An access control method for generating vulnerability test case strategy deduced based on the web application, the method for Web application access control model, put forward a method of test case generation strategy based on. This method from the role and user level two to find a collection of corresponding authorization operation, is Web application access control strategy, and using the derived access control strategy to generate legal and illegal two class test cases. Among them, the legal use case is used to verify the correctness of the derived strategy, and the illegal use case is generated by violating the authorization constraint to detect access control vulnerability of the Web application. The method of the invention can comprehensively detect various access control vulnerabilities, make up for the detection vacancy of the reset backward running vulnerability, effectively simplify the number of test cases, and greatly improve the efficiency of the analysis.
【技术实现步骤摘要】
基于策略推导的Web应用程序访问控制漏洞测试用例自动生成方法
本专利技术属于Web应用
,具体涉及漏洞检测和测试数据自动生成,特别是一种基于策略推导的Web应用程序访问控制漏洞测试用例自动生成的方法。
技术介绍
随着Web技术的成熟化与软件系统的复杂化,Web应用中的各种安全问题也层出不穷,访问控制漏洞就是其中重要的一类,它允许攻击者去绕过应用的安全策略来访问未授权的敏感信息或进行非法操作。Web应用所具有的开放性特点使得网络用户通过Web客户端提交请求后,数据库服务器无法对服务请求者的身份进行安全和合法性校验。为保证Web应用的访问安全性,代码编写者通常在Web服务器的应用逻辑中加入访问控制机制。尽管许多Web应用设计了一定的访问控制机制,但因为安全细节极其琐碎复杂、代码编写者的疏漏等原因使得在Web应用开发过程中,实际在客户端与服务器之间实现的访问控制机制往往与预期定义的访问控制策略存在差异,这种差异就造成了Web应用中的访问控制漏洞。因而,对Web应用的访问控制漏洞检测也成为Web应用安全检测的一大重点。目前,针对Web应用程序的访问控制漏洞检测,主要有动态分析以及静态分析两种测试手段。静态分析的方法通过对Web应用程序的源代码进行分析,从而提取程序设计时的预期访问控制机制以检测Web应用程序的访问控制漏洞。该方法需要获取Web应用程序的源代码进行分析以推导代码的逻辑结构,但现有的研究成果均存在只针对某种特定代码编写语言或存在一定漏报误报等问题。动态分析通过观察Web应用程序正常运行的行为,从而推导预期访问控制机制以检测访问控制漏洞。相 ...
【技术保护点】
一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法,其特征在于含有以下步骤:步骤1、通过推导同角色下所有用户被授权的操作集合得出基于角色的访问控制策略;步骤2、通过同角色下收集不同用户被授权的特有参数集得出基于用户的访问控制策略;步骤3、基于前两步所推导的访问控制策略驱动角色下的用户得到合法的测试用例;步骤4、通过驱动某一角色下的用户违背访问控制策略执行另一不同角色下的用户的操作得到基于角色的非法测试用例;步骤5、通过驱动同一角色下的用户违背访问控制策略使用另一个用户特有的操作参数集合得到基于用户的非法测试用例。
【技术特征摘要】
1.一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法,其特征在于含有以下步骤:步骤1、通过推导同角色下所有用户被授权的操作集合得出基于角色的访问控制策略;步骤2、通过同角色下收集不同用户被授权的特有参数集得出基于用户的访问控制策略;步骤3、基于前两步所推导的访问控制策略驱动角色下的用户得到合法的测试用例;步骤4、通过驱动某一角色下的用户违背访问控制策略执行另一不同角色下的用户的操作得到基于角色的非法测试用例;步骤5、通过驱动同一角色下的用户违背访问控制策略使用另一个用户特有的操作参数集合得到基于用户的非法测试用例。2.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法,其特征在于步骤1所述基于角色的访问控制策略是:同角色下所有用户被授权的操作集合;所述基于角色的访问控制策略推导方法是:驱动用户进行操作,遍历抓取的会话集合,然后,对有效字段在数据库响应中进行一致性匹配,提取有效字段,推导过滤条件,从而得到基于角色的策略;具体来说,驱动不同角色下的用户根据自身授权发送网络请求,并且接受数据库的响应,通过网络抓取工具抓取这一会话过程,并且过滤冗余信息,只剩下网络请求与数据库响应部分,直到遍历所有角色;然后通过遍历之前得到的会话合集,通过匹配网络请响应求与数据库请求响应的一致性,即将同一角色下的用户执行操作所发出的网络请求以及与它对应的数据库回应,即数据库返回的数据及数据位置相匹配,从而得到角色下用户的被授权的访问操作集,这就是基于角色的访问控制策略。3.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法,其特征在于步骤2所述基于用户的访问控制策略是:同一角色下不同用户被授权的特有参数集合;所述基于用户的访问控制策略推导方法,具体推导过程分为两个部分,一是直接约束,二是间接约束;直接约束部分从交互样本中提取拥有共同角色的每个用户的访问操作及其参数,对相同操作的参数进行一致性匹配,得到一个操作下每个用户的被授权的参数集合;然后,对参数集合进行去重,去除不同用户拥有的重复参数,从而得到用户特有的授权参数集合,即得到用户的直接约束集合;间接约束的操作参数从属于上一个操作所返回的响...
【专利技术属性】
技术研发人员:许静,文硕,徐亦凡,过辰楷,魏大鹏,张彪,王扬,
申请(专利权)人:南开大学,国网天津市电力公司信息通信公司,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。