本文選題：軟件測(cè)試　切入點(diǎn)：Web應(yīng)用　出處：《計(jì)算機(jī)學(xué)報(bào)》2017年12期

【摘要】：Web應(yīng)用已經(jīng)成為越來(lái)越流行的信息傳輸媒介.為了保護(hù)重要信息不被泄漏,許多Web應(yīng)用設(shè)計(jì)了針對(duì)不同角色不同用戶的訪問(wèn)控制機(jī)制.然而由于不完善的訪問(wèn)控制機(jī)制,使得訪問(wèn)控制漏洞仍普遍存在,攻擊者可對(duì)Web應(yīng)用的敏感數(shù)據(jù)進(jìn)行非法訪問(wèn).為了獲得準(zhǔn)確的訪問(wèn)控制機(jī)制,測(cè)試用例的準(zhǔn)確性和有效性至關(guān)重要.然而,現(xiàn)有的測(cè)試用例生成方法存在漏報(bào)、冗余度高等缺陷.文中根據(jù)Web應(yīng)用程序的訪問(wèn)控制模型,提出一種基于策略推導(dǎo)的測(cè)試用例生成方法.此方法從角色和用戶兩個(gè)級(jí)別發(fā)現(xiàn)對(duì)應(yīng)的授權(quán)操作集合,推導(dǎo)Web應(yīng)用程序的訪問(wèn)控制策略,并利用推導(dǎo)所得訪問(wèn)控制策略生成合法與非法兩類(lèi)測(cè)試用例.其中,合法用例用以對(duì)推導(dǎo)所得策略的正確性進(jìn)行驗(yàn)證,非法用例通過(guò)違背授權(quán)約束生成,用以檢測(cè)Web應(yīng)用程序的訪問(wèn)控制漏洞.為了對(duì)方法的有效性進(jìn)行驗(yàn)證,我們?cè)O(shè)計(jì)并實(shí)現(xiàn)原型系統(tǒng)ACV-Scanner,并將其運(yùn)行在開(kāi)源Web應(yīng)用上.實(shí)驗(yàn)結(jié)果表明該方法在能全面檢測(cè)各種類(lèi)型的訪問(wèn)控制漏洞的前提下,對(duì)測(cè)試用例進(jìn)行了精簡(jiǎn),與同類(lèi)研究對(duì)比,減少漏報(bào),提高了效率.
[Abstract]:Web applications have become more and more popular media for information transmission. In order to protect important information from being leaked, many Web applications have designed access control mechanisms for different roles and different users. In order to obtain accurate access control mechanism, it is very important to test the accuracy and validity of the use cases. The existing test case generation methods have some defects, such as missing reports and high redundancy. According to the access control model of Web application, This paper presents a test case generation method based on policy derivation, which finds the corresponding set of authorization operations from role and user levels, and deduces the access control policy of Web application. Two kinds of test cases are generated by using the derived access control strategy. Among them, the legal use cases are used to verify the correctness of the derived strategies, and the illegal use cases are generated by violating the authorization constraints. To detect access control vulnerabilities in Web applications. To verify the validity of the method, We design and implement the prototype system ACV-Scanner, and run it in open source Web application. The experimental results show that the method can detect all kinds of access control vulnerabilities, and the test cases are simplified and compared with the similar research. Reduce the missing report and improve the efficiency.
【作者單位】： 南開(kāi)大學(xué)計(jì)算機(jī)與控制工程學(xué)院;山東交通學(xué)院信息科學(xué)與電氣工程學(xué)院;
【基金】：天津市自然科學(xué)基金重點(diǎn)項(xiàng)目(12JCZDJC20800) 天津市科技計(jì)劃項(xiàng)目(13ZCZDGX01098) 國(guó)家科技支撐計(jì)劃項(xiàng)目(2013BAH01B05) 國(guó)家自然科學(xué)基金青年基金項(xiàng)目(61402264)資助~~
【分類(lèi)號(hào)】：TP311.53;TP393.09

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李留英,王戟,齊治昌;UML statecharts的測(cè)試用例生成方法[J];計(jì)算機(jī)研究與發(fā)展;2001年06期

2 路曉麗;葛瑋;陳新麗;郝克剛;;支持共享和復(fù)用的測(cè)試用例庫(kù)系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)科學(xué);2006年05期

3 胡珊;楊豐玉;張曄;劉琳嵐;;基于測(cè)試項(xiàng)抽取的測(cè)試用例復(fù)用方法[J];微電子學(xué)與計(jì)算機(jī);2010年01期

4 張德平;查日軍;;劃分測(cè)試用例選擇的風(fēng)險(xiǎn)決策方法[J];計(jì)算機(jī)應(yīng)用研究;2010年12期

5 楊翊;陳挺;許崢;;證券軟件的測(cè)試用例設(shè)計(jì)充分性實(shí)踐[J];中國(guó)證券期貨;2012年07期

6 張智軼;陳振宇;徐寶文;楊瑞;;測(cè)試用例演化研究進(jìn)展[J];軟件學(xué)報(bào);2013年04期

7 楊?lèi)?秦湘河;楊永安;郭榮;;航天測(cè)控軟件測(cè)試用例標(biāo)準(zhǔn)及應(yīng)用研究[J];無(wú)線電工程;2013年09期

8 王侃,盧慶齡,彭艷麗;測(cè)試用例自動(dòng)生成的鏈方法研究與實(shí)現(xiàn)[J];裝甲兵工程學(xué)院學(xué)報(bào);2001年03期

9 李順華;測(cè)試用例管理方法探討[J];飛航導(dǎo)彈;2001年05期

10 徐仁佐,陳斌,陳波,吳閩泉,熊忠偉;構(gòu)造面向?qū)ο筌浖蓮?fù)用測(cè)試用例的模式研究[J];武漢大學(xué)學(xué)報(bào)(理學(xué)版);2003年05期

相關(guān)會(huì)議論文 前10條

1 王道堂;林春哲;張凱;;軟件測(cè)試用例構(gòu)造方法與手段[A];計(jì)算機(jī)技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國(guó)工程建設(shè)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2004年

2 李磊;曹先彬;;基于進(jìn)化的軟件測(cè)試用例生成方法[A];2005年“數(shù)字安徽”博士科技論壇論文集[C];2005年

3 徐李勤;王潔寧;;基于層次有色Petri網(wǎng)的軟件測(cè)試用例選取研究[A];全國(guó)第二屆信號(hào)處理與應(yīng)用學(xué)術(shù)會(huì)議專(zhuān)刊[C];2008年

4 林春哲;張凱;王道堂;;軟件測(cè)試用例設(shè)計(jì)分析[A];計(jì)算機(jī)技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國(guó)工程建設(shè)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2004年

5 張俠影;李志蜀;;一種優(yōu)化的測(cè)試用例約簡(jiǎn)方法[A];2008'中國(guó)信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（一）[C];2008年

6 張德平;聶長(zhǎng)海;徐寶文;;劃分測(cè)試用例選擇策略研究[A];第五屆中國(guó)測(cè)試學(xué)術(shù)會(huì)議論文集[C];2008年

7 郭從穎;;場(chǎng)景驅(qū)動(dòng)測(cè)試用例設(shè)計(jì)及其測(cè)試自動(dòng)化技術(shù)研究[A];中國(guó)計(jì)量協(xié)會(huì)冶金分會(huì)2008年會(huì)論文集[C];2008年

8 郭從穎;;場(chǎng)景驅(qū)動(dòng)測(cè)試用例設(shè)計(jì)及其測(cè)試自動(dòng)化技術(shù)研究[A];2008全國(guó)第十三屆自動(dòng)化應(yīng)用技術(shù)學(xué)術(shù)交流會(huì)論文集[C];2008年

9 周曉燕;李兵;潘偉豐;覃葉宜;;基于錯(cuò)誤傳播概率網(wǎng)絡(luò)的軟件回歸測(cè)試用例選擇[A];第五屆全國(guó)復(fù)雜網(wǎng)絡(luò)學(xué)術(shù)會(huì)議論文（摘要）匯集[C];2009年

10 萬(wàn)琳;張威;馬雪雁;陳曼青;;基于路徑的測(cè)試用例自動(dòng)生成技術(shù)[A];第十屆全國(guó)容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議論文集[C];2003年

相關(guān)重要報(bào)紙文章 前5條

1 深圳市信息無(wú)障礙研究會(huì) 戴杰;“聽(tīng)”軟件的IT工程師[N];人民政協(xié)報(bào);2014年

2 謝敏 沈雪芳 戴金龍;解決軟件測(cè)試的近憂和遠(yuǎn)慮[N];計(jì)算機(jī)世界;2005年

3 《網(wǎng)絡(luò)世界》記者 鄭楠;ONF測(cè)試步伐有條不紊[N];網(wǎng)絡(luò)世界;2014年

4 ;找錯(cuò)[N];計(jì)算機(jī)世界;2002年

5 信息產(chǎn)業(yè)部軟件與集成電路促進(jìn)中心 于明邋唐仕武;駛?cè)霚y(cè)試“快車(chē)道”[N];計(jì)算機(jī)世界;2007年

相關(guān)博士學(xué)位論文 前10條

1 羅玲;擴(kuò)展π演算的建模、驗(yàn)證與測(cè)試[D];西安電子科技大學(xué);2015年

2 王志強(qiáng);基于模糊測(cè)試的漏洞挖掘及相關(guān)攻防技術(shù)研究[D];西安電子科技大學(xué);2015年

3 涂徑玄;基于覆蓋分析的自動(dòng)化錯(cuò)誤定位關(guān)鍵技術(shù)研究[D];南京大學(xué);2016年

4 蘇亭;基于覆蓋準(zhǔn)則的軟件測(cè)試用例自動(dòng)化生成方法的研究與實(shí)現(xiàn)[D];華東師范大學(xué);2016年

5 張功杰;基于集合進(jìn)化與占優(yōu)關(guān)系的變異測(cè)試用例生成[D];中國(guó)礦業(yè)大學(xué);2017年

6 李麗;航天相機(jī)主控軟件測(cè)試用例自動(dòng)生成技術(shù)的研究[D];中國(guó)科學(xué)院研究生院（長(zhǎng)春光學(xué)精密機(jī)械與物理研究所）;2010年

7 黃如兵;組合測(cè)試用例的自適應(yīng)隨機(jī)生成與優(yōu)先級(jí)排序方法研究[D];華中科技大學(xué);2013年

8 張娟;軟件測(cè)試中測(cè)試用例復(fù)用的研究[D];上海大學(xué);2012年

9 游亮;回歸測(cè)試用例選擇技術(shù)研究[D];華中科技大學(xué);2012年

10 謝曉東;基于模型比較的軟件測(cè)試用例生成方法研究[D];華中科技大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 田春艷;基于灰色關(guān)聯(lián)逼近理想解方法的測(cè)試用例評(píng)價(jià)模型研究[D];昆明理工大學(xué);2009年

2 唐海鵬;基于Additional策略回歸測(cè)試用例優(yōu)先級(jí)排序優(yōu)化研究[D];西南大學(xué);2015年

3 陳夢(mèng)云;基于圈復(fù)雜度和調(diào)用次數(shù)的測(cè)試用例排序方法[D];上海師范大學(xué);2015年

4 姚瑞超;廣東電網(wǎng)測(cè)試用例自動(dòng)生成工具的研究與設(shè)計(jì)[D];華南理工大學(xué);2015年

5 張澤林;基于數(shù)據(jù)挖掘的軟件多故障定位與分析技術(shù)[D];南京理工大學(xué);2015年

6 鄒炳松;嵌入式軟件的圖形化測(cè)試用例生成系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

7 李錦程;基于微信平臺(tái)的醫(yī)療就診系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

8 趙群;軟件錯(cuò)誤定位中的巧合正確性問(wèn)題研究[D];哈爾濱工業(yè)大學(xué);2015年

9 常龍輝;Web應(yīng)用的測(cè)試用例優(yōu)化生成與優(yōu)先級(jí)技術(shù)[D];上海大學(xué);2015年

10 王令賽;基于粒子群優(yōu)化算法的測(cè)試用例生成技術(shù)研究[D];中國(guó)礦業(yè)大學(xué);2015年

，

本文編號(hào)：1680581