穎;;場景驅(qū)動測試用例設(shè)計(jì)及其測試自動化技術(shù)研究[A];中國計(jì)量協(xié)會冶金分會2008年會論文集[C];2008年

8 郭從穎;;場景驅(qū)動測試用例設(shè)計(jì)及其測試自動化技術(shù)研究[A];2008全國第十三屆自動化應(yīng)用技術(shù)學(xué)術(shù)交流會論文集[C];2008年

9 周曉燕;李兵;潘偉豐;覃葉宜;;基于錯誤傳播概率網(wǎng)絡(luò)的軟件回歸測試用例選擇[A];第五屆全國復(fù)雜網(wǎng)絡(luò)學(xué)術(shù)會議論文（摘要）匯集[C];2009年

10 萬琳;張威;馬雪雁;陳曼青;;基于路徑的測試用例自動生成技術(shù)[A];第十屆全國容錯計(jì)算學(xué)術(shù)會議論文集[C];2003年

相關(guān)重要報(bào)紙文章 前5條

1 深圳市信息無障礙研究會 戴杰;“聽”軟件的IT工程師[N];人民政協(xié)報(bào);2014年

2 謝敏 沈雪芳 戴金龍;解決軟件測試的近憂和遠(yuǎn)慮[N];計(jì)算機(jī)世界;2005年

3 《網(wǎng)絡(luò)世界》記者 鄭楠;ONF測試步伐有條不紊[N];網(wǎng)絡(luò)世界;2014年

4 ;找錯[N];計(jì)算機(jī)世界;2002年

5 信息產(chǎn)業(yè)部軟件與集成電路促進(jìn)中心 于明邋唐仕武;駛?cè)霚y試“快車道”[N];計(jì)算機(jī)世界;2007年

相關(guān)博士學(xué)位論文 前10條

1 羅玲;擴(kuò)展π演算的建模、驗(yàn)證與測試[D];西安電子科技大學(xué);2015年

2 王志強(qiáng);基于模糊測試的漏洞挖掘及相關(guān)攻防技術(shù)研究[D];西安電子科技大學(xué);2015年

3 涂徑玄;基于覆蓋分析的自動化錯誤定位關(guān)鍵技術(shù)研究[D];南京大學(xué);2016年

4 蘇亭;基于覆蓋準(zhǔn)則的軟件測試用例自動化生成方法的研究與實(shí)現(xiàn)[D];華東師范大學(xué);2016年

5 張功杰;基于集合進(jìn)化與占優(yōu)關(guān)系的變異測試用例生成[D];中國礦業(yè)大學(xué);2017年

6 李麗;航天相機(jī)主控軟件測試用例自動生成技術(shù)的研究[D];中國科學(xué)院研究生院（長春光學(xué)精密機(jī)械與物理研究所）;2010年

7 黃如兵;組合測試用例的自適應(yīng)隨機(jī)生成與優(yōu)先級排序方法研究[D];華中科技大學(xué);2013年

8 張娟;軟件測試中測試用例復(fù)用的研究[D];上海大學(xué);2012年

9 游亮;回歸測試用例選擇技術(shù)研究[D];華中科技大學(xué);2012年

10 謝曉東;基于模型比較的軟件測試用例生成方法研究[D];華中科技大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 田春艷;基于灰色關(guān)聯(lián)逼近理想解方法的測試用例評價(jià)模型研究[D];昆明理工大學(xué);2009年

2 唐海鵬;基于Additional策略回歸測試用例優(yōu)先級排序優(yōu)化研究[D];西南大學(xué);2015年

3 陳夢云;基于圈復(fù)雜度和調(diào)用次數(shù)的測試用例排序方法[D];上海師范大學(xué);2015年

4 姚瑞超;廣東電網(wǎng)測試用例自動生成工具的研究與設(shè)計(jì)[D];華南理工大學(xué);2015年

5 張澤林;基于數(shù)據(jù)挖掘的軟件多故障定位與分析技術(shù)[D];南京理工大學(xué);2015年

6 鄒炳松;嵌入式軟件的圖形化測試用例生成系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

7 李錦程;基于微信平臺的醫(yī)療就診系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

8 趙群;軟件錯誤定位中的巧合正確性問題研究[D];哈爾濱工業(yè)大學(xué);2015年

9 常龍輝;Web應(yīng)用的測試用例優(yōu)化生成與優(yōu)先級技術(shù)[D];上海大學(xué);2015年

10 王令賽;基于粒子群優(yōu)化算法的測試用例生成技術(shù)研究[D];中國礦業(yè)大學(xué);2015年

，

本文編號：1680581