Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial

Detalhes bibliográficos
Autor(a) principal: Lima, Luis Felipe de, 1990-
Data de Publicação: 2020
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Institucional da UFPR
Texto Completo: https://hdl.handle.net/1884/66754
Resumo: Orientadora: Profª. Drª. Leticia Mara Peres
id UFPR_246387a66e27231ddc1302c5c191011a
oai_identifier_str oai:acervodigital.ufpr.br:1884/66754
network_acronym_str UFPR
network_name_str Repositório Institucional da UFPR
repository_id_str 308
spelling Lima, Luis Felipe de, 1990-Grégio, André Ricardo Abed, 1983-Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em InformáticaPeres, Letícia Maria Lacerda, 1980-2021-06-21T20:28:59Z2021-06-21T20:28:59Z2020https://hdl.handle.net/1884/66754Orientadora: Profª. Drª. Leticia Mara PeresCoorientador: Prof. Dr. André Ricardo Abed GrégioDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 06/03/2020Inclui referências: p. 81-86Área de concentração: Ciência da ComputaçãoResumo: Ataques a aplicacoes Web ocorrem com a exploracao de falhas denominadas vulnerabilidades com o objetivo de obtencao de acesso a aplicacao. As vulnerabilidades podem ser detectadas com uma tecnica de teste de seguranca chamada teste de intrusao, sendo que a execucao deste teste pode requerer grande esforco dos testadores. Devido a caracteristica sequencial presente em varias etapas que compoem um teste de intrusao, este tipo de teste vem sendo associado a problemas de planejamento em inteligencia artificial (IA). Com a realizacao de mapeamentos sistematicos e revisoes da literatura, constatou-se que pesquisadores vem propondo a modelagem de vulnerabilidades como problemas de planejamento em IA, com o intuito de automatizar parte do processo de teste de intrusao. No entanto, tais propostas nao priorizam a modelagem da execucao de ferramentas utilizadas neste tipo de teste. Esta dissertacao propoe um metodo automatizavel de teste de intrusao para aplicacoes Web utilizando a tecnica de planejamento em IA. O metodo gera, em uma primeira etapa, planos de teste a partir da modelagem da execucao das ferramentas de teste de intrusao como um problema de planejamento em IA. Em uma segunda etapa, os planos de teste devem ser seguidos para a execucao automatica destas ferramentas. A utilizacao do plano de teste tem como objetivo indicar ao testador as ferramentas e configuracoes necessarias para sua execucao de acordo com o tipo de aplicacao sob teste para o teste de determinada vulnerabilidade. Alem disso, o metodo inclui uma proposta de modulo automatizavel para busca de codigos de exploracao de vulnerabilidades e atualizacao de um framework de teste de intrusao. Com a realizacao de um estudo exploratorio, foram selecionadas para uso no metodo as ferramentas de teste de intrusao Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer e ZAP, alem do framework Metasploit. Assim, a modelagem apresentada restringiu-se as vulnerabilidades injecao de SQL e cross-site scripting (XSS). Foi conduzido um estudo de caso a fim de se exemplificar uma aplicacao do metodo em testes para as vulnerabilidades injecao de SQL e XSS. Durante o estudo de caso, o plano de teste mostrou-se promissor como um auxilio aos testadores na definicao e execucao do teste de intrusao. Ademais, o planejamento em IA mostrou-se eficaz para a modelagem do teste de intrusao e definicao criteriosa das ferramentas necessarias neste tipo de teste. Palavras-chave: Planejamento de Teste, Teste de Seguranca, Deteccao de Vulnerabilidades, Planejamento em Inteligencia Artificial.Abstract: Web applications attacks occur with the exploitation of failures called vulnerabilities, in order to gain access to these applications. Vulnerabilities can be detected with a security testing technique called intrusion testing whose execution can take a lot of effort from testers. Due to intrusion testing sequential steps, this type of testing has been associated with artificial intelligence (AI) planning problems. With literature reviews we found proposals of vulnerabilities modeling as AI planning problems in order to automate part of the intrusion testing process. However, modeling the execution of the tools used in this type of testing was not prioritize by these proposals. This dissertation proposes an intrusion testing method forWeb applications with the AI planning technique. In a first step, the method generates testing plans based on modeling the execution of the intrusion testing tools as an AI planning problem. In a second step, the testing plans must be followed for the automatic execution of these tools. Testing plans aim to indicate to the tester the tools and configurations necessary for its execution, according to the type of application under testing and vulnerability. In addition, the method includes a module that can be automated to search for exploits and update an intrusion testing framework. We conducted an exploratory study and selected the Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer and ZAP intrusion testing tools, and the Metasploit framework. Thus, the AI planning modeling is restricted to SQL injection and cross-site scripting (XSS) vulnerabilities. We realized a case study to exemplify an application of the method in tests for SQL injection and XSS vulnerabilities. Testing plans proved to be promising as an aid to testers in specifying and executing the intrusion testing. Also, AI planning proved to be effective in modeling the intrusion testing for defining the tools needed for this type of testing. Keywords: Testing Planning, Security Testing, Vulnerabilities Detection, Artificial Intelligence Planning.111 p. : il.application/pdfInteligência artificialPlanejamentoSoftware - TestesCiência da ComputaçãoTeste de intrusão para aplicações web : um método com planejamento em inteligência artificialinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALR - D - LUIS FELIPE DE LIMA.pdfapplication/pdf1816412https://acervodigital.ufpr.br/bitstream/1884/66754/1/R%20-%20D%20-%20LUIS%20FELIPE%20DE%20LIMA.pdf19ee5e7f234e04f67519a3665f5eacb3MD51open access1884/667542021-06-21 17:29:00.034open accessoai:acervodigital.ufpr.br:1884/66754Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082021-06-21T20:29Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false
dc.title.pt_BR.fl_str_mv Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
title Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
spellingShingle Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
Lima, Luis Felipe de, 1990-
Inteligência artificial
Planejamento
Software - Testes
Ciência da Computação
title_short Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
title_full Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
title_fullStr Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
title_full_unstemmed Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
title_sort Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial
author Lima, Luis Felipe de, 1990-
author_facet Lima, Luis Felipe de, 1990-
author_role author
dc.contributor.other.pt_BR.fl_str_mv Grégio, André Ricardo Abed, 1983-
Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática
dc.contributor.author.fl_str_mv Lima, Luis Felipe de, 1990-
dc.contributor.advisor1.fl_str_mv Peres, Letícia Maria Lacerda, 1980-
contributor_str_mv Peres, Letícia Maria Lacerda, 1980-
dc.subject.por.fl_str_mv Inteligência artificial
Planejamento
Software - Testes
Ciência da Computação
topic Inteligência artificial
Planejamento
Software - Testes
Ciência da Computação
description Orientadora: Profª. Drª. Leticia Mara Peres
publishDate 2020
dc.date.issued.fl_str_mv 2020
dc.date.accessioned.fl_str_mv 2021-06-21T20:28:59Z
dc.date.available.fl_str_mv 2021-06-21T20:28:59Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://hdl.handle.net/1884/66754
url https://hdl.handle.net/1884/66754
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv 111 p. : il.
application/pdf
dc.source.none.fl_str_mv reponame:Repositório Institucional da UFPR
instname:Universidade Federal do Paraná (UFPR)
instacron:UFPR
instname_str Universidade Federal do Paraná (UFPR)
instacron_str UFPR
institution UFPR
reponame_str Repositório Institucional da UFPR
collection Repositório Institucional da UFPR
bitstream.url.fl_str_mv https://acervodigital.ufpr.br/bitstream/1884/66754/1/R%20-%20D%20-%20LUIS%20FELIPE%20DE%20LIMA.pdf
bitstream.checksum.fl_str_mv 19ee5e7f234e04f67519a3665f5eacb3
bitstream.checksumAlgorithm.fl_str_mv MD5
repository.name.fl_str_mv Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)
repository.mail.fl_str_mv
_version_ 1813898750127505408