Diese Dissertation führt eine neue Methode für nicht-funktionales Sicherheitstesten auf der Basis logischer Programmierung sowie deren modellbasierte Implementierung für nicht-funktionales Sicherheitstesten von Webanwendungen ein. Unsere Arbeit wird durch gegenwärtige Mängel im Bereich des nicht-funktionale Testens, sprich, das Versäumnis der Berücksichtigung negativer Anforderungen und entsprechender Risiken sowie dem vorherrschendem, dem Penetrationstesten ähnlichen Stil, sprich, handwerklich und unstrukturiert, motiviert. Grund hierfür ist ein generelles Nichtvorhandensein von sicherheitsrelevantem Wissen sowie strukturierter und reproduzierbarer Methoden für das Sicherheitstesten. Unsere Arbeit adressiert diese Mängel durch das Einführen des Konzepts einer Wissensdatenbank für Schwachstellen, ein Expertensystem welches beiderlei, sicherheitsrelevantes Wissen speichert, als auch eine Risikoanalyse realisiert. Unsere Methode, ausgehend von einem Systemmodell auf Schnittstellenebene, führt zuerst eine Risikoanalyse aus, um mögliche Sicherheitsrisiken zu identifizieren, erstellt folglich ein Risikoprofil für die modellierte Anwendung, um dann zuletzt dieses Risikoprofil als Basis für nicht-funktionales Sicherheitstesten zu verwenden. Unsere Methode und ihre modellbasierte Implementierung wurde mithilfe zweier Fallstudien evaluiert, welche die Effektivität in Bezug auf das Entdecken von Schwachstellen in Webanwendungen unserer Methode aufzeigen
|