A pattern-driven and model-based vulnerability testing for Web applications - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2015

A pattern-driven and model-based vulnerability testing for Web applications

Une approche à base de modèles et de patterns pour le test de vulnérabilités d'applications Web

Résumé

This thesis proposes an original approach, dubbed PMVT for Pattern-driven and Model-basedVulnerability Testing, which aims to improve the capability for detecting four high-profile vulnerabilitytypes, Cross-Site Scripting, SQL Injections, CSRF and Privilege Escalations, and reduce falsepositives and false negatives verdicts. PMVT relies on the use of a behavioral model of theapplication, capturing its functional aspects, and a set of vulnerability test patterns that addressvulnerabilities in a generic way. By adapting existing MBT technologies, an integrated toolchain that supports PMVT automates thedetection of the four vulnerability types in Web applications. This prototype has been experimentedand evaluated on two real-life Web applications that are currently used by tens of thousandsusers. Experiments have highlighted the effectiveness and efficiency of PMVT and shown astrong improvement of vulnerability detection capabilities w.r.t. available automated Web applicationscanners for these kind of vulnerabilities.
Cette thèse propose une approche originale de test de vulnérabilité Web à partir de modèles etdirigée par des patterns de tests, nommée PMVT. Son objectif est d’améliorer la capacité de détectionde quatre types de vulnérabilité majeurs, Cross-Site Scripting, Injections SQL, Cross-Site RequestForgery, et Privilege Escalation. PMVT repose sur l’utilisation d’un modèle comportemental del’application Web, capturant ses aspects fonctionnels, et sur un ensemble de patterns de test devulnérabilité qui adressent un type de vulnérabilité de manière générique, quelque soit le type del’application Web sous test.Par l’adaptation de technologies MBT existantes, nous avons développé une chaîne outillée complèteautomatisant la détection des quatre types de vulnérabilité. Ce prototype a été exprimenté et évaluésur deux applications réelles, actuellement utiliseés par plusieurs dizaines de milliers d’utilisateurs.Les résultats d’expérimentation démontrent la pertinence et de l’efficience de PMVT, notamment enaméliorant de façon significative la capacité de détection de vulnérabilités vis à vis des scannersautomatiques d’applications Web existants.

Domaines

Web
Fichier principal
Vignette du fichier
these_A_VERNOTTE_Alexandre_2015.pdf (4.75 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

ABES STAR  :  Contact

https://theses.hal.science/tel-01537118

Soumis le : lundi 12 juin 2017-13:16:28

Dernière modification le : mercredi 4 octobre 2023-03:49:49

Archivage à long terme le : jeudi 14 septembre 2017-12:04:50

Télécharger pour visualiser

Dates et versions

tel-01537118 , version 1 (12-06-2017)

Identifiants

  • HAL Id : tel-01537118 , version 1

Citer

Alexandre Vernotte. A pattern-driven and model-based vulnerability testing for Web applications. Web. Université de Franche-Comté, 2015. English. ⟨NNT : 2015BESA2024⟩. ⟨tel-01537118⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

CNRS UNIV-FCOMTE UNIV-BM FEMTO-ST STAR UNIV-BM-THESE
330 Consultations
1978 Téléchargements

Partager

Gmail Facebook X LinkedIn More