Automatisiertes Ableiten von Testvorbedingungen für Sicherheitstests aus dem Netzwerkverkehr

Abstract

Die immer schneller wachsende Informationsgesellschaft erfordert eine globale Vernetzung von Rechnersystemen. Dadurch sind die Entwickler gefordert, neue Systeme und Pro- tokolle zu entwerfen. Diese Rechnersysteme müssen miteinander kommunizieren. Dadurch steigt die Komplexität, wodurch Sicherheitslücken entstehen und durch Angreifer ausgenützt werden können. Um sich gegen die Flut an Angriffen schützen zu können, ist es erforder- lich, Protokolle und Services automatisiert zu testen. Da es jedoch nicht möglich ist, alle Fehler zu finden, müssen kritische Anwendungsfälle, wie etwa die Authentifizierung und Autorisierung, gefunden und getestet werden. Das Ziel dieser Arbeit ist es, anhand eines konkreten Beispiels, dem An- und Abmelden eines Benutzers, beim Hypertext Transfer Protokoll eine automatisierte grammatikalische Analyse durchzuführen. Die Ergebnisse der grammatikalischen Analyse zeigen die kritischen Änderungen der Benutzerdaten im Verlauf der Zeit. Die Ergebnisse können anschliessend für das automatisierte Testen von kritischen Anwendungsfällen verwendet werden.<br />

The faster-growing information society requires a global network of computer systems. Thus, the developers are challenged to design new systems and protocols. These computer systems have to communicate with each other. This increases the complexity, creating security holes that can be exploited by attackers. To protect themselves against the tide of attacks, it is necessary, protocols, and services automated test.<br />However, since it is not possible to find all errors. Critical applications, such as authentication and authorization, will be found and tested. The aim of this work is through a real case, the conduct of login and logout a user, to perform an automated grammatical analysis of the Hypertext Transfer Protocol. The results of the grammatical analysis show the critical changes in user data over time. The results can be used for automated testing of critical applications.