Security testing methodology for robustness analysis of Web services by fault injection = Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas
Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas
| dc.creator | Palma Salas, Marcelo Invert, 1982- | |
| dc.date | 2012 | |
| dc.date | 2012-07-12T00:00:00Z | |
| dc.date | 2017-04-01T17:01:15Z | |
| dc.date | 2017-06-09T15:06:51Z | |
| dc.date | 2017-04-01T17:01:15Z | |
| dc.date | 2017-06-09T15:06:51Z | |
| dc.date.accessioned | 2018-03-29T02:19:18Z | |
| dc.date.available | 2018-03-29T02:19:18Z | |
| dc.identifier | PALMA SALAS, Marcelo Invert. Security testing methodology for robustness analysis of Web services by fault injection = Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas. 2012. 116 p. Dissertação (mestrado) - Universidade Estadual de Campinas, Instituto de Computação, Campinas, SP. Disponível em: <http://www.bibliotecadigital.unicamp.br/document/?code=000906029>. Acesso em: 1 abr. 2017. | |
| dc.identifier | http://repositorio.unicamp.br/jspui/handle/REPOSIP/275650 | |
| dc.identifier.uri | http://repositorioslatinoamericanos.uchile.cl/handle/2250/1314142 | |
| dc.description | Orientador: Eliane Martins | |
| dc.description | Dissertação (mestrado) - Universidade Estadual de Campinas, Instituto de Computação | |
| dc.description | Resumo: Devido a sua natureza distribuída e aberta, os Web Services geram novos desafios de segurança da informação. Esta tecnologia Web, desenvolvida pela W3C e OASIS, é susceptível a ataques de injeção e negação de serviços. Desta forma, o atacante pode coletar e manipular informação para procurar vulnerabilidades nos serviços. Nesse estudo analisamos o uso do injetor de falhas (IF) WSInject, para emular ataques com testes de segurança nos Web Services. A motivação para o uso de um injetor de falhas, ao invés do uso de vulnerabilities scanners, que são comumente usados na prática para testar a segurança, foi permitir melhor cobertura dos ataques. Em um estudo preliminar, usando um vulnerability scanner não comercial, foi possível determinar: (i) os serviços, bem como seus parâmetros e suas operações que seriam mais interessantes de utilizar durante a injeção de falhas, por terem sido os que apresentaram maior número de vulnerabilidades; (ii) um conjunto de regras para analisar os resultados dos testes de segurança. Esses resultados preliminares serviram de guia para os testes usando o injetor de falhas. As falhas foram injetadas em Web Services reais, sendo que alguns implementaram mecanismos de segurança de acordo com o padrão Web Services Security (WS-Security), como credenciais de segurança (Security Tokens) | |
| dc.description | Abstract: Due to its distributed and open nature, the Web Services give rise to new information security challenges. This technology, standardized by W3C and OASIS, is susceptible to both injection and denial of services (DoS) attacks. In this way, the attacker can collect and manipulate information in search of Web Services vulnerabilities. In this study we analyses the use of the WSInject fault injector, in order to emulate attacks with security tests on Web Services. The proposed approach makes use of WSInject Fault Injector to emulate attacks with Security Testing on Web Services. The motivation for using a fault injector, instead of vulnerabilities scanners, which are commonly used in practice for security testing, was to enable better coverage of attacks. In a preliminary study, using a non-commercial vulnerability scanner, it was possible to determine: (i) the Web Services to be tested as well as its parameters and operations more interesting to use during fault injection, by presenting the highest number of vulnerabilities; and (ii) a set of rules to analyze the results of security testing. These preliminary results served as a guide for the tests using the fault injector. The faults have been injected into real Web Services, and some of them have security mechanisms implemented, in compliance with the Web Services Security (WS-Security) with Security Tokens | |
| dc.description | Mestrado | |
| dc.description | Ciência da Computação | |
| dc.description | Mestre em Ciência da Computação | |
| dc.format | 116 p. : il. | |
| dc.format | application/octet-stream | |
| dc.language | Português | |
| dc.publisher | [s.n.] | |
| dc.subject | Tolerância à falha (Computação) | |
| dc.subject | Software - Testes | |
| dc.subject | Arquitetura orientada a serviços (Computação) | |
| dc.subject | Web sites - Medida de segurança | |
| dc.subject | Engenharia de software | |
| dc.subject | Fault-tolerance computing | |
| dc.subject | Software - Testing | |
| dc.subject | Service-oriented architecture (Computer science) | |
| dc.subject | Web services - Safety measures | |
| dc.subject | Software engineering | |
| dc.title | Security testing methodology for robustness analysis of Web services by fault injection = Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas | |
| dc.title | Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas | |
| dc.type | Tesis |