CN106874194A

CN106874194A - 基于策略推导的Web应用程序访问控制漏洞测试用例自动生成方法

Info

Publication number: CN106874194A
Application number: CN201710017701.XA
Authority: CN
Inventors: 许静; 文硕; 徐亦凡; 过辰楷; 魏大鹏; 张彪; 王扬
Original assignee: Nankai University; Information and Telecommunication Branch of State Grid Tianjin Electric Power Co Ltd
Current assignee: Nankai University; Information and Telecommunication Branch of State Grid Tianjin Electric Power Co Ltd
Priority date: 2017-01-10
Filing date: 2017-01-10
Publication date: 2017-06-20

Abstract

一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法，该方法针对Web应用程序的访问控制模型，提出一种基于策略推导的测试用例生成方法。此方法从角色和用户两个级别发现对应的授权操作集合，推导Web应用程序的访问控制策略，并利用推导所得访问控制策略生成合法与非法两类测试用例。其中，合法用例用以对推导所得策略的正确性进行验证，非法用例通过违背授权约束生成，用以检测Web应用程序的访问控制漏洞。本发明方法能够全面检测各类访问控制漏洞，弥补了重定向后运行漏洞的检测空缺，并有效的精简测试用例的数量，大大提高分析效率。

Description

基于策略推导的Web应用程序访问控制漏洞测试用例自动生成方法

【技术领域】

本发明属于Web应用技术领域，具体涉及漏洞检测和测试数据自动生成，特别是一种基于策略推导的Web应用程序访问控制漏洞测试用例自动生成的方法。

【背景技术】

随着Web技术的成熟化与软件系统的复杂化，Web应用中的各种安全问题也层出不穷，访问控制漏洞就是其中重要的一类，它允许攻击者去绕过应用的安全策略来访问未授权的敏感信息或进行非法操作。Web应用所具有的开放性特点使得网络用户通过Web客户端提交请求后，数据库服务器无法对服务请求者的身份进行安全和合法性校验。为保证Web应用的访问安全性，代码编写者通常在Web服务器的应用逻辑中加入访问控制机制。尽管许多Web应用设计了一定的访问控制机制，但因为安全细节极其琐碎复杂、代码编写者的疏漏等原因使得在Web应用开发过程中，实际在客户端与服务器之间实现的访问控制机制往往与预期定义的访问控制策略存在差异，这种差异就造成了Web应用中的访问控制漏洞。因而，对Web应用的访问控制漏洞检测也成为Web应用安全检测的一大重点。

目前，针对Web应用程序的访问控制漏洞检测，主要有动态分析以及静态分析两种测试手段。静态分析的方法通过对Web应用程序的源代码进行分析，从而提取程序设计时的预期访问控制机制以检测Web应用程序的访问控制漏洞。该方法需要获取Web应用程序的源代码进行分析以推导代码的逻辑结构，但现有的研究成果均存在只针对某种特定代码编写语言或存在一定漏报误报等问题。动态分析通过观察Web应用程序正常运行的行为，从而推导预期访问控制机制以检测访问控制漏洞。相比静态分析的方法而言，动态分析的方法不需要获取程序的源代码，整个分析过程基于Web应用程序的运行，更注重对程序的功能进行分析，具有良好的便利性。所以使用动态分析来推导Web应用程序预期访问控制机制，进而检测访问控制漏洞的方法得到越来越多的关注。在使用动态分析进行Web应用程序访问控制漏洞检测的研究方法中，漏洞检测的准确性，与生成测试用例的优劣密切相关。

【发明内容】

本发明的目的是弥补Web应用中访问控制漏洞检测方面的不足，主要针对之前报道的检测方法漏报率较高，对运行后重定向漏洞的检测空白的问题，提出一种检测漏洞较为全面，测试用例数量精简，效率比较高的访问控制漏洞测试用例生成方法。该方法的基础是Web应用基于用户与角色的访问控制策略，设计了一种基于策略推导的访问控制漏洞测试用例生成方法。

本发明提供的基于策略推导的Web应用程序访问控制漏洞测试用例自动生成方法，主要包括以下步骤：

步骤1、通过推导同角色下所有用户被授权的操作集合，得出基于角色的访问控制策略；

首先，用户从客户端向Web应用程序发送网络请求，Web应用接收到网络请求后对用户身份进行验证，然后根据用户的角色权限生成对应的数据库请求并发送到数据库端。数据库端接收到数据库请求后，数据库端返回数据库响应至Web应用程序端。根据这一原理，驱动不同角色下的用户根据自身授权发送请求，并通过网络抓取工具抓取这一会话过程，并且过滤冗余信息，只剩下网络请求与数据库响应部分，直到遍历所有角色。然后通过遍历之前得到的会话合集，通过匹配网络请响应求与数据库请求响应的一致性，即将同一角色下的用户执行操作所发出的网络请求以及与它对应的数据库回应也就是数据库返回的数据及数据位置相匹配，从而得到角色下用户的被授权的访问操作集，这就是基于角色的访问控制策略。

步骤2、通过同角色下收集不同用户被授权的特有参数集得出基于用户的访问控制策略；

所述基于用户的访问控制策略是：同一角色下不同用户被授权的特有参数集合；基于用户的访问控制策略的推导方法，具体推导过程分为两个部分，一是直接约束，二是间接约束。直接约束部分从交互样本中提取拥有共同角色的每个用户的访问操作及其参数，对相同操作的参数进行一致性匹配，得到一个操作下每个用户的被授权的参数集合。然后，对参数集合进行去重，去除不同用户拥有的重复参数，从而得到用户特有的授权参数集合，即得到用户的直接约束集合。间接约束的操作参数从属于上一个操作所返回的响应数据集，即间接约束对应的操作的上一个操作为可返回响应数据集的直接约束读操作。对间接约束的操作参数集的推导，需分析当前访问操作的上一个操作。即间接约束的推导需要对参数传输中的两个相关操作进行分析。将直接约束与间接约束合并，就得到了用户的访问控制操作极其对应的参数集，即为基于用户的访问控制策略。

步骤3、基于前两步所推导的访问控制策略驱动角色下的用户得到合法的测试用例；

所述合法测试用例集是：合法的访问操作的参数及条件(即符合访问控制策略的操作以及使用的参数)；其生成方法是：分别遍历之前的基于角色的访问控制策略，以及基于用户的访问控制策略，将对应的角色或者对应用户所能够执行的访问控制操作以及得到的数据库应答添加到合法用例的集合中，就得到了基于角色和基于用户的合法测试用例集。

步骤4、通过驱动某一角色下的用户违背访问控制策略执行另一不同角色下的用户的操作得到基于角色的非法测试用例；

所述基于角色的非法测试用例集是：违背角色层次访问控制策略操作的参数及条件；其生成方法是：驱动某一角色下的用户违背角色间的访问控制限制，执行另一角色的合法的访问操作集合中的操作，从而得到基于角色的非法测试用例集。先按照权限的高低，也就是所能执行操作的数量多少对角色进行由低到高排序，然后选择权限最低的角色，遍历此角色之后高权限角色的访问控制策略，将此角色无法进行的访问控制操作，以及得到的数据库响应结果一起添加到非法测试用例集。重复这一过程直到查找到权限最高的角色。由此得到了基于角色的访问控制漏洞非法测试用例集合。

步骤5、通过驱动同一角色下的用户违背访问控制策略使用另一个用户特有的操作参数集合得到基于用户的非法测试用例。

所述基于用户的非法测试用例是：违背用户层次访问控制策略操作的参数；其生成方法是：驱动某一角色下的用户通过篡改当前用户的操作参数，对用户级别限制进行违背，得到基于用户的非法测试用例集。具体操作如下：先选取一个角色下的某一用户，根据之前得到的基于用户的访问控制策略，将此用户，其他同一角色下不同用户的独有参数，访问操作以及返回的结果添加到基于用户的访问控制漏洞非法测试用例集中。按照以上步骤遍历所有角色下的所有用户，由此得到基于用户的访问控制漏洞非法测试用例集。

本发明的优点和积极效果：

本发明提出了基于策略推导的访问控制漏洞测试用例生成方法，其中包含了访问控制策略推导与测试用例生成。通过分析Web应用的访问控制模型，提出了一种针对Web应用的访问控制策略推导算法，并且基于所推导的策略设计了针对访问控制漏洞检测的测试用例生成模型，主要包括访问控制策略推导模块，测试用例生成模块。实验结果表明，相较于过去的测试用例生成方法，它能全面检测各类访问控制漏洞，弥补了重定向后运行漏洞的检测空缺，并有效的精简测试用例的数量，大大提高分析效率。

【附图说明】

图1为非法测试用例的生成图。

图2为系统构架图。

图3为访问控制过程图。

图4为访问控制漏洞Web应用示意图。

【具体实施方式】

图2给出了本发明的算法流程，根据本发明方法，通过访问控制策略推导来实现Web应用程序访问控制漏洞测试用例的生成包括了访问控制策略推导与测试用例生成两大部分。此处以一个mongoblog网站为例，此网站前台为php，后台为mongodb数据库，大致结构如图4所示。

本发明方法的算法实现的第一部分：访问控制策略推导，包括基于角色的访问控制策略和基于用户的访问控制策略。

根据前面发明内容中提到的推导方法，驱动不同角色下的用户，比如例子中的administrator和guest,从客户端向Web应用程序发送网络请求，Web应用程序接收到网络请求后对用户身份进行验证，然后根据用户的角色权限生成对应的数据库请求并发送到数据库端。数据库端接收到数据库请求后，数据库端返回数据库响应至Web应用程序端。当administrator下的角色发送adduser的请求时，Web应用程序验证其身份合法，于是向数据库发送增加用户的请求，数据库完成工作后返回增加成功的信息和表的信息，这就构成了一次对话。通过网络抓包工具抓取这一会话过程，并且过滤冗余信息，只剩下mongo||http部分，直到遍历所有角色，并生成xml文件。xml文件中的会话内容主要为网络封包，包括网络请求响应，与数据库请求响应两部分。每条记录详细内容为name\showname\size\pos\show\value\unmaskedvalue等具体值(每一条不一定包含所有项)。每条记录的大概形式如下所示

接下来，通过匹配网络请求响应与数据库请求响应的一致性，即将同一角色下的用户执行一个操作所发出的网络请求经历的路径以及与它对应的数据库回应(数据库返回的数据及数据位置)相匹配，也就是之前xml文件中的多条记录，从而得到角色下用户的被授权的访问操作集，这就是基于角色的访问控制策略。

基于用户的访问控制策略推导分为两个部分，一是直接约束，二是间接约束。

在同一角色下，如果Web应用程序的一个访问操作的模板对应的访问操作可访问的资源由与用户相关联的请求传输链对应的参数进行区分，则该参数为直接约束。对于一个角色r，角色角度的访问策略能获得其访问操作模板集RT[r]，直接约束的推导可分为两个步骤：

(1)对角色r下的每个用户u，RT[r]下的每个模板t，发掘出t下的参数集PARA。该参数集下每个参数均不但对应于一条请求传播链，而且对于用户u，参数值保持不变。

(2)对角色r下的任意不同用户u1；u2，PARA集合中存在一个参数para，其在用户u1下的参数值与在用户u2下的参数值不同，即角色r下的每个用户均有特定的参数值。

经过上述推导，所得参数para即为直接约束，其所对应的访问操作即为受到直接约束的用户角度的策略。

对请求响应对按照它们的模板进行分组，使用Group来表示一组请求响应对。假设ocur为Group的一个访问操作，如果以下规则对Group内所有拥有ocur的请求响应对都成立，则该访问操作中对应的参数为间接约束。

(1)ocur的之前的访问操作opre为读访问操作，这是因为只有读访问操作才能返回后台数据库中的数据，进而传输到网络响应并成为下一个网络请求的参数；

(2)存在opre的参数parapre，该参数为直接约束，只有这样opre返回的后台数据库中的数据才能与用户相关；

(3)opre受parapre约束的所访问后台数据库数据有传输到生成的网络响应，假设其传输的数据集为Vpre；

(4)ocur对应的请求响应对存在一条请求传输链，假设该请求传输链对应的参数为paracur，参数值为vcur；

(5)vcur 2Vpre，代表opre所访问的受parapre约束的数据库信息首先传输到生成的网络响应，然后传递到ocur中一条请求传输链的参数paracur。此时，paracur为ocur对应的间接约束。

两种访问控制策略的具体结构包括角色(或用户)名称，数据库操作集合两个部分，其中数据库操作集合包括传输的网络请求，传入的参数以及返回的数据库数据。

本发明方法的算法实现的第二部分为测试用例生成，包括：

步骤5、通过驱动同一角色下的用户违背访问控制策略使用另一个用户特有的操作参数集合得到基于用户的非法测试用例。具体操作如下：

测试用例：Testcase＝<R_i,U_ij,Key(OP),Para(U_ik(OP))>,其中i∈[1,n],j∈[1,m],k∈[1,m]

即由用户R_i(U_ij)向目标Web应用提交服务OP，该请求的目标为Key(OP)，操作参数为Para(U_ik(OP))。当j＝k时，表示用户U_ij通过其授权参数Para(U_ij(OP))提交请求；否则，则表示用户U_ij通过U_ik的授权参数Para(U_ik(OP))提交请求(及参数篡改)。

测试用例的内容包括角色名称，用户名称，约束等级(直接或者间接)，访问操作(发送的访问请求及参数)以及预期结果(数据库回应)五个部分组成。

为了验证所生成的策略的合法性，通过策略生成相应的合法测试用例，对目标Web应用进行合法访问，从而得到验证结果。对每个R_i的授权操作集合P_i中的每个请求操作OP，从R_i(U_i1，U_i2，...，U_ij)中随机选取用户U_ir向目标Web应用提交请求，最终即遍历P_i中的每个OP。

P₁、P₂分别为角色R₁和R₂的操作集合，且P₁、P₂分别由若干个原子操作{OP₁₁、OP₁₂、...、OP_1s}、{OP₂₁、OP₂₂、...、OP_2s}组成，R1和R2各自的用户集合分别为R₁(U₁₁，U₁₂，...，U_1j)和R₂(U₂₁，U₂₂，...，U_2j)。如图1所示。

假设OP₂₁∈P₂，且没有OP₂₁∈P₁，则用户R₁(U₁₂)跨越角色限制，违背角色之间的权限约束执行R₂的授权操作，从而构造生成基于角色的非法测试用例。

具体由函数genMongoOperationDiffTestCases()实现，输入参数为：RoleAuthPolicy testRolePolicy,RoleAuthPolicy refRolePolicy,List<MongoSample>samples。其中testRolePolicy为低权限用户的策略，refRolePolicy为高权限用户的策略，samples为refRole角色层的sample集合。输出结果为List<TestVector>testVectors，其中testVector是为测试用例设计的数据结构。

该函数首先比较testRolePolicy和refRolePolicy，从refRolePolicy中过滤掉testRolePolicy中的策略，得到testRolePolicy没有的策略集合于Set<MongoOperation>diffSet。然后从samples中得到执行diffSet中的MongoOperation的sample集合List<MongoSample>testSamples。接着从testSamples中随机抽取一些sample集合作为种子sample存储于List<MongoSample>seedSamples中。最后根据种子sample生成权限为testRole，却执行高权限操作的测试用例。

假设OP₁₁∈P₁，且有Para(U₁₁(OP₁₁))≠Para(U₁₂(OP₁₁))，则图中实线箭头表示用户U₁₂跨越用户，伪造用户U₁₁的OP₁₁参数，篡改自己的OP₁₁参数，使其违背用户之间的权限约束，从而构造生成基于用户的非法测试用例。具体分为一阶约束与二阶约束来执行。

一阶约束：使用相同role的不同的用户的参数值来代替该用户的参数值。不带参数传播路径的一阶约束不用被测试，因为他们的参数不能被web请求篡改。

为policy中的每个operation生成一个测试用例，首先获取到执行该operation的所有samples；然后，从samples中筛选出与该操作具有相同requestKey的种子seedSamples；接着根据seedSamples中的参数去生成违背一阶约束的测试用例。

二阶约束：测试输入需要构建一系列web请求，总共两个步骤：

首先，从sample中保留所有的web请求(不包括最后一个)，来触发能返回一个绑定到用户的数据实体集的读操作，可以通过MongoSample数据结构中的SamplesInPreviousInteractions获取所有的web请求。然后，我们篡改最后一个web请求(测试请求)来超出上述设定的集合。这样一来就可以得到基于用户的非法测试用例集合。

最终进行测试时先运行合法测试用例集，将实际结果与预期结果相对比来验证推倒的策略的正确与否。然后驱动相对应的角色以及用户运行基于角色的和基于用户的非法测试用例集合中的操作，将实际结果与预期结果相对比，如果相同则表明存在访问控制漏洞。

使用该方法所生成的非法测试用例对于Web应用的访问控制漏洞进行检测，与之前公布的工具相比，生成测试用例的数量有明显的下降，并且对于访问后重定向漏洞具有良好的检测效果，弥补了之前工具的不足，提高了漏洞检测的效率与准确率。

Claims

1.一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于含有以下步骤：

步骤1、通过推导同角色下所有用户被授权的操作集合得出基于角色的访问控制策略；

2.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤1所述基于角色的访问控制策略是：同角色下所有用户被授权的操作集合；所述基于角色的访问控制策略推导方法是：驱动用户进行操作，遍历抓取的会话集合，然后，对有效字段在数据库响应中进行一致性匹配，提取有效字段，推导过滤条件，从而得到基于角色的策略；

具体来说，驱动不同角色下的用户根据自身授权发送网络请求，并且接受数据库的响应，通过网络抓取工具抓取这一会话过程，并且过滤冗余信息，只剩下网络请求与数据库响应部分，直到遍历所有角色；然后通过遍历之前得到的会话合集，通过匹配网络请响应求与数据库请求响应的一致性，即将同一角色下的用户执行操作所发出的网络请求以及与它对应的数据库回应，即数据库返回的数据及数据位置相匹配，从而得到角色下用户的被授权的访问操作集，这就是基于角色的访问控制策略。

3.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤2所述基于用户的访问控制策略是：同一角色下不同用户被授权的特有参数集合；所述基于用户的访问控制策略推导方法，具体推导过程分为两个部分，一是直接约束，二是间接约束；直接约束部分从交互样本中提取拥有共同角色的每个用户的访问操作及其参数，对相同操作的参数进行一致性匹配，得到一个操作下每个用户的被授权的参数集合；然后，对参数集合进行去重，去除不同用户拥有的重复参数，从而得到用户特有的授权参数集合，即得到用户的直接约束集合；间接约束的操作参数从属于上一个操作所返回的响应数据集，即间接约束对应的操作的上一个操作为可返回响应数据集的直接约束读操作；对间接约束的操作参数集的推导，需分析当前访问操作的上一个操作，即间接约束的推导需要对参数传输中的两个相关操作进行分析；将直接约束与间接约束合并，就得到了用户的访问控制操作极其对应的参数集，即为基于用户的访问控制策略。

4.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤3所述合法测试用例集是：合法的访问操作的参数及条件；所述合法测试用例集生成方法是：分别遍历之前的基于角色的访问控制策略，以及基于用户的访问控制策略，将对应的角色或者对应用户所能够执行的访问控制操作以及得到的数据库应答添加到合法用例的集合中，就得到了基于角色和基于用户的合法测试用例集。

5.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤4所述基于角色的非法测试用例集是：违背角色层次访问控制策略操作的参数及条件；所述非法测试用例生成方法是：驱动某一角色下的用户违背角色间的访问控制限制，执行另一角色的合法的访问操作集合中的操作，从而得到基于角色的非法测试用例集；具体来说，先按照权限的高低，也就是所能执行操作的数量对角色进行由低到高排序，然后选择权限最低的角色，遍历此角色之后高权限角色的访问控制策略，将此角色无法进行的访问控制操作，以及得到的数据库响应结果一起添加到非法测试用例集；重复这一过程直到查找到权限最高的角色，由此得到了基于角色的访问控制漏洞非法测试用例集合。

6.根据权利要求1所述的基于策略推导的web应用程序访问控制漏洞测试用例生成方法，其特征在于步骤5所述基于用户的非法测试用例是：违背用户层次访问控制策略操作的参数；所述非法测试用例生成方法是驱动某一角色下的用户通过篡改当前用户的操作参数，对用户级别限制进行违背，得到基于用户的非法测试用例集；具体操作如下：先选取一个角色下的某一用户，根据之前得到的基于用户的访问控制策略，将此用户，其他同一角色下不同用户的独有参数，访问操作以及返回的结果添加到基于用户的非法测试用例集中；按照以上步骤遍历所有角色下的所有用户，由此得到基于用户的访问控制漏洞非法测试用例集。