本文關(guān)鍵詞：基于策略推導(dǎo)的訪問(wèn)控制漏洞測(cè)試用例生成研究

  更多相關(guān)文章： WEB應(yīng)用程序 訪問(wèn)控制漏洞 訪問(wèn)控制策略 測(cè)試用例生成

【摘要】：Web應(yīng)用以互聯(lián)網(wǎng)為基礎(chǔ)平臺(tái),采用Web服務(wù),為用戶提供Internet服務(wù)的網(wǎng)絡(luò)應(yīng)用軟件。隨著Web技術(shù)的成熟與發(fā)展,Web應(yīng)用被廣泛應(yīng)用,軟件系統(tǒng)也越來(lái)越復(fù)雜,Web應(yīng)用的安全問(wèn)題愈發(fā)嚴(yán)重,訪問(wèn)控制漏洞便是其中一種主要的安全漏洞。訪問(wèn)控制漏洞主要是指惡意攻擊者能夠偽造請(qǐng)求,執(zhí)行未經(jīng)適當(dāng)授權(quán)的訪問(wèn)功能,使得攻擊者可以對(duì)敏感數(shù)據(jù)進(jìn)行非法訪問(wèn)。因此,該問(wèn)題在學(xué)術(shù)界和工業(yè)界引起了越來(lái)越多的關(guān)注。測(cè)試用例的生成一直以來(lái)都是軟件測(cè)試中的難點(diǎn)問(wèn)題,生成測(cè)試用例的質(zhì)量對(duì)漏洞檢測(cè)的準(zhǔn)確性和效率至關(guān)重要。本文通過(guò)對(duì)Web應(yīng)用的訪問(wèn)控制模型進(jìn)行研究,基于該訪問(wèn)控制策略對(duì)此類漏洞的測(cè)試用例生成進(jìn)行探討和研究。首先,本文對(duì)Web應(yīng)用中的訪問(wèn)控制漏洞的產(chǎn)生背景、概念以及相關(guān)的測(cè)試用例生成技術(shù)進(jìn)行了介紹和分析。然后,通過(guò)研究Web應(yīng)用的訪問(wèn)控制模型,提出一種基于黑盒的訪問(wèn)控制策略推導(dǎo)算法,并設(shè)計(jì)與構(gòu)建基于策略推導(dǎo)的測(cè)試用例生成模型。該模型從角色和用戶兩個(gè)層次發(fā)現(xiàn)對(duì)應(yīng)的授權(quán)操作集合,推導(dǎo)訪問(wèn)控制策略,然后利用該策略生成合法及非法兩類測(cè)試用例。其中,合法測(cè)試用例用以驗(yàn)證推導(dǎo)所得策略的合法性,違背授權(quán)約束生成的非法測(cè)試用例用以檢測(cè)訪問(wèn)控制漏洞。為了驗(yàn)證方法的有效性,本文設(shè)計(jì)并實(shí)現(xiàn)原型系統(tǒng)ACTC-Generator,運(yùn)行在公開的Web應(yīng)用上,結(jié)果表明該方法在保證一定覆蓋率的同時(shí),精簡(jiǎn)測(cè)試用例,減少了測(cè)試用例集的冗余度,提高了檢測(cè)效率,具有一定的理論意義和應(yīng)用價(jià)值。
【關(guān)鍵詞】：WEB應(yīng)用程序 訪問(wèn)控制漏洞 訪問(wèn)控制策略 測(cè)試用例生成
【學(xué)位授予單位】：南開大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-13
• 第一章 緒論13-20
• 第一節(jié) 研究背景13-17
• 1.1.1 Web服務(wù)及其應(yīng)用13-14
• 1.1.2 Web應(yīng)用中的安全問(wèn)題14
• 1.1.3 Web應(yīng)用的訪問(wèn)控制策略及漏洞14-16
• 1.1.4 Web應(yīng)用安全測(cè)試的測(cè)試用例生成16-17
• 第二節(jié) 國(guó)內(nèi)外研究水平及現(xiàn)狀17-18
• 1.2.1 Web應(yīng)用測(cè)試用例生成技術(shù)的研究現(xiàn)狀17-18
• 1.2.2 Web應(yīng)用訪問(wèn)控制漏洞測(cè)試用例生成技術(shù)的研究現(xiàn)狀18
• 第三節(jié) 研究目標(biāo)及論文結(jié)構(gòu)18-20
• 1.3.1 研究目標(biāo)18
• 1.3.2 論文結(jié)構(gòu)18-20
• 第二章 Web應(yīng)用安全漏洞及測(cè)試用例生成技術(shù)研究與分析20-34
• 第一節(jié) Web應(yīng)用安全漏洞20-24
• 2.1.1 Web應(yīng)用安全漏洞概述20-21
• 2.1.2 Web應(yīng)用安全漏洞分類21-24
• 第二節(jié) Web應(yīng)用訪問(wèn)控制漏洞分析24-28
• 2.2.1 基本概念24
• 2.2.2 訪問(wèn)控制模型類型研究24-27
• 2.2.3 訪問(wèn)控制漏洞27-28
• 第三節(jié) Web應(yīng)用測(cè)試用例生成技術(shù)研究與分析28-34
• 2.3.1 人工分析生成技術(shù)28-29
• 2.3.2 模糊隨機(jī)生成技術(shù)29-30
• 2.3.3 動(dòng)態(tài)分析生成技術(shù)30-31
• 2.3.4 靜態(tài)分析生成技術(shù)31-34
• 第三章 基于策略推導(dǎo)的訪問(wèn)控制漏洞測(cè)試用例生成模型設(shè)計(jì)34-47
• 第一節(jié) 語(yǔ)義定義34
• 第二節(jié) 交互數(shù)據(jù)樣本生成34-35
• 第三節(jié) 策略推導(dǎo)35-42
• 3.3.1 RBR推導(dǎo)37-39
• 3.3.2 UBR推導(dǎo)39-42
• 第四節(jié) 測(cè)試用例生成方法42-47
• 3.4.1 合法測(cè)試用例生成42-43
• 3.4.2 非法測(cè)試用例生成43-47
• 第四章 基于策略推導(dǎo)的訪問(wèn)控制漏洞測(cè)試用例生成模型實(shí)現(xiàn)47-61
• 第一節(jié) 系統(tǒng)功能架構(gòu)47-48
• 第二節(jié) 系統(tǒng)運(yùn)行流程48-49
• 第三節(jié) 系統(tǒng)主要模塊的設(shè)計(jì)與實(shí)現(xiàn)49-55
• 4.3.1 交互數(shù)據(jù)樣本生成模塊49-50
• 4.3.2 策略推導(dǎo)模塊50-52
• 4.3.3 測(cè)試用例生成模塊52-54
• 4.3.4 測(cè)試用例執(zhí)行模塊54-55
• 第四節(jié) 關(guān)鍵技術(shù)55-61
• 4.4.1 簡(jiǎn)單工廠模式55-58
• 4.4.2 XML文件解析58-61
• 第五章 基于策略推導(dǎo)的訪問(wèn)控制漏洞測(cè)試用例生成模型測(cè)試61-67
• 第一節(jié) 測(cè)試的目的61
• 第二節(jié) 測(cè)試環(huán)境61-62
• 第三節(jié) 測(cè)試過(guò)程62-64
• 第四節(jié) 測(cè)試結(jié)果64-67
• 第六章 總結(jié)和展望67-69
• 第一節(jié) 本文工作總結(jié)67-68
• 第二節(jié) 研究工作展望68-69
• 參考文獻(xiàn)69-72
• 致謝72-73
• 個(gè)人簡(jiǎn)歷與研究成果73

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 路曉麗;葛瑋;陳新麗;郝克剛;;支持共享和復(fù)用的測(cè)試用例庫(kù)系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)科學(xué);2006年05期

2 胡珊;楊豐玉;張曄;劉琳嵐;;基于測(cè)試項(xiàng)抽取的測(cè)試用例復(fù)用方法[J];微電子學(xué)與計(jì)算機(jī);2010年01期

3 張德平;查日軍;;劃分測(cè)試用例選擇的風(fēng)險(xiǎn)決策方法[J];計(jì)算機(jī)應(yīng)用研究;2010年12期

4 楊翊;陳挺;許崢;;證券軟件的測(cè)試用例設(shè)計(jì)充分性實(shí)踐[J];中國(guó)證券期貨;2012年07期

5 張智軼;陳振宇;徐寶文;楊瑞;;測(cè)試用例演化研究進(jìn)展[J];軟件學(xué)報(bào);2013年04期

6 楊悅;秦湘河;楊永安;郭榮;;航天測(cè)控軟件測(cè)試用例標(biāo)準(zhǔn)及應(yīng)用研究[J];無(wú)線電工程;2013年09期

7 王侃,盧慶齡,彭艷麗;測(cè)試用例自動(dòng)生成的鏈方法研究與實(shí)現(xiàn)[J];裝甲兵工程學(xué)院學(xué)報(bào);2001年03期

8 李順華;測(cè)試用例管理方法探討[J];飛航導(dǎo)彈;2001年05期

9 徐仁佐,陳斌,陳波,吳閩泉,熊忠偉;構(gòu)造面向?qū)ο筌浖蓮?fù)用測(cè)試用例的模式研究[J];武漢大學(xué)學(xué)報(bào)(理學(xué)版);2003年05期

10 陳紹英;金成姬;;性能測(cè)試用例[J];程序員;2004年11期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 王道堂;林春哲;張凱;;軟件測(cè)試用例構(gòu)造方法與手段[A];計(jì)算機(jī)技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國(guó)工程建設(shè)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2004年

2 李磊;曹先彬;;基于進(jìn)化的軟件測(cè)試用例生成方法[A];2005年“數(shù)字安徽”博士科技論壇論文集[C];2005年

3 徐李勤;王潔寧;;基于層次有色Petri網(wǎng)的軟件測(cè)試用例選取研究[A];全國(guó)第二屆信號(hào)處理與應(yīng)用學(xué)術(shù)會(huì)議�？痆C];2008年

4 林春哲;張凱;王道堂;;軟件測(cè)試用例設(shè)計(jì)分析[A];計(jì)算機(jī)技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國(guó)工程建設(shè)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2004年

5 張俠影;李志蜀;;一種優(yōu)化的測(cè)試用例約簡(jiǎn)方法[A];2008'中國(guó)信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（一）[C];2008年

6 張德平;聶長(zhǎng)海;徐寶文;;劃分測(cè)試用例選擇策略研究[A];第五屆中國(guó)測(cè)試學(xué)術(shù)會(huì)議論文集[C];2008年

7 郭從穎;;場(chǎng)景驅(qū)動(dòng)測(cè)試用例設(shè)計(jì)及其測(cè)試自動(dòng)化技術(shù)研究[A];中國(guó)計(jì)量協(xié)會(huì)冶金分會(huì)2008年會(huì)論文集[C];2008年

8 郭從穎;;場(chǎng)景驅(qū)動(dòng)測(cè)試用例設(shè)計(jì)及其測(cè)試自動(dòng)化技術(shù)研究[A];2008全國(guó)第十三屆自動(dòng)化應(yīng)用技術(shù)學(xué)術(shù)交流會(huì)論文集[C];2008年

9 周曉燕;李兵;潘偉豐;覃葉宜;;基于錯(cuò)誤傳播概率網(wǎng)絡(luò)的軟件回歸測(cè)試用例選擇[A];第五屆全國(guó)復(fù)雜網(wǎng)絡(luò)學(xué)術(shù)會(huì)議論文（摘要）匯集[C];2009年

10 萬(wàn)琳;張威;馬雪雁;陳曼青;;基于路徑的測(cè)試用例自動(dòng)生成技術(shù)[A];第十屆全國(guó)容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議論文集[C];2003年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前6條

1 深圳市信息無(wú)障礙研究會(huì) 戴杰;“聽(tīng)”軟件的IT工程師[N];人民政協(xié)報(bào);2014年

2 謝敏 沈雪芳 戴金龍;解決軟件測(cè)試的近憂和遠(yuǎn)慮[N];計(jì)算機(jī)世界;2005年

3 計(jì)算機(jī)世界實(shí)驗(yàn)室 韓勖;撥云見(jiàn)日[N];計(jì)算機(jī)世界;2008年

4 《網(wǎng)絡(luò)世界》記者 鄭楠;ONF測(cè)試步伐有條不紊[N];網(wǎng)絡(luò)世界;2014年

5 ;找錯(cuò)[N];計(jì)算機(jī)世界;2002年

6 信息產(chǎn)業(yè)部軟件與集成電路促進(jìn)中心 于明邋唐仕武;駛?cè)霚y(cè)試“快車道”[N];計(jì)算機(jī)世界;2007年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 羅玲;擴(kuò)展π演算的建模、驗(yàn)證與測(cè)試[D];西安電子科技大學(xué);2015年

2 王志強(qiáng);基于模糊測(cè)試的漏洞挖掘及相關(guān)攻防技術(shù)研究[D];西安電子科技大學(xué);2015年

3 李麗;航天相機(jī)主控軟件測(cè)試用例自動(dòng)生成技術(shù)的研究[D];中國(guó)科學(xué)院研究生院（長(zhǎng)春光學(xué)精密機(jī)械與物理研究所）;2010年

4 黃如兵;組合測(cè)試用例的自適應(yīng)隨機(jī)生成與優(yōu)先級(jí)排序方法研究[D];華中科技大學(xué);2013年

5 張娟;軟件測(cè)試中測(cè)試用例復(fù)用的研究[D];上海大學(xué);2012年

6 游亮;回歸測(cè)試用例選擇技術(shù)研究[D];華中科技大學(xué);2012年

7 謝曉東;基于模型比較的軟件測(cè)試用例生成方法研究[D];華中科技大學(xué);2007年

8 李根;基于動(dòng)態(tài)測(cè)試用例生成的二進(jìn)制軟件缺陷自動(dòng)發(fā)掘技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2010年

9 邢穎;測(cè)試用例自動(dòng)生成的分支限界算法及實(shí)驗(yàn)研究[D];北京郵電大學(xué);2014年

10 錢思佑;圖形用戶界面測(cè)試中相關(guān)問(wèn)題研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2010年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 田春艷;基于灰色關(guān)聯(lián)逼近理想解方法的測(cè)試用例評(píng)價(jià)模型研究[D];昆明理工大學(xué);2009年

2 唐海鵬;基于Additional策略回歸測(cè)試用例優(yōu)先級(jí)排序優(yōu)化研究[D];西南大學(xué);2015年

3 陳夢(mèng)云;基于圈復(fù)雜度和調(diào)用次數(shù)的測(cè)試用例排序方法[D];上海師范大學(xué);2015年

4 姚瑞超;廣東電網(wǎng)測(cè)試用例自動(dòng)生成工具的研究與設(shè)計(jì)[D];華南理工大學(xué);2015年

5 張澤林;基于數(shù)據(jù)挖掘的軟件多故障定位與分析技術(shù)[D];南京理工大學(xué);2015年

6 鄒炳松;嵌入式軟件的圖形化測(cè)試用例生成系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

7 李錦程;基于微信平臺(tái)的醫(yī)療就診系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

8 趙群;軟件錯(cuò)誤定位中的巧合正確性問(wèn)題研究[D];哈爾濱工業(yè)大學(xué);2015年

9 常龍輝;Web應(yīng)用的測(cè)試用例優(yōu)化生成與優(yōu)先級(jí)技術(shù)[D];上海大學(xué);2015年

10 王令賽;基于粒子群優(yōu)化算法的測(cè)試用例生成技術(shù)研究[D];中國(guó)礦業(yè)大學(xué);2015年

，

本文編號(hào)：704002