基于策略推導(dǎo)的訪問控制漏洞測試用例生成研究.pdf

1、Web應(yīng)用以互聯(lián)網(wǎng)為基礎(chǔ)平臺，采用Web服務(wù)，為用戶提供Internet服務(wù)的網(wǎng)絡(luò)應(yīng)用軟件。隨著Web技術(shù)的成熟與發(fā)展，Web應(yīng)用被廣泛應(yīng)用，軟件系統(tǒng)也越來越復(fù)雜，Web應(yīng)用的安全問題愈發(fā)嚴(yán)重，訪問控制漏洞便是其中一種主要的安全漏洞。訪問控制漏洞主要是指惡意攻擊者能夠偽造請求，執(zhí)行未經(jīng)適當(dāng)授權(quán)的訪問功能，使得攻擊者可以對敏感數(shù)據(jù)進(jìn)行非法訪問。因此，該問題在學(xué)術(shù)界和工業(yè)界引起了越來越多的關(guān)注。測試用例的生成一直以來都是軟件測試中的難點(diǎn)問題

2、，生成測試用例的質(zhì)量對漏洞檢測的準(zhǔn)確性和效率至關(guān)重要。本文通過對Web應(yīng)用的訪問控制模型進(jìn)行研究，基于該訪問控制策略對此類漏洞的測試用例生成進(jìn)行探討和研究。
　　首先，本文對Web應(yīng)用中的訪問控制漏洞的產(chǎn)生背景、概念以及相關(guān)的測試用例生成技術(shù)進(jìn)行了介紹和分析。然后，通過研究Web應(yīng)用的訪問控制模型，提出一種基于黑盒的訪問控制策略推導(dǎo)算法，并設(shè)計(jì)與構(gòu)建基于策略推導(dǎo)的測試用例生成模型。該模型從角色和用戶兩個(gè)層次發(fā)現(xiàn)對應(yīng)的授權(quán)操作集合，