基于安全规则变异的Web+Services安全性测试方法.pdfVIP

第36卷第10期 计 算 机 学 报 vol_36No．10 201 3年10月 CHINESE OFCOMPUTERS 0ct．2013 JOURNAL 基于安全规则变异的Web 陈锦富”’3’ 李 青” 毛澄映2h” 詹永照” 黄如兵4’ 陈加梅” 1’(江苏大学计算机科学与通信工程学院江苏镇江212013) 2’(江西财经大学软件与通信工程学院 南昌 330013) ”(斯文本科技大学信息和通信技术学院 墨尔本VIc3122澳大利亚) 4’(华中科技大学计算机科学与技术学院 武汉430074) 摘 要 Access 针对已有变异测试研究中仅考虑对SOAP(Simple0bject Protoc01)消息输入参数的变异处理，而 缺乏对SOAP消息安全规则变异的研究，文中从消息机密性、完整性及身份认证等方面对安全规则进行归类，提出 了一种基于安全规则变异的webServices安全性测试方法．首先给出一种安全规则变异测试框架，研究变异点判 定规则库，设计出相应的变异操作算子、漏洞判定准则以及基于优先级与权重策略的变异算子选择方法．然后提出 Services 一种基于安全规则变异的测试用例生成算法，依照算法生成违背安全规则的SOAP消息，从而揭露web services T001)，在工 的安全类故障．最后实现了一个webservices安全性测试工具wssTT(websecurityTesting 具的基础上进行实验和对比分析，验证了文中提出的基于安全规则变异的webServices安全测试方法的可行性和 有效性． web 关键词 Services；SOAP消息；安全规则变异；变异测试；变异算子；原型工具 中图法分类号TP311DoI号10．3724／SP．J．1016．2013．01967 A forWeb B嬲edon T鹤tingApproachServic鹤SecuritySecurity CHEN LI MAO ZHAN Jin—FulⅢ’ Qin91’ Cheng-Yin92’3’Yong—Zha01’ HUANG CHEN Ru—Bin94’ Jia—Mei¨ 1’(Sf^ooZ SciP竹fPnnd 212013) o，Com户“￡er 2’(Sc^ooZ nnd Uni删r5if 330013) o，So丘tmrP Economifs，Nnnc^nng Co，nm“”ic口￡io”E”ginePring，，inngzi3．o，FinnncP口nd Comm“nic口砌n WC3122，A“盯rnz缸) 3’(Fnc札幻o，h，0眦￡ion口d TPf^nozogi㈨s叫i”妇rnemi铆绷岫o，nc^”ozogy，胁z60M埘e 4’(Sc^ooz SciFncPnd