Semi-Automatic Security Testing of Web Applications with Fault Models and Properties

Büchler, Matthias

User: Guest

Matthias Büchler

If you experience problems opening the document, please try this link.

Original title:: Semi-Automatic Security Testing of Web Applications with Fault Models and Properties
Translated title:: Halbautomatisches Sicherheitstesten von Web Anwendungen mit Fehlermodellen und Eigenschaften
Author:: Büchler, Matthias
Year:: 2015
Document type:: Dissertation
Faculty/School:: Fakultät für Informatik
Advisor:: Pretschner, Alexander (Prof. Dr.)
Referee:: Pretschner, Alexander (Prof. Dr.); Hierons, Robert (Prof. Dr.)
Language:: en
Subject group:: DAT Datenverarbeitung, Informatik
TUM classification:: DAT 310d
Abstract:: Web applications are complex and face complex attacks, as well. Thus, security vulnerabilities are hard to find. To tackle this complexity we analyze abstract models of these web applications. We generate test cases by (semi-) automatically injecting faults into the models and utilize systematic verification techniques to generate abstract test cases. To test real implementations, we operationalize them with the help of web browsers and penetration testing techniques. Our evaluation shows that non-trivial multi-step XSS and SQL attacks can effectively be found. «
Web applications are complex and face complex attacks, as well. Thus, security vulnerabilities are hard to find. To tackle this complexity we analyze abstract models of these web applications. We generate test cases by (semi-) automatically injecting faults into the models and utilize systematic verification techniques to generate abstract test cases. To test real implementations, we operationalize them with the help of web browsers and penetration testing techniques. Our evaluation shows that n... »
Translated abstract:: Web Applikationen sind sehr komplex und ebenso komplexen Angriffen ausgesetzt. Deshalb ist das Finden von Sicherheitslücken sehr schwierig. Der Komplexität begegnen wir mit abstrakten Modellen, in die (semi-) automatisch Verwundbarkeiten injiziert werden. Verifikationstechniken erzeugen daraus abstrakte Testfälle. Um reale Implementierungen zu testen, operationalisieren wir die Testfälle mit der Hilfe von Web Browsern und Penetrationstests. Unsere Evaluation zeigt, dass durch diese Technik nicht-triviale XSS und SQL Verwundbarkeiten gefunden werden können. «
Web Applikationen sind sehr komplex und ebenso komplexen Angriffen ausgesetzt. Deshalb ist das Finden von Sicherheitslücken sehr schwierig. Der Komplexität begegnen wir mit abstrakten Modellen, in die (semi-) automatisch Verwundbarkeiten injiziert werden. Verifikationstechniken erzeugen daraus abstrakte Testfälle. Um reale Implementierungen zu testen, operationalisieren wir die Testfälle mit der Hilfe von Web Browsern und Penetrationstests. Unsere Evaluation zeigt, dass durch diese Technik nich... »
WWW:: https://mediatum.ub.tum.de/?id=1273062
Date of submission:: 20.07.2015
Oral examination:: 18.12.2015
File size:: 10344697 bytes
Pages:: 273
Urn (citeable URL):: https://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:bvb:91-diss-20151218-1273062-1-3
Last change:: 17.03.2016
BibTeX