Functional and Security Testing of a Mobile Client-Server Application / Funktionell och säkerhetstestning av en mobilapplikation bestående av en klient- och serversida

Holmberg, Daniel, Nyberg, Victor

January 2018

Today’s massive usage of smartphones has put a high demand on all application developers in the matter of security. For us to be able to keep using all existing and new applications, a process that removes significant security vulnerabilities is essential. To remove these vulnerabilities, the applications have to be tested. In this thesis, we identify six methods for functional and security testing of client-server applications running Android and Python Flask. Regarding functional testing, we implement Espresso testing and RESTful API testing. In regards to the security testing of the system, we do not only implement fuzz testing, sniffing, reverse engineering and SQL injection testing on a system developed by a student group in a parallel project, but also discover a significant security vulnerability that directly affects the integrity and reliability of this system. Out of the six identified testing techniques, reverse engineering exposed the vulnerability. In conjunction with this, we verified that the system’s functionality works as it is supposed to.

Security

Android

Mobile application

Python

Flask

Server

Software testing

Functional testing

Reverse engineering

Fuzz testing

Monkey testing

RESTful API testing

Sniffing

SQL injection

Confidentiality

Integrity

Availability

Reliability

Espresso

Postman

Wireshark

dex2jar

Apktool

JD-GUI

Computer and Information Sciences

Data- och informationsvetenskap

More tools for Canvas : Realizing a Digital Form with Dynamically Presented Questions and Alternatives

Sarwar, Reshad, Manzi, Nathan

January 2019

At KTH, students who want to start their degree project must complete a paper form called “UT-EXAR: Ansökan om examensarbete/application for degree project”. The form is used to determine students’ eligibility to start a degree project, as well as potential examiners for the project. After the form is filled in and signed by multiple parties, a student can initiate his or her degree project. However, due to the excessively time-consuming process of completing the form, an alternative solution was proposed: a survey in the Canvas Learning Management System (LMS) that replace s the UT-EXAR form. Although the survey reduces the time required by students to provide information and find examiners, it is by no means the most efficient solution. The survey suffers from multiple flaws, such as asking students to answer unnecessary questions, and for certain questions, presenting students with more alternatives than necessary. The survey also fails to automatically organize the data collected from the students’ answers; hence administrators must manually enter the data into a spreadsheet or other record. This thesis proposes an optimized solution to the problem by introducing a dynamic survey. Moreover, this dynamic survey uses the Canvas Representational State Transfer (REST) API to access students’ program-specific data. Additionally, this survey can use data provided by students when answering the survey questions to dynamically construct questions for each individual student as well as using information from other KTH systems to dynamically construct customized alternatives for each individual student. This solution effectively prevents the survey from presenting students with questions and choices that are irrelevant to their individual case. Furthermore, the proposed solution directly inserts the data collected from the students into a Canvas Gradebook. In order to implement and test the proposed solution, a version of the Canvas LMS was created by virtualizing each Canvas-based microservice inside of a Docker container and allowing the containers to communicate over a network. Furthermore, the survey itself used the Learning Tools Interoperability (LTI) standard. When testing the solution, it was seen that the survey has not only successfully managed to filter the questions and alternative answers based on the user’s data, but also showed great potential to be more efficient than a survey with statically-presented data. The survey effectively automates the insertion of the data into the gradebook. / På KTH, studenter som skall påbörja sitt examensarbete måste fylla i en blankett som kallas “UT-EXAR: Ansökan om examensarbete/application for degree project”. Blanketten används för att bestämma studenters behörighet för att göra examensarbete, samt potentiella examinator för projektet. Efter att blanketten är fylld och undertecknad av flera parter kan en student påbörja sitt examensarbete. Emellertid, på grund av den alltför tidskrävande processen med att fylla blanketten, var en alternativ lösning föreslås: en särskild undersökning i Canvas Lärplattform (eng. Learning Management System(LMS)) som fungerar som ersättare för UT-EXAR-formulär. Trots att undersökningen har lyckats minska den tid som krävs av studetenter för att ge information och hitta examinator, det är inte den mest effektiva lösningen. Undersökningen lider av flera brister, såsom att få studenterna att svara på fler frågor än vad som behövs, och för vissa frågor, presenterar studenter med fler svarsalternativ än nödvändigt. Undersökningen inte heller automatiskt med att organisera data som samlats in från studenters svar. Som ett resultat skulle en administratör behöva organisera data manuellt i ett kalkylblad. Detta examensarbete föreslår en mer optimerad lösning på problemet: omskrivning av undersökningens funktionaliteter för att använda Representational State Transfer(REST) API för att komma åt studenters programspecifika data i back-end, såväl att använda speciella haschar för att hålla referenser till uppgifter som lämnas av studenterna när de svarar på frågorna i undersökningen, så att undersökningen inte bara kan använda dessa data för att dynamiskt konstruera frågor för varje enskild student, men också dynamiskt konstruera svarsalternativ för varje enskild student. Denna lösning förhindrar effektivt undersökningen från att presentera studenter med frågor och valbara svarsalternativ som är helt irrelevanta för var och en av deras individuella fall. Med den föreslagna lösningen kommer undersökningen dessutom att kunna organisera de data som samlats in från Studenterna till ett speciellt Canvas-baserat kalkyllblad, kallas som Betygsbok. För att genomföra och testa den förslagna lösningen skapades en testbar version av Canvas LMS genom att virtualisera varje Canvas-baserad mikroservice inuti en dockercontainer och tillåter containers att kommunicera över ett nätverk. Dessutom var undersökningen själv konfigurerad för att använda Lärverktyg Interoperability (LTI) standard. Vid testning av lösningen, det visade sig att undersökningen på ett sätt effektivt har lyckats använda vissa uppgifter från en testanvändare att bara endast svara på de relevanta frågorna, men också presentera användaren med en mer kondenserad lista svarsalternativ över baserat på data.<p>

Canvas

Learning Management System (LMS)

Learning Tools Interoperability (LTI)

Docker containers

Microservices Architecture

REST API

Dynamic survey systems

Canvas

Lärplattform

Lärverktyg Interoperabilitet

Dockercontainenrar

Mikroservices arkitekektur

RESTful API

Dynamisk undersökningssystem

Communication Systems

Kommunikationssystem

情報システム開発に向けた日本語要求記述からの概念モデルの構築とその活用に関する研究 / ジョウホウ システム カイハツ ニ ムケタ ニホンゴ ヨウキュウ キジュツ カラノ ガイネン モデル ノ コウチク ト ソノ カツヨウ ニカンスル ケンキュウ

井田 明男, Akio Ida

12 September 2019

本研究は，情報システム開発に向けて，(1) 日本語要求記述からより良い概念モデルを構築すること，(2) 構築した概念モデルを開発の要求定義以降の作業分野においても有効に活用すること，をテーマとした研究である．本研究では，概念モデルを，「業務を成立させる本質的な要素を，業務プロセスの側面，および，業務プロセスで扱うオブジェクトの側面から抽出し，それらを時間的，あるいは空間的に配置した，組織的かつ実装独立ではあるが実装にストレートに変換可能なモデル」，と定義する． / This research is aimed at the field of information system development. Its themes are : (1) constructing a better conceptual model from Japanese requirements description, and (2) utilizing the constructed conceptual model effectively in the disciplines after development requirement definition. The definition of the conceptual model in this research is: a group of elements arranged in time and/or space. These elements are the essential objects that make up business from the side of the process and the side of the knowledges handled in the process. The model can be converted to the implementation model straightforwardly but independent from its implementation. / 博士(工学) / Doctor of Philosophy in Engineering / 同志社大学 / Doshisha University

日本語要求記述

概念モデル

ビリヤードボールモデル

ソフトシステムズ方法論

オブジェクト責務空間布置

多次元尺度構成法

存在従属分析

存在従属クラス図

ユースケース自動生成

機能規模の測定

ドメイン特化言語

データベース定義自動生成

RESTful API 仕様自動生成