Detection of logic flaws in multi-party business applications via security testing

Résumé : Les logiciels multi-partis sont des applications distribuées sur le web qui mettent en oeuvre des fonctions collaboratives. Ces applications sont les principales cibles des attaquants qui exploitent des vulnérabilités logicielles dans le cadre d'activités malveillantes. Récemment, un type moins connu de vulnérabilité, les anomalies logiques, a attiré l'attention des chercheurs. Sur la base d'informations tirées de la documentation des applications, il est possible d'appliquer deux techniques de test: la vérification du modèle, autrement appelé ``model checking'', et les tests de sécurité de type ``boîte noire''. Le champs d'application du model checking ne prend pas en suffisamment en compte les implémentations actuelles, tandis que les tests de type boîte noire ne sont pas assez sophistiqués pour découvrir les vulnérabilités logique. Dans cette thèse, nous présentons deux techniques d'analyse modernes visant à résoudre les inconvénients de l'état de l'art. Pour commencer, nous présentons la vérification de deux protocoles de sécurité utilisant la technique du model checking. Ensuite, nous nous concentrons sur l'extension du model checking pour soutenir les tests automatisés d'implémentations. La seconde technique consiste en une analyse boîte noire qui combine l'inférence du modèle, l'extraction du processus et du flot de donnée, ainsi qu'une génération de tests basés sur les modèles d'attaque d'une application. En conclusion, nous discutons de l'application de techniques développées au cours de cette thèse sur des applications issues d'un contexte industrielle.
Type de document :
Thèse
Cryptography and Security [cs.CR]. Télécom ParisTech, 2013. English. 〈NNT : 2013ENST0064〉
Liste complète des métadonnées

https://pastel.archives-ouvertes.fr/tel-01194884
Contributeur : Abes Star <>
Soumis le : lundi 7 septembre 2015 - 17:17:21
Dernière modification le : mardi 23 janvier 2018 - 14:25:08
Document(s) archivé(s) le : mercredi 26 avril 2017 - 18:35:08

Fichier

ThesePellegrinoV2.pdf
Version validée par le jury (STAR)

Identifiants

  • HAL Id : tel-01194884, version 1

Citation

Giancarlo Pellegrino. Detection of logic flaws in multi-party business applications via security testing. Cryptography and Security [cs.CR]. Télécom ParisTech, 2013. English. 〈NNT : 2013ENST0064〉. 〈tel-01194884〉

Partager

Métriques

Consultations de la notice

299

Téléchargements de fichiers

675