Testing security policies: going beyond functional testing

最新推荐文章于 2014-04-16 10:40:07 发布
最新推荐文章于 2014-04-16 10:40:07 发布
阅读量653 收藏
点赞数
分类专栏: Reading Review
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingjinlyc/article/details/8876596
版权
Yves Le Traon, Tejeddine Mouelhi, Benoit Baudry, ISSRE.2007

本文工作:
对于系统功能测试,研究界已有广泛的相关工作,工业界也有广泛的应用,然而很少有专门的工作专注于对系统的安全策略进行测试。本文将目光集中于对系统安全策略的测试,从测试用例覆盖率的角度论述功能测试和安全测试之间的差别,说明了为安全策略设计专门的测试用例的必要性,同时提出了如何选取有效的安全策略测试用例。

本文主要研究可否将系统功能测试用例用于安全策略测试,作者的思路是:生成两类测试用例,分别针对功能和安全策略测试。为了量化比较两类测试用例检查安全缺陷的能力,采用mutation分析方法。下面是分析结果:

由上表可见,功能测试用例杀死的mutation比率要低于安全策略测试用例。因此得出本文重要的结论:尽管功能测试用例能够覆盖大多安全策略实现部分,但是为测试安全策略而专门设计测试用例依旧是很有必要的,因为它检测安全缺陷的能力更强。

本文贡献:
1、初步论述了是否可以从功能测试用例生成安全策略测试;
2、用mutation分析方法比较了功能测试用例和安全策略测试用例检测安全缺陷(Security Flaw)的能力,结果证明:尽管功能测试用例通常能够覆盖安全策略的实现部分,然而相比于针对安全测试生成的安全策略测试用例,其检测安全缺陷的能力相对较弱;
3、定义了两个测试准则以生成安全策略测试用例;


本文不足:
没有明确提出根据Security Policy模型生成测试用例的方法。(作者08年发表的文章《Model-Based Tests for Access Control Policies》提出了生成测试的方法)

 
qingjinlyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
testing-slides:测试课程幻灯片
05-18
测试课程幻灯片 [] [] [] [] [没有作业] 自动测试。 简介[家庭作业] 测试策略。 开发方法。 替代[家庭作业] 时间管理。 集成测试。 在浏览器中测试[家庭作业] 测试自定义方案[家庭作业] 奖励讲座
phpunit.testing.tools:PHPUnit测试的自定义工具
04-22
"phpunit.testing.tools"是一个专门为扩展和优化PHPUnit测试体验而设计的工具包。这个工具集内部包含了多种实用工具,旨在提高开发者的测试效率和测试覆盖率。 首先,让我们深入了解"phpunit.testing.tools"的安装...
源码安装sendmail出错解决方法
写诗的程序员
04-16 1510
按照sendmail的安装说明安装,完了以后没有sendmail主程序的可执行文件。退回到terminal查看编译记录,发现隐藏的很深
Security Assertion Markup Language (SAML)
arrio的专栏
05-31 1万+
Contents Overview Publication Highlights Principal References Related Activity News, Specifications, Articles, CommentaryOverview"SAML, developed by the Security Ser
Web测试工具和管理工具 集合
热门推荐
释然乌托邦的专栏
05-10 1万+
Web Site Test Tools and Site Management Tools <br /> More than 500 tools listed in 13 categories <br />Organization of Web Test Tools Listing - this tools listing has been loosely organized into the following categories : Load and Performance Test T
JAAS最经典的文章:USER AUTHENTICATION AND AUTHORIZATION IN THE JAVA(TM) PLATFORM
happmaoo的专栏
11-11 137
[Published in the Proceedings of the 15th Annual Computer Security Applications Conference, Phoenix, AZ, December 1999] USER AUTHENTICATION AND AUTHORIZATION IN THE JAVA(TM) PLATFORM Charlie...
vscode-testing-playground:将测试环境带入VSCode
05-11
vscode测试场 将测试场带入VSCode! 安装 转到。 单击安装。 或者 在VSCode中,转到侧栏上的“扩展”。... 搜索“测试场”。... 在使用调试测试时,您是否发现自己在浏览器... VSCode Testing Playground的初始版本 享受!
aem-testing-clients:Adobe Experience Manager的测试工具
05-13
< artifactId>aem-cloud-testing-clients < version>0.7.0 有关测试模块的示例,请检查 文献资料 检查 阅读和的自述 发展 要从源代码构建,请克隆存储库并使用maven: mvn clean install 欢迎PR和问题,请...
react-testing-examples:可搜索的React测试示例库
02-06
"react-testing-examples"是一个专为React开发者设计的资源库,它提供了大量的测试示例,帮助开发者学习如何有效地测试React组件。 React组件测试主要涉及以下知识点: 1. 测试框架:React应用通常使用Jest作为...
A Model -Based Approach to Automated Testing of Access Control Policies
写诗的程序员
05-02 866
Dianxiang Xu, Lijo Thomas, Michael Kent, Tejeddine Mouelhi, Yves Le Traon. SACMAT’12 本文工作: 本文作者提出了基于模型的方法测试Access Control Policies。采用的模型是PrT网。PrT网是Petri网的简化,它由places,transitions和arcs构成。 每一个plac
Verification and Change-Impact Analysis of Access Control Policies
写诗的程序员
05-02 807
Kathi Fisler, Shriram Krishnamurthi, Leo A. Meyerovich, Michael Carl Tschantz, ICSE’05 本文工作: 作者实现了一个验证Security Policy的工具Margrave,该工具可以检查Security Policy的描述(XACML形式)与用户定义的property(形式化描述)是否一致。另一个功能
A Model-Based Framework for Security Policy Specification, Deployment and Testing
写诗的程序员
05-02 723
Tejeddine Mouelhi, Franck Fleurey, Benoit Baudry, and Yves Le Traon, MoDELS 2008 1、用model-driven的方法进行security policy测试,可行,但是扩展性有多大?可靠性又如何?值不值得深入研究? 首先在P.I(platform independent)对SP model进行验
Transforming and Selecting Functional Test Cases for Security Policy Testing
写诗的程序员
05-02 673
Tejeddine Mouelhi, Yves Le Traon, Benoit Baudry, ICST.2009 本文作者做的工作是:在对系统进行功能测试时,有对应的测试用例,现在提供一种自动化的方法,从这些测试用例中识别出覆盖到Security Policy(SP)功能的测试用例(假设叫TCS)。 这是第一步。第二步是将TCS进行转换,以生成针对SP的测试用例。当然同时要重新定义
Model-Based Tests for Access Control Policies
写诗的程序员
05-02 666
Alexander Pretschner, Tejeddine Mouelhi, Yves Le Traon, ICST.2008 本文工作: 提出两个安全策略测试生成的方法:独立于policy和依据policy。 作者采用RBAC模型描述Security Policy,并且对其进行了扩展,加入了context元素。首先作者定义了Security Policy元模型:
A Fault Model and Mutation Testing of Access Control Policies
写诗的程序员
05-02 650
Evan Martin and Tao Xie, WWW 2007 本文工作: 本文侧重于对access policy的mutation分析技术的探究。mutation analysis在程序测试分析中的应用已经较为成熟,然而目前还没有较充分的研究工作关注于 access policy的mutation analysis。应当为access policy建立什么样的错误模型,这些错误
Systematic XACML request generation for testing purposes
写诗的程序员
05-02 649
Antonia Bertolino, Francesca Lonetti, Eda Marchetti, SEAA.2010 本文工作: 与传统的软件测试一样,测试Security Policy的关键问题之一是测试用例生成。目前有三类生成Security Policy测试用例的方法,分别是 Synthesis-based(主要是K. Fisler还有T. Xie的工作):用可用的
Automated Test Generation for Access Control Policies via Change-Impact Analysis
写诗的程序员
05-02 631
Evan Martin, Tao Xie. SESS`07 本文工作: 本文提出了一个生成Access Control Policy测试的方法,借助Change-Impact技术来生成测试request。并且开发了可用的工具Cirg。 该方法基于Change-Impact工具Margrave,首先提出两种生成policy不同版本的策略:one-to-empty和all-to-nega
A Formal Approach for Testing Security Rules
写诗的程序员
05-02 627
Wissam Mallouli, Jean-Marie Orset, Ana Cavalli, SACMAT’07 1、 作者说将security policy 集成到(integrated into)系统模型中。为什么这个系统模型起初没有将security policy 模型考虑进去呢? 2、 作者说自动地从规则集合生成测试序列,这个测试序列是什么样的呢?如何实施测试? 3、 作者
51Testing面试攻略:提升就业面试成功率
51Testing的面试指导主要针对其就业培训学员,旨在提升学员的面试能力和成功率,使他们在求职过程中更具竞争力。这份面试指导书详细介绍了面试的全过程,从面试前的准备到面试后的跟进,提供了一系列实用的建议和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值