一种构件安全测试错误注入模型

构件特别是第三方构件的可靠性及安全性是影响构件技术发展的重要因素之一.目前在构件安全漏洞的测试方法和技术方面研究还不够深入.提出了一种构件安全测试错误注入模型FIM(faultinjection model of component security testing),并对FIM模型的相关定义及其矩阵形式进行了详细阐述,同时基于FIM模型给出了一种错误注入测试用例生成算法TGSM(test-case generating based onsolution matrix).TGSM算法根据矩阵形式的FIM模型生成满足K因素覆盖的解矩阵,解矩阵的所有行数据组成了错误注入测试用例.在研究项目CSTS(component security testing system)中实现了FIM模型,实验结果表明FIM生成的三因素覆盖错误注入测试用例效果显著,能用适当的测试用例触发绝大部分构件安全异常.FIM模型具有较好的可操作性及可用性.     

基于日志挖掘的Web service安全关联规则挖掘算法及应用

针对传统的Web service安全性测试方法存在的低效性和盲目性,提出了一种基于Web service日志挖掘的安全关联规则挖掘算法,并阐述了算法的应用环境。通过该算法挖掘出正常行为的关联规则,采用错误注入的方式对Web service注入预先设计的构造算子,并把执行后的日志与关联规则进行比较,进而发现Web service存在的安全性问题。实验结果表明,该算法较大地提高了日志挖掘的效率及覆盖率,同时应用该算法能较好地检测出Web service的安全性问题,进一步表明提出的算法是可行有效的。     

环境错误注入测试机制

环境错误注入是一种动态的测试软件脆弱性的技术，建立在对系统脆弱性分类模型的基础上，通过选择一个恰当的错误模型，测试系统有意识地触发软件内部存在的安全漏洞。该测试方法对于通常使用的静态检测方法，是一种重要的补充。文章论述了环境错误注入系统的一种实现机制。     

一个组件安全自动化测试平台的设计与实现

研制自动化的组件安全测试工具将对基于组件的软件工程产生重大影响,并能有效保障组件软件的安全性和可靠性,是当今软件业界一个极具现实意义和挑战的课题.针对广泛使用的微软第三方COM组件,设计和实现了一个组件安全性测试的原型系统CSTS(Component Security Testing System).CSTS主要对组件从静态和动态两个级别进行安全性测试.在静态级别上,先分析出组件接口信息,然后对接口方法从参数个数、参数顺序、参数范围和参数类型等方面进行错误注入测试;在动态级别上,先执行测试驱动,然后对组件所依赖的内存、磁盘文件系统和注册表等环境进行错误注入,再通过强大的监测机制监视错误注入后组件执行情况来判断组件安全异常.所实现的原型系统CSTS具有自动化程度高、操作简单及测试效果较好等优点.     

一种Web应用软件安全脆弱性测试模型

研究使用错误注入的方法进行web应用软件脆弱性测试的技术,提出环境与状态错误模型(EAS模型),并提出基于EAS模型的web应用软件安全性测试方法.使用EAS模型对来自OWASP的漏洞数据库进行了分类,并与使用EAI模型分类的结果做了对比.使用EAS模型测试了WEB应用软件PEGames,发现了其中的6个漏洞.实验表明,EAS模型具有良好的漏洞覆盖能力和漏洞揭示能力.     

软件错误注入测试技术研究

软件错误注入测试(software fault injection testing,简称SFIT)技术经过近30年的发展,一直是软件测试领域最活跃的研究内容之一.作为一种非传统的测试技术,在提高软件质量、减少软件危害及改进软件开发过程等方面起着重要作用.对软件错误注入测试的研究现状及动态进行了调研,对该领域相关技术进行了归类及介绍,并对当前较为有效的测试框架和原型工具进行了总结,同时介绍了正在研发的基于SFIT技术的构件安全性测试系统CSTS.在认真分析现有技术的基础上,总结了当前软件错误注入测试存在的问     

基于SQL注入的渗透性测试技术研究

为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,分析了基于SQL注入的渗透性测试技术,在此基础上提出了渗透性测试的原型系统,给出了主要的功能,通过对动网论坛的渗透性测试分析比较了原型系统的效能.实验表明,该原型系统能较好发现系统的SQL注入的脆弱点,从而帮助管理员提升系统的安全性.     

一种基于EAI模型的错误注入测试方法

研究了基于EAI(Environment Application Interadion)模型软件错误注入测试方法,结合变异测试技术,提出了一种基于EAI模型的加权测试技术及其实现方法.对实际软件进行测试,实验结果表明,该方法有效并且可复用性强.     

基于EAI和AOP的软件安全测试及应用研究

提高软件安全测试方法的易操作性和可复用性在软件工程中具有重要的研究意义.研究了一种用于测试软件安全的基于EAI模型(Environment Application Interaction Model)的软件错误注入测试方法,提出了基于面向方面编程(AOP)实现软件错误注入的安全测试模型(AOEAI)及其实现方法.对应用软件进行了实际测试,实验结果表明,该方法不仅是有效的,而且具有易操作性和可复用性强的特点.     

基于组件的加权组合错误注入测试方法

在传统错误注入方法的基础上,结合组合变异测试技术,提出一种面向组件的错误注入加权组合测试方法。对组件环境的注入条件设置加权因子,在组件集成测试系统平台下面向第三方组件进行注入测试,自动生成XML格式的测试监控日志。实验结果表明,该方法能依据组件的软件环境发现并分析从高风险到低风险的组件漏洞。     

基于脆弱点分析的故障注入技术

针对分布式系统规模愈发庞大的现状,提出故障搜索策略--脆弱点辅助识别算法,结合常见故障模式的故障注入模型,研究基于脆弱点分析的故障注入技术,用于搜索指定故障范围内的故障组合,从而能够快速、有效地进行故障注入,提升测试效率。     

基于故障注入的仿真测试方法过程框架

在嵌入式系统组成特性和嵌入式软件测试抽象分析基础上,提出了一种基于故障注入的嵌入式软件仿真测试方法.结合故障注入试验过程特点,将故障分析、故障建模和故障注入技术有效地应用于嵌入式软件仿真测试过程中,并对该方法的测试过程框架进行了探讨.     

一种模型驱动的协议测试故障注入引擎设计

故障注入是一种测试协议实现容错能力的有效方法,而基于模型的故障描述方法能够提高测试的可视性和有效性。提出一种面向协议测试的故障注入引擎,并采用模型驱动的方法,通过测试模型指导故障注入活动,具有移植性强、简便高效等特点。     

模型驱动的VxWorks操作系统故障注入与鲁棒性测试研究

VxWorks 是目前广泛应用于机载、车载等复杂嵌入式系统的操作系统,它为应用程序提供了强大的故障捕捉和缺省的故障处理服务,并提供应用程序可挂载的故障处理接口。由于故障产生的时机和机理复杂,因此如何控制操作系统使其按照应用程序的测试需求抛出相应的故障,从而触发应用程序的故障处理,是对应用程序开展鲁棒性测试时需要解决的一个关键问题。本文以 VxWorks 嵌入式实时操作系统中捕捉的故障作为研究对象,提出了由故障建模、故障注入、测试控制和鲁棒性判定组成的故障设计与测试方法,以支持对基于 VxWorks 的应用程序开展鲁棒性测试。该测试方法将模型驱动测试与故障注入技术相结合,在平台无关层次描述故障,针对操作系统中对相应故障处理方式的不同,本文设计了函数替换和变量修改两种故障注入方法,并在VxWorks 5.5 上进行了实验,确认了相应方法和技术的有效性。