基于安全规则变异的Web Services安全性测试方法

摘要

针对已有变异测试研究中仅考虑对SOAP(Simple Object Access Protocol)消息输入参数的变异处理,而缺乏对SOAP消息安全规则变异的研究,文中从消息机密性、完整性及身份认证等方面对安全规则进行归类,提出了一种基于安全规则变异的Web Services安全性测试方法.首先给出一种安全规则变异测试框架,研究变异点判定规则库,设计出相应的变异操作算子、漏洞判定准则以及基于优先级与权重策略的变异算子选择方法.然后提出一种基于安全规则变异的测试用例生成算法,依照算法生成违背安全规则的SOAP消息,从而揭露Web Services的安全类故障.最后实现了一个Web Services安全性测试工具WSSTT(Web Services Security Testing Tool),在工具的基础上进行实验和对比分析,验证了文中提出的基于安全规则变异的Web Services安全测试方法的可行性和有效性.