Navegar por:

Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial

Use este link compartilhar ou citar este material: http://educapes.capes.gov.br/handle/1884/66754
Registro completo de metadados
MetadadosDescriçãoIdioma
Autor(es): dc.contributorPeres, Letícia Maria Lacerda, 1980--
Autor(es): dc.contributorGrégio, André Ricardo Abed, 1983--
Autor(es): dc.contributorUniversidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática-
Autor(es): dc.creatorLima, Luis Felipe de, 1990--
Data de aceite: dc.date.accessioned2020-09-24T17:33:24Z-
Data de disponibilização: dc.date.available2020-09-24T17:33:24Z-
Data de envio: dc.date.issued2020-05-15-
Data de envio: dc.date.issued2020-05-15-
Data de envio: dc.date.issued2019-
Fonte completa do material: dc.identifierhttps://hdl.handle.net/1884/66754-
Fonte: dc.identifier.urihttp://educapes.capes.gov.br/handle/1884/66754-
Descrição: dc.descriptionOrientadora: Profª. Drª. Leticia Mara Peres-
Descrição: dc.descriptionCoorientador: Prof. Dr. André Ricardo Abed Grégio-
Descrição: dc.descriptionDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 06/03/2020-
Descrição: dc.descriptionInclui referências: p. 81-86-
Descrição: dc.descriptionÁrea de concentração: Ciência da Computação-
Descrição: dc.descriptionResumo: Ataques a aplicacoes Web ocorrem com a exploracao de falhas denominadas vulnerabilidades com o objetivo de obtencao de acesso a aplicacao. As vulnerabilidades podem ser detectadas com uma tecnica de teste de seguranca chamada teste de intrusao, sendo que a execucao deste teste pode requerer grande esforco dos testadores. Devido a caracteristica sequencial presente em varias etapas que compoem um teste de intrusao, este tipo de teste vem sendo associado a problemas de planejamento em inteligencia artificial (IA). Com a realizacao de mapeamentos sistematicos e revisoes da literatura, constatou-se que pesquisadores vem propondo a modelagem de vulnerabilidades como problemas de planejamento em IA, com o intuito de automatizar parte do processo de teste de intrusao. No entanto, tais propostas nao priorizam a modelagem da execucao de ferramentas utilizadas neste tipo de teste. Esta dissertacao propoe um metodo automatizavel de teste de intrusao para aplicacoes Web utilizando a tecnica de planejamento em IA. O metodo gera, em uma primeira etapa, planos de teste a partir da modelagem da execucao das ferramentas de teste de intrusao como um problema de planejamento em IA. Em uma segunda etapa, os planos de teste devem ser seguidos para a execucao automatica destas ferramentas. A utilizacao do plano de teste tem como objetivo indicar ao testador as ferramentas e configuracoes necessarias para sua execucao de acordo com o tipo de aplicacao sob teste para o teste de determinada vulnerabilidade. Alem disso, o metodo inclui uma proposta de modulo automatizavel para busca de codigos de exploracao de vulnerabilidades e atualizacao de um framework de teste de intrusao. Com a realizacao de um estudo exploratorio, foram selecionadas para uso no metodo as ferramentas de teste de intrusao Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer e ZAP, alem do framework Metasploit. Assim, a modelagem apresentada restringiu-se as vulnerabilidades injecao de SQL e cross-site scripting (XSS). Foi conduzido um estudo de caso a fim de se exemplificar uma aplicacao do metodo em testes para as vulnerabilidades injecao de SQL e XSS. Durante o estudo de caso, o plano de teste mostrou-se promissor como um auxilio aos testadores na definicao e execucao do teste de intrusao. Ademais, o planejamento em IA mostrou-se eficaz para a modelagem do teste de intrusao e definicao criteriosa das ferramentas necessarias neste tipo de teste. Palavras-chave: Planejamento de Teste, Teste de Seguranca, Deteccao de Vulnerabilidades, Planejamento em Inteligencia Artificial.-
Descrição: dc.descriptionAbstract: Web applications attacks occur with the exploitation of failures called vulnerabilities, in order to gain access to these applications. Vulnerabilities can be detected with a security testing technique called intrusion testing whose execution can take a lot of effort from testers. Due to intrusion testing sequential steps, this type of testing has been associated with artificial intelligence (AI) planning problems. With literature reviews we found proposals of vulnerabilities modeling as AI planning problems in order to automate part of the intrusion testing process. However, modeling the execution of the tools used in this type of testing was not prioritize by these proposals. This dissertation proposes an intrusion testing method forWeb applications with the AI planning technique. In a first step, the method generates testing plans based on modeling the execution of the intrusion testing tools as an AI planning problem. In a second step, the testing plans must be followed for the automatic execution of these tools. Testing plans aim to indicate to the tester the tools and configurations necessary for its execution, according to the type of application under testing and vulnerability. In addition, the method includes a module that can be automated to search for exploits and update an intrusion testing framework. We conducted an exploratory study and selected the Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer and ZAP intrusion testing tools, and the Metasploit framework. Thus, the AI planning modeling is restricted to SQL injection and cross-site scripting (XSS) vulnerabilities. We realized a case study to exemplify an application of the method in tests for SQL injection and XSS vulnerabilities. Testing plans proved to be promising as an aid to testers in specifying and executing the intrusion testing. Also, AI planning proved to be effective in modeling the intrusion testing for defining the tools needed for this type of testing. Keywords: Testing Planning, Security Testing, Vulnerabilities Detection, Artificial Intelligence Planning.-
Formato: dc.format111 p. : il.-
Formato: dc.formatapplication/pdf-
Formato: dc.formatapplication/pdf-
Palavras-chave: dc.subjectInteligência artificial-
Palavras-chave: dc.subjectPlanejamento-
Palavras-chave: dc.subjectSoftware - Testes-
Palavras-chave: dc.subjectCiência da Computação-
Título: dc.titleTeste de intrusão para aplicações web : um método com planejamento em inteligência artificial-
Aparece nas coleções:Repositório Institucional - Rede Paraná Acervo

Não existem arquivos associados a este item.
Mostrar registro simples do item Visualizar estatísticas

Avaliação