Security testing methodology for robustness analysis of Web services by fault injection : Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas

Palma Salas, Marcelo Invert; Martins, Eliane; Universidade Estadual de Campinas; Moraes, Regina Lúcia de Oliveira; Geus, Paulo Lício de

Security testing methodology for robustness analysis of Web services by fault injection : Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas

Marcelo Invert Palma Salas

Material

DISSERTAÇÃO

Idioma

Português

Número de chamada

T/UNICAMP P18s

Título paralelo/equiv.

[Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas]

Publicação

Campinas, SP : [s.n.], 2012.

Descrição física

116 p. : il.

Nota geral

Orientador: Eliane Martins

Nota de dissertação ou tese

Dissertação (mestrado) - Universidade Estadual de Campinas, Instituto de Computação

Resumo

Resumo: Devido a sua natureza distribuída e aberta, os Web Services geram novos desafios de segurança da informação. Esta tecnologia Web, desenvolvida pela W3C e OASIS, é susceptível a ataques de injeção e negação de serviços. Desta forma, o atacante pode coletar e manipular informação para procurar...

Resumo: Devido a sua natureza distribuída e aberta, os Web Services geram novos desafios de segurança da informação. Esta tecnologia Web, desenvolvida pela W3C e OASIS, é susceptível a ataques de injeção e negação de serviços. Desta forma, o atacante pode coletar e manipular informação para procurar vulnerabilidades nos serviços. Nesse estudo analisamos o uso do injetor de falhas (IF) WSInject, para emular ataques com testes de segurança nos Web Services. A motivação para o uso de um injetor de falhas, ao invés do uso de vulnerabilities scanners, que são comumente usados na prática para testar a segurança, foi permitir melhor cobertura dos ataques. Em um estudo preliminar, usando um vulnerability scanner não comercial, foi possível determinar: (i) os serviços, bem como seus parâmetros e suas operações que seriam mais interessantes de utilizar durante a injeção de falhas, por terem sido os que apresentaram maior número de vulnerabilidades; (ii) um conjunto de regras para analisar os resultados dos testes de segurança. Esses resultados preliminares serviram de guia para os testes usando o injetor de falhas. As falhas foram injetadas em Web Services reais, sendo que alguns implementaram mecanismos de segurança de acordo com o padrão Web Services Security (WS-Security), como credenciais de segurança (Security Tokens)

Ver mais

Ver menos

Abstract: Due to its distributed and open nature, the Web Services give rise to new information security challenges. This technology, standardized by W3C and OASIS, is susceptible to both injection and denial of services (DoS) attacks. In this way, the attacker can collect and manipulate information...

Abstract: Due to its distributed and open nature, the Web Services give rise to new information security challenges. This technology, standardized by W3C and OASIS, is susceptible to both injection and denial of services (DoS) attacks. In this way, the attacker can collect and manipulate information in search of Web Services vulnerabilities. In this study we analyses the use of the WSInject fault injector, in order to emulate attacks with security tests on Web Services. The proposed approach makes use of WSInject Fault Injector to emulate attacks with Security Testing on Web Services. The motivation for using a fault injector, instead of vulnerabilities scanners, which are commonly used in practice for security testing, was to enable better coverage of attacks. In a preliminary study, using a non-commercial vulnerability scanner, it was possible to determine: (i) the Web Services to be tested as well as its parameters and operations more interesting to use during fault injection, by presenting the highest number of vulnerabilities; and (ii) a set of rules to analyze the results of security testing. These preliminary results served as a guide for the tests using the fault injector. The faults have been injected into real Web Services, and some of them have security mechanisms implemented, in compliance with the Web Services Security (WS-Security) with Security Tokens

Ver mais

Ver menos

Assuntos

Tolerância à falha (Computação)

Software - Testes

Arquitetura orientada a serviços (Computação)

Web sites - Medidas de segurança

Engenharia de software

Autoria

Palma Salas, Marcelo Invert, 1982-

Martins, Eliane, 1955- Orientador

Moraes, Regina Lúcia de Oliveira, 1956- Avaliador

Geus, Paulo Lício de, 1956- Avaliador

Universidade Estadual de Campinas. Instituto de Computação. Programa de Pós-Graduação em Ciência da Computação

Arquivos

Texto completo pdf

Security testing methodology for robustness analysis of Web services by fault injection : Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas

Marcelo Invert Palma Salas

Security testing methodology for robustness analysis of Web services by fault injection : Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas

Marcelo Invert Palma Salas

Exemplares

Exemplar	Tombo	Edição	Ano	Volume	Suporte	Nº de chamada	Biblioteca	Situação	QR Code
Tombo: 1150100144 Ano: 2012 Suporte: Impresso Nº de chamada: T/UNICAMP P18s Biblioteca: BCCL Situação: Não circula Visualizar QR Code	1150100144		2012		Impresso	T/UNICAMP P18s	BCCL	Não circula
Tombo: 1150100245 Ano: 2012 Suporte: Impresso Nº de chamada: T/UNICAMP P18s Biblioteca: IMECC Situação: Disponível Visualizar QR Code	1150100245		2012		Impresso	T/UNICAMP P18s	IMECC	Disponível