基于策略推导的访问控制漏洞测试用例生成方法.pdfVIP

网络出版时间：2016-03-02 13:37:12 网络出版地址：/kcms/detail/11.1826.tp1337.006.html 第 39 卷 计 算 机 学 报 Vol.39 2016 论文在线出版号 No.39 CHINESE JOURNAL OF COMPUTERS Online Publishing No.39 基于策略推导的访问控制漏洞测试用例生成方法 文 硕 1) 许 静 1) 苑立英 1) 李晓虹 1) 徐思涵 1) 司冠南 2) 1) (南开大学计算机与控制工程学院, 天津 300071) 2) (山东交通学院信息科学与电气工程学院, 济南 250357) 摘 要 Web 应用已经成为越来越流行的信息传输媒介。为了保护重要信息不被泄漏，许多 Web 应用设计了针对不同角色 不同用户的访问控制机制。然而由于不完善的访问控制机制，使得访问控制漏洞仍普遍存在，攻击者可对 Web 应用的敏感 数据进行非法访问。为了获得准确的访问控制机制，测试用例的准确性和有效性至关重要。然而，现有的测试用例生成方法 存在漏报、冗余度高等缺陷。本文根据 Web 应用程序的访问控制模型，出一种基于策略推导的测试用例生成方法。此方 法从角色和用户两个级别发现对应的授权操作集合，推导 Web 应用程序的访问控制策略，并利用推导所得访问控制策略生 成合法与非法两类测试用例。其中，合法用例用以对推导所得策略的正确性进行验证，非法用例通过违背授权约束生成，用 以检测 Web 应用程序的访问控制漏洞。为了对方法的有效性进行验证，我们设计并实现原型系统 ACV-Scanner，并将其运 行在开源 Web 应用上。实验结果表明该方法在能全面检测各种类型的访问控制漏洞的前下，对测试用例进行了精简，与 同类研究对比，减少漏报，高了效率。 关键词 软件测试；Web 应用；访问控制漏洞；访问控制策略；测试用例生成 中图法分类号 TP 311 论文引用格式 文 硕,许 静,苑立英,李晓虹,徐思涵,司冠南，基于策略推导的访问控制漏洞测试用例生成方法，2016 ，Vol.39 ：在线出版 号 No.39 WEN Shuo,XU Jing,YUAN Li-Ying,LI Xiao-Hong,XU Si-Han,SI Guan-Nan, A Test Case Generation Approach for Exploiting Access Control Vulnerabilities Based on Policy Inference, Chinese Journal of Computers,2016, Vol.39: Online Publishing No.39 A Test Case Generation Approach for Exploiting Access Control Vulnerabilities Based on Policy Inference WEN Shuo1) XU Jing1) YUAN Li-Ying1) LI Xiao-Hong1) XU Si-Han1) SI Guan-Nan2) 1)(College of Computer and Control Engineering, Nankai University, Tianjin 300071, Ch