[发明专利]基于策略推导的Web应用程序访问控制漏洞测试用例自动生成方法

权利要求书

1.一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于含有以下步骤：

步骤1、通过推导同角色下所有用户被授权的操作集合得出基于角色的访问控制策略；

步骤2、通过同角色下收集不同用户被授权的特有参数集得出基于用户的访问控制策略；

步骤3、基于前两步所推导的访问控制策略驱动角色下的用户得到合法的测试用例；

步骤4、通过驱动某一角色下的用户违背访问控制策略执行另一不同角色下的用户的操作得到基于角色的非法测试用例；

步骤5、通过驱动同一角色下的用户违背访问控制策略使用另一个用户特有的操作参数集合得到基于用户的非法测试用例。

2.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤1所述基于角色的访问控制策略是：同角色下所有用户被授权的操作集合；所述基于角色的访问控制策略推导方法是：驱动用户进行操作，遍历抓取的会话集合，然后，对有效字段在数据库响应中进行一致性匹配，提取有效字段，推导过滤条件，从而得到基于角色的策略；

具体来说，驱动不同角色下的用户根据自身授权发送网络请求，并且接受数据库的响应，通过网络抓取工具抓取这一会话过程，并且过滤冗余信息，只剩下网络请求与数据库响应部分，直到遍历所有角色；然后通过遍历之前得到的会话合集，通过匹配网络请响应求与数据库请求响应的一致性，即将同一角色下的用户执行操作所发出的网络请求以及与它对应的数据库回应，即数据库返回的数据及数据位置相匹配，从而得到角色下用户的被授权的访问操作集，这就是基于角色的访问控制策略。

3.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤2所述基于用户的访问控制策略是：同一角色下不同用户被授权的特有参数集合；所述基于用户的访问控制策略推导方法，具体推导过程分为两个部分，一是直接约束，二是间接约束；直接约束部分从交互样本中提取拥有共同角色的每个用户的访问操作及其参数，对相同操作的参数进行一致性匹配，得到一个操作下每个用户的被授权的参数集合；然后，对参数集合进行去重，去除不同用户拥有的重复参数，从而得到用户特有的授权参数集合，即得到用户的直接约束集合；间接约束的操作参数从属于上一个操作所返回的响应数据集，即间接约束对应的操作的上一个操作为可返回响应数据集的直接约束读操作；对间接约束的操作参数集的推导，需分析当前访问操作的上一个操作，即间接约束的推导需要对参数传输中的两个相关操作进行分析；将直接约束与间接约束合并，就得到了用户的访问控制操作极其对应的参数集，即为基于用户的访问控制策略。

4.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤3所述合法测试用例集是：合法的访问操作的参数及条件；所述合法测试用例集生成方法是：分别遍历之前的基于角色的访问控制策略，以及基于用户的访问控制策略，将对应的角色或者对应用户所能够执行的访问控制操作以及得到的数据库应答添加到合法用例的集合中，就得到了基于角色和基于用户的合法测试用例集。

5.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤4所述基于角色的非法测试用例集是：违背角色层次访问控制策略操作的参数及条件；所述非法测试用例生成方法是：驱动某一角色下的用户违背角色间的访问控制限制，执行另一角色的合法的访问操作集合中的操作，从而得到基于角色的非法测试用例集；具体来说，先按照权限的高低，也就是所能执行操作的数量对角色进行由低到高排序，然后选择权限最低的角色，遍历此角色之后高权限角色的访问控制策略，将此角色无法进行的访问控制操作，以及得到的数据库响应结果一起添加到非法测试用例集；重复这一过程直到查找到权限最高的角色，由此得到了基于角色的访问控制漏洞非法测试用例集合。

6.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤5所述基于用户的非法测试用例是：违背用户层次访问控制策略操作的参数；所述非法测试用例生成方法是驱动某一角色下的用户通过篡改当前用户的操作参数，对用户级别限制进行违背，得到基于用户的非法测试用例集；具体操作如下：先选取一个角色下的某一用户，根据之前得到的基于用户的访问控制策略，将此用户，其他同一角色下不同用户的独有参数，访问操作以及返回的结果添加到基于用户的非法测试用例集中；按照以上步骤遍历所有角色下的所有用户，由此得到基于用户的访问控制漏洞非法测试用例集。