Show simple item record

dc.contributor.advisorPeres, Letícia Maria Lacerda, 1980-pt_BR
dc.contributor.authorLima, Luis Felipe de, 1990-pt_BR
dc.contributor.otherGrégio, André Ricardo Abed, 1983-pt_BR
dc.contributor.otherUniversidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informáticapt_BR
dc.date.accessioned2021-06-21T20:28:59Z
dc.date.available2021-06-21T20:28:59Z
dc.date.issued2020pt_BR
dc.identifier.urihttps://hdl.handle.net/1884/66754
dc.descriptionOrientadora: Profª. Drª. Leticia Mara Perespt_BR
dc.descriptionCoorientador: Prof. Dr. André Ricardo Abed Grégiopt_BR
dc.descriptionDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 06/03/2020pt_BR
dc.descriptionInclui referências: p. 81-86pt_BR
dc.descriptionÁrea de concentração: Ciência da Computaçãopt_BR
dc.description.abstractResumo: Ataques a aplicacoes Web ocorrem com a exploracao de falhas denominadas vulnerabilidades com o objetivo de obtencao de acesso a aplicacao. As vulnerabilidades podem ser detectadas com uma tecnica de teste de seguranca chamada teste de intrusao, sendo que a execucao deste teste pode requerer grande esforco dos testadores. Devido a caracteristica sequencial presente em varias etapas que compoem um teste de intrusao, este tipo de teste vem sendo associado a problemas de planejamento em inteligencia artificial (IA). Com a realizacao de mapeamentos sistematicos e revisoes da literatura, constatou-se que pesquisadores vem propondo a modelagem de vulnerabilidades como problemas de planejamento em IA, com o intuito de automatizar parte do processo de teste de intrusao. No entanto, tais propostas nao priorizam a modelagem da execucao de ferramentas utilizadas neste tipo de teste. Esta dissertacao propoe um metodo automatizavel de teste de intrusao para aplicacoes Web utilizando a tecnica de planejamento em IA. O metodo gera, em uma primeira etapa, planos de teste a partir da modelagem da execucao das ferramentas de teste de intrusao como um problema de planejamento em IA. Em uma segunda etapa, os planos de teste devem ser seguidos para a execucao automatica destas ferramentas. A utilizacao do plano de teste tem como objetivo indicar ao testador as ferramentas e configuracoes necessarias para sua execucao de acordo com o tipo de aplicacao sob teste para o teste de determinada vulnerabilidade. Alem disso, o metodo inclui uma proposta de modulo automatizavel para busca de codigos de exploracao de vulnerabilidades e atualizacao de um framework de teste de intrusao. Com a realizacao de um estudo exploratorio, foram selecionadas para uso no metodo as ferramentas de teste de intrusao Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer e ZAP, alem do framework Metasploit. Assim, a modelagem apresentada restringiu-se as vulnerabilidades injecao de SQL e cross-site scripting (XSS). Foi conduzido um estudo de caso a fim de se exemplificar uma aplicacao do metodo em testes para as vulnerabilidades injecao de SQL e XSS. Durante o estudo de caso, o plano de teste mostrou-se promissor como um auxilio aos testadores na definicao e execucao do teste de intrusao. Ademais, o planejamento em IA mostrou-se eficaz para a modelagem do teste de intrusao e definicao criteriosa das ferramentas necessarias neste tipo de teste. Palavras-chave: Planejamento de Teste, Teste de Seguranca, Deteccao de Vulnerabilidades, Planejamento em Inteligencia Artificial.pt_BR
dc.description.abstractAbstract: Web applications attacks occur with the exploitation of failures called vulnerabilities, in order to gain access to these applications. Vulnerabilities can be detected with a security testing technique called intrusion testing whose execution can take a lot of effort from testers. Due to intrusion testing sequential steps, this type of testing has been associated with artificial intelligence (AI) planning problems. With literature reviews we found proposals of vulnerabilities modeling as AI planning problems in order to automate part of the intrusion testing process. However, modeling the execution of the tools used in this type of testing was not prioritize by these proposals. This dissertation proposes an intrusion testing method forWeb applications with the AI planning technique. In a first step, the method generates testing plans based on modeling the execution of the intrusion testing tools as an AI planning problem. In a second step, the testing plans must be followed for the automatic execution of these tools. Testing plans aim to indicate to the tester the tools and configurations necessary for its execution, according to the type of application under testing and vulnerability. In addition, the method includes a module that can be automated to search for exploits and update an intrusion testing framework. We conducted an exploratory study and selected the Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer and ZAP intrusion testing tools, and the Metasploit framework. Thus, the AI planning modeling is restricted to SQL injection and cross-site scripting (XSS) vulnerabilities. We realized a case study to exemplify an application of the method in tests for SQL injection and XSS vulnerabilities. Testing plans proved to be promising as an aid to testers in specifying and executing the intrusion testing. Also, AI planning proved to be effective in modeling the intrusion testing for defining the tools needed for this type of testing. Keywords: Testing Planning, Security Testing, Vulnerabilities Detection, Artificial Intelligence Planning.pt_BR
dc.format.extent111 p. : il.pt_BR
dc.format.mimetypeapplication/pdfpt_BR
dc.languagePortuguêspt_BR
dc.subjectInteligência artificialpt_BR
dc.subjectPlanejamentopt_BR
dc.subjectSoftware - Testespt_BR
dc.subjectCiência da Computaçãopt_BR
dc.titleTeste de intrusão para aplicações web : um método com planejamento em inteligência artificialpt_BR
dc.typeDissertação Digitalpt_BR


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record