Zur Seitenansicht
 

Titelaufnahme

Titel
Web application security testing by logic programming / by Philipp Zech
Weitere Titel
Sicherheitstesten von Webanwendungen mit Logischer Programmierung
VerfasserZech, Philipp
Betreuer / BetreuerinnenBreu, Ruth
Erschienen2014
Umfang166 S. : Ill., graph. Darst.
HochschulschriftInnsbruck, Univ., Diss., 2014
Datum der AbgabeAugust 2014
SpracheEnglisch
DokumenttypDissertation
Schlagwörter (DE)Webanwendungen / Sicherheitstesten / Modellbasiertes Testen / Logische Programmierung
Schlagwörter (EN)Web Applications / Security Testing / Model-based Testing / Logic ProgrammingS / Web Applications - Security Testing - Model-based Testing - Logic ProgrammingS
Schlagwörter (GND)Computersicherheit / Modellbasiertes Testen / Logische Programmierung
URNurn:nbn:at:at-ubi:1-1370 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
Web application security testing by logic programming [1.84 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

Diese Dissertation führt eine neue Methode für nicht-funktionales Sicherheitstesten auf der Basis logischer Programmierung sowie deren modellbasierte Implementierung für nicht-funktionales Sicherheitstesten von Webanwendungen ein. Unsere Arbeit wird durch gegenwärtige Mängel im Bereich des nicht-funktionale Testens, sprich, das Versäumnis der Berücksichtigung negativer Anforderungen und entsprechender Risiken sowie dem vorherrschendem, dem Penetrationstesten ähnlichen Stil, sprich, handwerklich und unstrukturiert, motiviert. Grund hierfür ist ein generelles Nichtvorhandensein von sicherheitsrelevantem Wissen sowie strukturierter und reproduzierbarer Methoden für das Sicherheitstesten. Unsere Arbeit adressiert diese Mängel durch das Einführen des Konzepts einer Wissensdatenbank für Schwachstellen, ein Expertensystem welches beiderlei, sicherheitsrelevantes Wissen speichert, als auch eine Risikoanalyse realisiert. Unsere Methode, ausgehend von einem Systemmodell auf Schnittstellenebene, führt zuerst eine Risikoanalyse aus, um mögliche Sicherheitsrisiken zu identifizieren, erstellt folglich ein Risikoprofil für die modellierte Anwendung, um dann zuletzt dieses Risikoprofil als Basis für nicht-funktionales Sicherheitstesten zu verwenden. Unsere Methode und ihre modellbasierte Implementierung wurde mithilfe zweier Fallstudien evaluiert, welche die Effektivität in Bezug auf das Entdecken von Schwachstellen in Webanwendungen unserer Methode aufzeigen

Zusammenfassung (Englisch)

This dissertation introduces a new method for non-functional security testing by logic programming and its model-based tool implementation for non-functional security testing of web applications. Our work is motivated by severe drawbacks in current non-functional security testing, viz. neglecting negative requirements and corresponding risks as well as its prevalent penetration testing-like, i.e., unstructured and artisanal, style. This is by virtue of a general lack of security relevant knowledge and structured as well as reproducible methods when doing security testing. Our work addresses these deficiencies by introducing the concept of a Vulnerability Knowledge Base, an expert system which both, stores necessary security vulnerability knowledge and realizes a security risk analysis. Our method, starting from a model of the system at an interface-level, then (i) performs a security risk analysis on this very model for establishing a set of application security risks, (ii) generates a risk profile of the application, and (iii) uses this risk model as a test model for non-functional security testing. We have evaluated our method and its model-based tool implementation by two case studies, which show its effectiveness in detecting vulnerabilities in web applications and thus, also its value in making web applications more secure.

Statistik
Das PDF-Dokument wurde 73 mal heruntergeladen.