基于策略推导的访问控制漏洞测试用例生成研究-计算机应用技术专业论文.docxVIP

万方数据 万方数据 南开大学学位论文使用授权书 本人完全了解《南开大学关于研究生学位论文收藏和利用管理办法》关于南开大学(简 称“学校”)研究生学位论文收藏和利用的管理规定，同意向南开大学提交本人的学位论 文电子版及相应的纸质本，并委托印刷存档论文。 本人了解南开大学拥有在《中华人民共和国著作权法》规定范围内的学位论文使用权， 同意在以下几方面向学校授权。即： 1.学校将学位论文编入《南开大学博硕士学位论文全文数据库》，并作为资料在学校 图书馆等场所提供阅览，在校园网上提供论文目录检索、文摘以及论文全文浏览、下载等 信息服务； 2.学校可以采用影印、缩印或其他复制手段保存学位论文；学校根据规定向教育部指 定的收藏和存档单位提交学位论文； 3.非公开学位论文在解密后的使用权同公开论文。 4.同意学校将本人向有关电子出版单位授权的学位论文(含电子版和授权书)转交相 关授权单位。 本人承诺：本人的学位论文是在南开大学学习期间创作完成的作品，并已通过论文答 辩；提交的学位论文电子版与纸质本论文的内容一致，如因不同造成不良后果由本人自负。 本人签署本授权书一份，交图书馆留存。 学位论文作者暨授权人(亲笔)签字： 李晓虹 20 15 年 6 月 5 日 南开大学研究生学位论文作者信息 论文题目 基于策略推导的访问控制漏洞测试用例生成研究 姓 名 李晓虹 学号 2120120368 答辩日期 2015 年 5 月 14 日 论文类别 博士 □ 学历硕士 √ 专业学位硕士 □ 同等学力硕士 □ 划 √ 选择 学院(单位) 计算机与控制工程学院 学科/专业(专业学位)名称 计算机应用技术 联系电话 电子邮箱 HYPERLINK mailto:li_xiaohong_nk@ li_xiaohong_nk@ 通信地址(邮编)： 福建省南平市政和县长城村新庄 45 号（353601） 非公开论文编号 备注 注：本授权书适用我校授予的所有博士、硕士的学位论文。由作者填写一份并签字后交校图书馆，如已批准为非公开学 位论文，须附批准通过的《南开大学研究生申请非公开学位论文审批表》和“非公开学位论文标注说明”页。 摘要 摘要 摘要 Web 应用以互联网为基础平台，采用 Web 服务，为用户提供 Internet 服务 的网络应用软件。随着 Web 技术的成熟与发展，Web 应用被广泛应用，软件系 统也越来越复杂，Web 应用的安全问题愈发严重，访问控制漏洞便是其中一种 主要的安全漏洞。访问控制漏洞主要是指恶意攻击者能够伪造请求，执行未经 适当授权的访问功能，使得攻击者可以对敏感数据进行非法访问。因此，该问 题在学术界和工业界引起了越来越多的关注。测试用例的生成一直以来都是软 件测试中的难点问题，生成测试用例的质量对漏洞检测的准确性和效率至关重 要。本文通过对 Web 应用的访问控制模型进行研究，基于该访问控制策略对此 类漏洞的测试用例生成进行探讨和研究。 首先，本文对 Web 应用中的访问控制漏洞的产生背景、概念以及相关的测 试用例生成技术进行了介绍和分析。然后，通过研究 Web 应用的访问控制模型， 提出一种基于黑盒的访问控制策略推导算法，并设计与构建基于策略推导的测 试用例生成模型。该模型从角色和用户两个层次发现对应的授权操作集合，推 导访问控制策略，然后利用该策略生成合法及非法两类测试用例。其中，合法 测试用例用以验证推导所得策略的合法性，违背授权约束生成的非法测试用例 用以检测访问控制漏洞。 为了验证方法的有效性，本文设计并实现原型系统 ACTC-Generator，运行 在公开的 Web 应用上，结果表明该方法在保证一定覆盖率的同时，精简测试用 例，减少了测试用例集的冗余度，提高了检测效率，具有一定的理论意义和应 用价值。 关键词: WEB 应用程序；访问控制漏洞；访问控制策略；测试用例生成 I Abst Abstract Abstract With the development of Web technology, Web applications are widely used. However, software systems become more and more complex, and Web application security has become serious, access control vulnerability is one of the main security vulnerabilities, attackers can bypass the intended security mechanism and make unauthorized acces