Test automatique de programmes Lustre/SCADE

Papailiopoulou, Virginia

04 February 2010

Ce travail porte sur l'amélioration du processus de test, en offrant des moyens d'automatiser la génération des tests ainsi que l'évaluation de leur qualité, dans le cadre des systèmes embarqués spécifiés en Lustre/SCADE. D'une part, nous présentons une méthodologie de test basée sur l'outil Lutess qui génère automatiquement des données de test exclusivement à partir de la description de l'environnement du système. D'autre part, on se base sur le modèle SCADE du programme sous test et nous définissons des critères de couverture structurelle qui prennent en compte deux nouveaux aspects: l'utilisation des plusieurs horloges et le test d'intégration, permettant la mesure de couverture de systèmes de grande taille. Ces deux stratégies pourraient avoir un impact positif sur le test efficace des applications réelles. Des études de cas extraites du domaine de l'avionique sont employées pour démontrer l'applicabilité de ces méthodes et pour évaluer leur complexité.

[INFO] Computer Science

test de logiciels

approche synchrone

test à partir de modèles

critères d'adéquation

A pattern-driven and model-based vulnerability testing for Web applications / Une approche à base de modèles et de patterns pour le test de vulnérabilités d'applications Web

Vernotte, Alexandre

29 October 2015

Cette thèse propose une approche originale de test de vulnérabilité Web à partir de modèles etdirigée par des patterns de tests, nommée PMVT. Son objectif est d’améliorer la capacité de détectionde quatre types de vulnérabilité majeurs, Cross-Site Scripting, Injections SQL, Cross-Site RequestForgery, et Privilege Escalation. PMVT repose sur l’utilisation d’un modèle comportemental del’application Web, capturant ses aspects fonctionnels, et sur un ensemble de patterns de test devulnérabilité qui adressent un type de vulnérabilité de manière générique, quelque soit le type del’application Web sous test.Par l’adaptation de technologies MBT existantes, nous avons développé une chaîne outillée complèteautomatisant la détection des quatre types de vulnérabilité. Ce prototype a été exprimenté et évaluésur deux applications réelles, actuellement utiliseés par plusieurs dizaines de milliers d’utilisateurs.Les résultats d’expérimentation démontrent la pertinence et de l’efficience de PMVT, notamment enaméliorant de façon significative la capacité de détection de vulnérabilités vis à vis des scannersautomatiques d’applications Web existants. / This thesis proposes an original approach, dubbed PMVT for Pattern-driven and Model-basedVulnerability Testing, which aims to improve the capability for detecting four high-profile vulnerabilitytypes, Cross-Site Scripting, SQL Injections, CSRF and Privilege Escalations, and reduce falsepositives and false negatives verdicts. PMVT relies on the use of a behavioral model of theapplication, capturing its functional aspects, and a set of vulnerability test patterns that addressvulnerabilities in a generic way. By adapting existing MBT technologies, an integrated toolchain that supports PMVT automates thedetection of the four vulnerability types in Web applications. This prototype has been experimentedand evaluated on two real-life Web applications that are currently used by tens of thousandsusers. Experiments have highlighted the effectiveness and efficiency of PMVT and shown astrong improvement of vulnerability detection capabilities w.r.t. available automated Web applicationscanners for these kind of vulnerabilities.

Test de Vulnérabilité

Test à partir de Modèles

Patterns de Test de Vulnérabilité

Applications Web

Cross-Site Scripting

Injections SQL

Cross-Site Request Forgery

Privilege Escalation

Vulnerability Testing

Model-Based Testing

Vulnerability Test Patterns

Web applications

Cross- Site Scripting

SQL Injections

Cross-Site Request Forgery

Privilege Escalation

004.678