A testing methodology for the validation of web applications / Une méthodologie de test pour la validation des applications web

Morales, Gerardo

13 July 2010

L'objectif de cette thèse est d'assurer le bon comportement des aspects fonctionnels des systèmes basés sur le web. Pour atteindre cet objectif, nous nous basons dans ce manuscrit, sur deux approches différentes de test: l'approche active et l'approche passive. Le principe du test actif consiste à générer automatiquement une suite de scénarios de tests qui sera appliquée sur un système sous test pour en étudier sa conformité par rapport à ses besoins fonctionnels. Quant au test passif, il consiste à observer passivement le système sous test, sans interrompre le flux normal de ses opérations. Pour l'approche active, nous proposons une méthodologie qui permet de générer automatiquement des séquences de test afin de valider la conformité d'un système par rapport à la description formel du comportement du système. Le comportement est spécifié en utilisant un modèle formel basé sur des machines à états finis étendues temporisées (TEFSM). La génération automatique des tests est ensuite effectuée en utilisant des outils développés dans notre laboratoire et permet d'obtenir des cas de test exécutables qui permettent au moteur de test d'interagir avec une application web réel. Dans l’approche passive, nous spécifions des propriétés fonctionnelles à tester sous la forme d'invariants temporisés.Nous analysons ensuite les traces d’exécution d’un Web service composé afin d’élaborer un verdict sur sa conformité par rapport au comportement souhaité du système. Plusieurs algorithmes et outils sont fournis dans ce manuscrit pour effectuer le test actif et passif des systèmes Web. Nous avons appliqué nos méthodologies à divers systèmes (le Mission Handler et le Travel Reservation Service) pour illustrer les approches proposées sur des systèmes réels / The objective of this thesis is to ensure the proper behaviour of the functional aspects of web based systems. To achieve this goal, we proposed two different test approaches: the active approach and the passive approach. Our goal is to automatically generate a suite of active test scenarios that will be applied on a system under test to examine its compliance with respect to its functional specification, and, when interrupting the normal flow of operation is problematic, to observe the system under test with passive testing. The goal of this work is developing a method and a set of tools to test web based systems using the active and passive testing approaches. Concerning the active testing approach, we present a methodology to cover the end-to-end testing process (from building the model until the test execution). This work tackles the gap between, on the one hand, generating abstract test cases from abstract models and, on the other hand, developing methods allowing concretizing these tests and automatically applying them on a real applications. Then, concerning the passive test approach, we present a methodology and a new tool for observing the behaviour of the communications of the web applications with external web services (for SOA based web applications) in order to check whether the observed behaviour is correct. All the methodologies and tools presented in this work are applied on two industrial case studies, Mission Handler and Travel Reservation Service, in order to validate our contributions in active and passive testing respectively

Test passif

Test actif

Applications web

Passive testing

Active testing

Web applications

Verification and test of interoperability security policies / Vérification et test des politiques de sécurité d'interopérabilité

El Maarabani, Mazen

29 May 2012

De nos jours, divers systèmes ou organisations peuvent collaborer et échanger des informations ou des services. Ainsi grâce à cette collaboration, ces derniers vont pouvoir travailler ensemble et mener des échanges afin d'atteindre un but commun. Ceci ne peut pas être réalisé sans des problèmes de sécurité. Pour collaborer chaque participant doit définir une politique d'interopérabilité. Cette politique sera en charge de : (i) définir les informations et les ressources partageables et (ii) définir les privilèges d'accès des utilisateurs qui participent à un projet commun qui nécessite une collaboration. Pour garantir un certain niveau de sécurité, il est indispensable de vérifier si le comportement des systèmes des différents participants respecte bien leurs politiques de sécurité. Pour atteindre cet objectif, nous proposons une méthode pour tester les politiques d'interopérabilité en se basant sur deux approches différentes de test : l'approche active et l'approche passive. Le principe de test actif consiste à générer automatiquement une suite de scenarios de test qui peuvent être appliqués sur un système sous test pour étudier sa conformité par rapport à ses besoins en matière de sécurité. Quant au test passif, il consiste à observer passivement le système sous test sans interrompre le flux normal de ses opérations. Dans notre étude nous avons remarqué que les techniques de test actif et passif sont complémentaires pour tester les politiques d'interopérabilité contextuelles. Une politique est dite contextuelle si l'activation de chacune de ses règles est conditionnée par des contraintes qui peuvent être liées à l'environnement de la collaboration ou à chaque participant. Afin de pouvoir générer automatiquement les scenarios de test, il est indispensable de modéliser les politiques d'interopérabilité et le comportement fonctionnel des participants. Dans cette thèse, nous proposons une méthode pour intégrer les politiques d'interopérabilité dans les modèles fonctionnels des participants afin d'obtenir un modèle sécurisé des participants. Le comportement fonctionnel des participants est modélisé par un modèle formel basé sur des automates à états finis. Tandis que les besoins de sécurité sont spécifiés en utilisant le modèle formel OrBAC et son extension O2O. De plus, nous proposons une méthode fondée sur la technique de model checking pour vérifier si le comportement des modèles utilisés dans notre processus de test respecte bien les politiques de sécurité. La génération de cas de test est ensuite effectuée en utilisant un outil développé dans notre laboratoire. Cet outil permet d'obtenir des cas de test abstraits décrits dans des notations standards (TTCN) facilitant ainsi leur portabilité. Dans l'approche de test passif, nous spécifions la politique d'interopérabilité que le système doit respecter en utilisant un langage temporel de premier ordre. Nous analysons ensuite les traces d'exécutions des participants afin d'élaborer un verdict sur leur conformité par rapport à la politique d'interopérabilité. Finalement, nous avons appliqué nos méthodes sur un cas d'usage d’un réseau hospitalier. Cette application permet de démontrer l’efficacité et la fiabilité des approches proposées / Nowadays, there is an increasing need for interaction in business community. In such context, organizations collaborate with each other in order to achieve a common goal. In such environment, each organization has to design and implement an interoperability security policy. This policy has two objectives: (i) it specifies the information or the resources to be shared during the collaboration and (ii) it define the privileges of the organizations’ users. To guarantee a certain level of security, it is mandatory to check whether the organizations’ information systems behave as required by the interoperability security policy. In this thesis we propose a method to test the behavior of a system with respect to its interoperability security policies. Our methodology is based on two approaches: active testing approach and passive testing approach. We found that these two approaches are complementary when checking contextual interoperability security policies. Let us mention that a security policy is said to be contextual if the activation of each security rule is constrained with conditions. The active testing consists in generating a set of test cases from a formal model. Thus, we first propose a method to integrate the interoperability security policies in a formal model. This model specifies the functional behavior of an organization. The functional model is represented using the Extended Finite Automata formalism, whereas the interoperability security policies are specified using OrBAC model and its extension O2O. In addition, we propose a model checking based method to check whether the behavior of a model respects some interoperability security policies. To generate the test cases, we used a dedicated tool developed in our department. The tool allows generating abstract test cases expressed in the TTCN notation to facilitate its portability. In passive testing approach, we specify the interoperability policy, that the system under test has to respect, with Linear Temporal logics. We analyze then the collected traces of the system execution in order to deduce a verdict on their conformity with respect to the interoperability policy. Finally, we show the applicability of our methods though a hospital network case study. This application allows to demonstrate the effectiveness and reliability of the proposed approaches

Politique de sécurité

Interopérabilité

Modélisation

Test actif

Test passif

Security policy

Interoperability

Modelisation

Active testing

Passive testing

Test and Validation of Web Services

Cao, Tien Dung

06 December 2010

Nous proposons dans cette thèse les approches de test pour la composition de services web. Nous nous intéressons aux test unitaire et d’intégration d’une orchestration de services web. L’aspect de vérification d’exécution en-ligne est aussi consideré. Nous définissons une plateforme de test unitaire pour l’orchestration de services web qui compose une architecture de test, une relation de conformité et deux approches de test basés sur le modèle de machine à l’états finis étendues temporisés: l’approche offline où les activités de test comme la génération de cas de test temporisé, l’exécution de test et l’assignement de verdict sont appliquées en séquentielle tandis que ces activités sont appliquées en parallèle dans l’approche online. Pour le test d’intégration d’une orchestration, nous combinons deux approches: active et passive.Au debut, l’approche active est utilisée pour activer une nouvelle session d’orchestration par l’envoi d’un message de requête SOAP. Après, tous les messages d’entré et de sortie de l’orchestration sont collectés et analysés par l’approche passive.Pour l’aspect de vérification d’exécution en-ligne, nous nous intéressons à la vérification d’une trace qui respecte un ensemble des constraintes, noté règles, ou pas. Nous avons proposé extendre le langage Nomad en définissant des constraintes sur chaque action atomique et un ensemble de corrélation de données entre les actions pour définir des règles pour le service web. Ce langage nous permet de définir des règles avec le temps futur et passé, et d’utiliser des opérations NOT, AND, OR pour combiner quelque conditions dans le contexte de la règle. Ensuite, nous proposons un algorithme pour vérifier l’exactitude d’une séquence des messages en parallèle avec le moteur de collecte de trace. / In this thesis, we propose the testing approaches for web service composition. We focus on unit, integrated testing of an orchestration of web services and also the runtime verification aspect. We defined an unit testing framework for an orchestration that is composed of a test architecture, a conformance relation and two proposed testing approaches based on Timed Extended Finite State Machine (TEFSM) model: offline which test activities as timed test case generation, test execution and verdict assignment are applied in sequential, and online which test activities are applied in parallel. For integrated testing of an orchestration, we combines of two approaches: active and passive. Firstly, active approach is used to start a new session of the orchestration by sending a SOAP request. Then all communicating messages among services are collected and analyzed by a passive approach. On the runtime verification aspect, we are interested in the correctness of an execution trace with a set of defined constraints, called rules. We have proposed to extend the Nomad language, by defining the constraints on each atomic action (fixed conditions) and a set of data correlations between the actions to define the rules for web services. This language allows us to define a rule with future and past time, and to use the operations: NOT, AND, OR to combines some conditions into a context of the rule. Afterwards, we proposed an algorithm to check correctness of a message sequence in parallel with the trace collection engine. Specifically, this algorithm verifies message by message without storing them.

Orchestration de services web

Test en-ligne

Test actif/passif

Vérification d’exécution en-ligne

Génération de cas de test temporisé

Web service orchestration

Timed Extended Finite State Machine

Online/ Offline testing

Active/Passive testing

Runtime verification

Test case generation