共查询到20条相似文献,搜索用时 62 毫秒
1.
随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁. 针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法. 首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在. 实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞. 相似文献
2.
Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响,带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响,提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术,建立了模糊测试的SQL注入漏洞检测模型框架,使用漏洞检测框架的信息收集模块、模糊检测模块,按照关键字编码、大小写混合编码、结构化查询(Structured Query Language, SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境,对基于模糊测试技术SQL注入漏洞检测模型进行实验论证,仿真实验结果得出:基于模糊测试法的SQL注入漏洞检测模型,相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言,在不同分级漏洞检测中的确认、检测效果更优(达到90%以上)。 相似文献
3.
为对电力Web信息系统进行更为有效的SQL注入漏洞检测,提出一种基于特征的SQL注入漏洞自动化渗透测试方法.针对电力信息系统的安全特征,建立其渗透测试的特征矩阵FM(feature matrix)模型,基于启发式的特征筛选HFS(heuristic feature selection)算法构建精简的有效测试集合.实现一个原型系统,在模拟电力信息系统环境搭建的目标数据集上进行实验对比分析,结果表明,该方法能有效提高SQL注入漏洞检测的准确度和检测效率. 相似文献
4.
SQL注入漏洞是危害最为严重的电力Web信息系统漏洞之一,且其隐蔽性、 逻辑性和时序性等特点不断增强,传统漏洞分析方法已难以满足当前的检测要求,造成准确度不足的问题.对此,提出一种状态驱动的电力Web信息系统SQL注入漏洞安全特征分析和检测模型,将攻击语句特征进行状态映射,建立检测过程的扩展有限状态机(extended finite state machine,EFSM),利用相应的状态转换关系来分析识别漏洞特征.实验对比与分析结果表明,该方法可有效提高电力信息系统中SQL注入漏洞渗透测试的准确度,降低其误报和漏报. 相似文献
5.
6.
一种基于Web软件集成测试的建模方法 总被引:1,自引:0,他引:1
本文给出了一种Web软件集成测试的建模方法。该方法通过分析Web应用程序体系结构,对Web应用划分,用分层的有限状态机对Web应用进行行为建模,通过采用基于有限状态机的导航模型来指导测试人员进行Web集成测试;采用UML扩展的模型对Web应用组件间的交互建模,通过建立基于UML的组件依赖模型并提供相应的测试用例生成规则来提取Web应用的测试用例。 相似文献
7.
针对Web应用测试用例生成过程中导航图规模过大以及存在冗余测试路径的问题,提出了一种基于Selenium页面对象设计模式和图遍历算法的Web应用测试用例生成方法。首先,通过将原始页面对象进行分类,以导航页面对象类为节点、导航方法为迁移边构建页面对象导航图;其次,结合图的最短路径算法提出了一种页面对象图算法(POGA)来遍历导航图以生成测试路径集;最后,提取测试路径,利用Faker生成模拟数据,进一步生成可以直接执行的测试用例。实验结果表明:与爬取Web应用生成导航图的规模相比,该方法约简率约为89%;与基于状态迁移生成Web应用测试用例的方法相比,该方法减小了冗余和不可行路径的数量,并进一步提高了页面对象的复用率和测试用例的可维护性。 相似文献
8.
基于模型的Web应用程序测试是软件测试的一个重要方法。ASM模型从源码解析的角度,基于Web应用程序表示层建立模型,描述了Web应用程序的交互性、动态性和低耦合性。基于ASM模型的测试用例生成,考虑用户的非预期行为,在主要路径的基础上,通过添加无效访问状态和无效迁移路径,扩充测试用例。然而,随着Web应用程序规模的扩大,无效访问状态和无效迁移路径的增加导致测试用例空间爆炸。在研究ASM模型的基础上,通过定义基于ASM模型测试生成的等价迁移和等价状态,合并迁移和状态,从而有效地对ASM模型进行约简,减少了无效访问状态和无效迁移路径的数量,实现测试用例空间约减。
对一个实际Web应用程序系统的评估结果表明,基于模型约简的测试用例优化,有效约减了74.38%的测试用例空间,并且对原子段的覆盖率和错误检测数目没有产生影响。 相似文献
9.
二阶SQL注入攻击防御模型 总被引:1,自引:0,他引:1
随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。 相似文献
10.
为了给检测SQL注入漏洞提供理论依据和技术支持,通过对SQL注入攻击技术的研究和对SQL注入漏洞的本质特征的分析,提取了可动态配置内部参数的SQL攻击模板集,并以此模板集为基础,结合盲注入技术和多线程技术提出了一种SQL快速攻击方法,并建立了一套SQL盲注入快速攻击原型系统.系统利用SQL注入攻击模板集实施攻击行为,利用多线程技术提高系统攻击效率.实验结果表明,系统可以快速准确地实现攻击目的,获取后台数据库数据,可以很好地应用于检测Web应用程序存在的漏洞. 相似文献
11.
软件的测试过程模型在软件的开发过程中起着重要的指导作用,其实施效果的好坏能够直接影响软件的质量,通过分析一些典型的测试模型如X模型、W模型、V模型等的特点和不足,结合软件开发实际需求和软件测试过程模型的设计原则,提出了一种改进的软件测试过程模型——“跑道”模型,该模型能体现出设计与测试的全过程,强调了客户、设计人员和测试人员之间互动的必要性,将该模型应用到智能电表与计量终端软件的开发过程中,在提高软件测试效率、保证软件质量方面有着明显优势。 相似文献
12.
面向对象的软件测试模型及策略研究 总被引:3,自引:0,他引:3
以软件工程中面向对象软件开发模式为参考,具体阐述了面向对象分析、面向对象设计、面向对象编程的测试注意点和测试过程,并依照传统的单元测试、集成测试、系统测试三个测试步骤,借鏊传统测试方法以及面向对象软件测试层次结构,提出了面向对象软件测试的策略和一个实用面向对象的软件测试模型,并对相关问题进行了探讨。 相似文献
13.
ZHOU Juan 《数字社区&智能家居》2008,(35)
以软件工程中面向对象软件开发模式为参考,具体阐述了面向对象分析、面向对象设计、面向对象编程的测试注意点和测试过程,并依照传统的单元测试、集成测试、系统测试三个测试步骤,借鉴传统测试方法以及面向对象软件测试层次结构,详细探讨了面向对象单元测试、面向对象集成测试和面向对象系统测试的测试策略,并对相关问题进行了探讨。 相似文献
14.
软件确认测试在软件测试生命周期中占有重要地位。尽管在整个开发过程中经历了各种测试和检验,但是,在其正式发布和投入运行之前仍必需通过正式的和系统全面的测试,来确认其是否符合需求。本文介绍了软件确认测试的主要测试内容及活动,分析了确认测试在软件开发过程中的作用和地位,归纳了确认测试的基本测试模型,总结了确认测试的基本测试过程和方法。 相似文献
15.
Michael Felderer Philipp Zech Ruth Breu Matthias Büchler Alexander Pretschner 《Software Testing, Verification and Reliability》2016,26(2):119-148
Model‐based security testing relies on models to test whether a software system meets its security requirements. It is an active research field of high relevance for industrial applications, with many approaches and notable results published in recent years. This article provides a taxonomy for model‐based security testing approaches. It comprises filter criteria (i.e. model of system security, security model of the environment and explicit test selection criteria) as well as evidence criteria (i.e. maturity of evaluated system, evidence measures and evidence level). The taxonomy is based on a comprehensive analysis of existing classification schemes for model‐based testing and security testing. To demonstrate its adequacy, 119 publications on model‐based security testing are systematically extracted from the five most relevant digital libraries by three researchers and classified according to the defined filter and evidence criteria. On the basis of the classified publications, the article provides an overview of the state of the art in model‐based security testing and discusses promising research directions with regard to security properties, coverage criteria and the feasibility and return on investment of model‐based security testing. Copyright © 2015 John Wiley & Sons, Ltd. 相似文献
16.
17.
综合网络管理系统对稳定性、及时性要求很高.论文在功能测试、性能测试和自动化测试等方面对测试流程及重点技术进行理解,通过对综合网管系统的结构和业务进行分析以及对软件测试理论的深入研究,拟定了一套综合网管系统测试解决方案,包括系统测试模型,功能测试模型和性能测试模型,并针对回归测试提出了一个自动化测试模型.提高测试效率,保证软件质量. 相似文献
18.
为了提高Web应用测试的效率,文章将风险理论应用到Web应用测试上来,提出了Web应用风险分层估计模型。在此基础上,对Web应用的风险进行了估计,并利用风险估计结果对Web应用测试进行了优化。 相似文献
19.
一个数据库老化测试工具的设计与实现 总被引:1,自引:0,他引:1
数据库性能测试是数据库系统设计过程中一个重要环节,针对当前数据库性能测试工具不能反映数据库内部数据量增长对数据库性能的影响不足,提出了一个模拟老化曲线对数据库进行老化测试的解决方案,并实现了这个老化测试工具.和现有性能测试方法相比较,实现的老化测试工具可获得数据库内部数据量增长对性能的影响程度,为数据库系统的设计提供更有参考价值的测试数据. 相似文献
20.
基于状态的类测试技术研究 总被引:12,自引:0,他引:12
面向对象软件测试是面向对象软件开发的重要一环,是保证软件质量、提高软件可靠性的关键,类测试是面向对象软件测试的关键,类的状态的测试是面向对象软件测试中的重要内容,本文介绍了基于状态转移图的类测试和基于对象动态测试模型的类测试。 相似文献