Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
Autor(a) principal: | |
---|---|
Data de Publicação: | 2020 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Institucional da UFPR |
Texto Completo: | https://hdl.handle.net/1884/66754 |
Resumo: | Orientadora: Profª. Drª. Leticia Mara Peres |
id |
UFPR_246387a66e27231ddc1302c5c191011a |
---|---|
oai_identifier_str |
oai:acervodigital.ufpr.br:1884/66754 |
network_acronym_str |
UFPR |
network_name_str |
Repositório Institucional da UFPR |
repository_id_str |
308 |
spelling |
Lima, Luis Felipe de, 1990-Grégio, André Ricardo Abed, 1983-Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em InformáticaPeres, Letícia Maria Lacerda, 1980-2021-06-21T20:28:59Z2021-06-21T20:28:59Z2020https://hdl.handle.net/1884/66754Orientadora: Profª. Drª. Leticia Mara PeresCoorientador: Prof. Dr. André Ricardo Abed GrégioDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 06/03/2020Inclui referências: p. 81-86Área de concentração: Ciência da ComputaçãoResumo: Ataques a aplicacoes Web ocorrem com a exploracao de falhas denominadas vulnerabilidades com o objetivo de obtencao de acesso a aplicacao. As vulnerabilidades podem ser detectadas com uma tecnica de teste de seguranca chamada teste de intrusao, sendo que a execucao deste teste pode requerer grande esforco dos testadores. Devido a caracteristica sequencial presente em varias etapas que compoem um teste de intrusao, este tipo de teste vem sendo associado a problemas de planejamento em inteligencia artificial (IA). Com a realizacao de mapeamentos sistematicos e revisoes da literatura, constatou-se que pesquisadores vem propondo a modelagem de vulnerabilidades como problemas de planejamento em IA, com o intuito de automatizar parte do processo de teste de intrusao. No entanto, tais propostas nao priorizam a modelagem da execucao de ferramentas utilizadas neste tipo de teste. Esta dissertacao propoe um metodo automatizavel de teste de intrusao para aplicacoes Web utilizando a tecnica de planejamento em IA. O metodo gera, em uma primeira etapa, planos de teste a partir da modelagem da execucao das ferramentas de teste de intrusao como um problema de planejamento em IA. Em uma segunda etapa, os planos de teste devem ser seguidos para a execucao automatica destas ferramentas. A utilizacao do plano de teste tem como objetivo indicar ao testador as ferramentas e configuracoes necessarias para sua execucao de acordo com o tipo de aplicacao sob teste para o teste de determinada vulnerabilidade. Alem disso, o metodo inclui uma proposta de modulo automatizavel para busca de codigos de exploracao de vulnerabilidades e atualizacao de um framework de teste de intrusao. Com a realizacao de um estudo exploratorio, foram selecionadas para uso no metodo as ferramentas de teste de intrusao Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer e ZAP, alem do framework Metasploit. Assim, a modelagem apresentada restringiu-se as vulnerabilidades injecao de SQL e cross-site scripting (XSS). Foi conduzido um estudo de caso a fim de se exemplificar uma aplicacao do metodo em testes para as vulnerabilidades injecao de SQL e XSS. Durante o estudo de caso, o plano de teste mostrou-se promissor como um auxilio aos testadores na definicao e execucao do teste de intrusao. Ademais, o planejamento em IA mostrou-se eficaz para a modelagem do teste de intrusao e definicao criteriosa das ferramentas necessarias neste tipo de teste. Palavras-chave: Planejamento de Teste, Teste de Seguranca, Deteccao de Vulnerabilidades, Planejamento em Inteligencia Artificial.Abstract: Web applications attacks occur with the exploitation of failures called vulnerabilities, in order to gain access to these applications. Vulnerabilities can be detected with a security testing technique called intrusion testing whose execution can take a lot of effort from testers. Due to intrusion testing sequential steps, this type of testing has been associated with artificial intelligence (AI) planning problems. With literature reviews we found proposals of vulnerabilities modeling as AI planning problems in order to automate part of the intrusion testing process. However, modeling the execution of the tools used in this type of testing was not prioritize by these proposals. This dissertation proposes an intrusion testing method forWeb applications with the AI planning technique. In a first step, the method generates testing plans based on modeling the execution of the intrusion testing tools as an AI planning problem. In a second step, the testing plans must be followed for the automatic execution of these tools. Testing plans aim to indicate to the tester the tools and configurations necessary for its execution, according to the type of application under testing and vulnerability. In addition, the method includes a module that can be automated to search for exploits and update an intrusion testing framework. We conducted an exploratory study and selected the Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer and ZAP intrusion testing tools, and the Metasploit framework. Thus, the AI planning modeling is restricted to SQL injection and cross-site scripting (XSS) vulnerabilities. We realized a case study to exemplify an application of the method in tests for SQL injection and XSS vulnerabilities. Testing plans proved to be promising as an aid to testers in specifying and executing the intrusion testing. Also, AI planning proved to be effective in modeling the intrusion testing for defining the tools needed for this type of testing. Keywords: Testing Planning, Security Testing, Vulnerabilities Detection, Artificial Intelligence Planning.111 p. : il.application/pdfInteligência artificialPlanejamentoSoftware - TestesCiência da ComputaçãoTeste de intrusão para aplicações web : um método com planejamento em inteligência artificialinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALR - D - LUIS FELIPE DE LIMA.pdfapplication/pdf1816412https://acervodigital.ufpr.br/bitstream/1884/66754/1/R%20-%20D%20-%20LUIS%20FELIPE%20DE%20LIMA.pdf19ee5e7f234e04f67519a3665f5eacb3MD51open access1884/667542021-06-21 17:29:00.034open accessoai:acervodigital.ufpr.br:1884/66754Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082021-06-21T20:29Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false |
dc.title.pt_BR.fl_str_mv |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
title |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
spellingShingle |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial Lima, Luis Felipe de, 1990- Inteligência artificial Planejamento Software - Testes Ciência da Computação |
title_short |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
title_full |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
title_fullStr |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
title_full_unstemmed |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
title_sort |
Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial |
author |
Lima, Luis Felipe de, 1990- |
author_facet |
Lima, Luis Felipe de, 1990- |
author_role |
author |
dc.contributor.other.pt_BR.fl_str_mv |
Grégio, André Ricardo Abed, 1983- Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática |
dc.contributor.author.fl_str_mv |
Lima, Luis Felipe de, 1990- |
dc.contributor.advisor1.fl_str_mv |
Peres, Letícia Maria Lacerda, 1980- |
contributor_str_mv |
Peres, Letícia Maria Lacerda, 1980- |
dc.subject.por.fl_str_mv |
Inteligência artificial Planejamento Software - Testes Ciência da Computação |
topic |
Inteligência artificial Planejamento Software - Testes Ciência da Computação |
description |
Orientadora: Profª. Drª. Leticia Mara Peres |
publishDate |
2020 |
dc.date.issued.fl_str_mv |
2020 |
dc.date.accessioned.fl_str_mv |
2021-06-21T20:28:59Z |
dc.date.available.fl_str_mv |
2021-06-21T20:28:59Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
https://hdl.handle.net/1884/66754 |
url |
https://hdl.handle.net/1884/66754 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
111 p. : il. application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFPR instname:Universidade Federal do Paraná (UFPR) instacron:UFPR |
instname_str |
Universidade Federal do Paraná (UFPR) |
instacron_str |
UFPR |
institution |
UFPR |
reponame_str |
Repositório Institucional da UFPR |
collection |
Repositório Institucional da UFPR |
bitstream.url.fl_str_mv |
https://acervodigital.ufpr.br/bitstream/1884/66754/1/R%20-%20D%20-%20LUIS%20FELIPE%20DE%20LIMA.pdf |
bitstream.checksum.fl_str_mv |
19ee5e7f234e04f67519a3665f5eacb3 |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 |
repository.name.fl_str_mv |
Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR) |
repository.mail.fl_str_mv |
|
_version_ |
1813898750127505408 |