Integration av XMPP-baserad chatt och flexiteBPMS / Integration of XMPP based chat and flexiteBPMS

Tibell, Sarah

January 2014

Större kommuner och industrier använder alltmer automatiserade processer för tjänster och rutinerså som kundcenter och felhantering. Flexeurope AB är ett företag med flera års erfarenhet av auto-matiserade processer och arbetar med att definiera, visualisera, konstruera och optimera processer.Företaget utvecklar även ett webbaserad IT-system för processhantering, kallat flexiteBPMS. Inom en kommun eller industri arbetar ofta flera handläggare, ibland uppemot hundratals, med atthantera ärenden i processer. Detta ställer krav på att handläggare kan kommunicera med varand-ra. Effektivare kommunikation där handläggare snabbare får svar innebär effektivare hantering avärenden. Marknaden har till följd av detta uttryck önskningar om att möjliggöra en form av realtids-kommunikation kring ärenden i flexiteBPMS. Med detta som bakgrund har det här arbetet undersökt, planerat och genomfört en integration av enXMPP-baserad chatt med flexiteBPMS. Det slutgiltiga integrerade systemet möjliggör för handläggareatt chatta med andra handläggare samt att spara delar av en chattkonversation som ett meddelandekopplat till ett ärende; alternativt att skapa ett nytt ärende i flexiteBPMS. Resultatet av arbetet inne-bär, vid eventuell framtida lansering, bättre förutsättningar för handläggare att effektivare utföra sittarbete, vilket medför att tiden för ärendehantering kan reduceras. / Municipality, large enterprises and companies are using more and more automated processes forprocedures such as service recovery and customer services. Flexeurope AB is a company speciali-zed in business process automation and it has several years of experience of defining, visualizing,constructing and optimizing processes. The company is also developing a commercial web basedapplication for managing processes called flexiteBPMS. Within a municipality or enterprise it is not unusual that a large amount of administrators and caseworkers are dealing with processes and errands. In large organizations, who may consisting of up toa hundred case workers, the communication possibilities are vital for the work effectiveness, whenadministrators needs information from each other. Due to this realization Flexeurope AB have recei-ved requests of enabling another type of communication in flexiteBPMS. As a result of the above described background, this work have studied, planned and carried outan integration of a XMPP based instant messaging system, called chat, with flexiteBPMS. The final,integrated system enables peer-to-peer conversation in real time between case workers and offers thepossibility to save a chat conversation in flexiteBPMS, either as a message linked to an errand or as anew errand connected to a process. The result of this work, in case of a possible future launch, wouldinduce for administrators to work more effective and in course of time this means a reduced time forhandling of a matter.

XMPP

XMPP chat

chat

web chat

web based chat

integration

chat client

web application

Tigase

Tigase server

XMPPWebChat

flexiteBPMS

XMPP

XMPP-chatt

chatt

webbchatt

webbaserad chatt

integration

webbapplikation

Tigase

Tigase server

XMPPWebChat

flexiteBPMS

chattklient

Computer and Information Sciences

Data- och informationsvetenskap

Optimerad schemaläggning av mötesbokningar

Andersson, Viktor

January 2020

Kommunikation är en grundpelare för alla verksamheter och företag där möten är ett av de primära sätten för att samtala och fatta gemensamma beslut. Problemet som kan uppstå i samband med att en bokning av ett möte ska utföras är att försöka finna en tid då alla önskade mötesdeltagare kan delta vilket kan vara en tröttsam och tidskrävande process om många deltagare ska ingå i mötet. Detta är ett bekymmer som uppstår hos IT-företaget Easit som fokuserar på mjukvarulösningar åt företag och myndigheter. Arbetet syftar till att undersöka de anställdas uppfattning kring mötesbokningar, vilka verktyg de använder i dagsläget för att boka möten och slutligen formulera och implementera en byggsten i form av en målfunktion för att förhindra de problem som beskrivs i undersökningen. Konstruktionen sker i form av en webbapplikation skapat med främst programmeringsspråket Java men också olika ramverk och verktyg för att förenkla processen i att uppnå en dynamisk applikation. Applikationen upprättar koppling till Microsoft Outlooks API där data sedan extraheras från kalendrar baserat på delvis modifierad data från en anställds schema på företaget. Målfunktionen tillämpas på den data som extraherats för villkor som användaren fyllt i, på det vis beräkna ett slags betyg för potentiella mötesbokningar. Målfunktionen som är en optimerad algoritm jämförs med en greedy-algoritm för att presentera den optimerade algoritmens potential för problembeskrivningen. Den fortsatta utvecklingen utförs genom att formulera bivillkor vars syfte är att bredda den optimerade algoritmens flexibilitet och djup. Resultatet för arbetet är en grund för optimering av scheman med potential för fortsatt utveckling. / Communication is a foundation pillar for all businesses and companies where meetings is one of the primary ways to converse and take collective decisions. The problem which can arise in the procedure of booking a meeting is trying to find a suitable time for every desired participant which could be a tedious and time-consuming task if many participants are to be included in the meeting. This is an issue that has risen at an IT company named Easit which focuses on software solutions for other companies and authorities. The aim of the project is to investigate the employees opinion of this issue, the tools they use today for the process of booking a meeting and finally formulate and implement a building block in the form of a target function which will be used to prevent the problems that are stated in the investigation. The construction is to be performed in the form of a web application created with the programming language Java together with different frameworks and tools to simplify the process of achieving a dynamic application. The application establishes a connection to the Microsoft Outlook API which will then be used to extract data from different calendars based of partly modified data from an employee’s schedule. The target function will be applied to the data extracted dependent on the conditions stated by the user and based on that; a kind of grade will be applied to every possible meeting time found. The target function which is an optimized algorithm is compared to a greedy-algorithm to present the optimized functions potential for the problem specified. If future work is to be done on the project, the main focus should lie on formulating additional constraints and parameters which can widen the optimized algorithm flexibility and depth. The result for this project is a foundation for optimizing schedules depending on multiple calendars together with potential for future work.

Microsoft Outlook API

Schedule optimization

Target function

Web application

Authentication protocol

Java

JSP

JSON

Spring Boot

Microsoft Outlook API

Schemaläggningsoptimering

Målfunktion

Webbapplikation

Autentiseringsprotokoll

Java

JSP

JSON

Spring Boot

Software Engineering

Programvaruteknik

Mycroft : En webbapplikation för filtrering av övervakningsvideor / Mycroft : A web application for filtering surveillance videos

Beming, Mattias, Brynielsson, Stefan, Flod, Felicia, Johansson, Kalle, Löfgren, Rasmus, Sellén, Erik, Sporre, Alfred, Wang, Tobias

January 2020

Rapporten belyser arbetet kring det kandidatarbete som utfördes av åtta studenter i kursen TDDD96 - Kandidatprojekt i programvaruutveckling på Linköpings universitet undervårterminen 2020. Uppgiften som utfördes var att utveckla en webbapplikation för att filtrera övervakningsvideor för Polismyndigheten. Resultatet av arbetet blev ett fungerandekoncepttest som släppts som öppen källkod under namnet Mycroft samt en användarmanual. Rapporten innehåller en bakgrund till projektet och projektgruppen, en teoridel sombeskriver de verktyg och utvecklingsmetoder som projektgruppen har använt samt en delsom redovisar gruppens utvecklingsmetod och andra administrativa metoder. Resultatetbeskriver den slutgiltiga produkten samt resultatet från gruppens arbetsprocesser. Rapporten avslutas med en diskussion gällande resultatet, metoden och framtiden för projektgruppen och produkten. Rapporten innehåller även åtta individuella fördjupningsarbetenfrån vardera gruppmedlem.

NFC

Scrum

web application

React

Redux

Webpack

Django

Django REST

Python

Github

Bootstrap

Travis CI

Remote work

NFC

Scrum

webbapplikation

React

Redux

Webpack

Django

Python

Travis CI

Bootstrap

Django REST

GitHub

distansarbete

Software Engineering

Programvaruteknik

Webbportal för nätverks-övervakning : Utveckling av en Single Page Application i .NET och JavaScript / Web Portal for Network Monitoring : Development of a Single Page Application. NET and JavaScript

Borgström, Joakim, Gerdin, Stefan

January 2013

I detta projekt jobbar vi för att skapa ett program åt Infozone Sverige AB tillsammans med professionella utvecklare från företaget. Programmet är en webbportal som används till att övervaka och visa driftinformation om ett nätverk. Tanken är att denna portal skall integreras i ett ännu ej byggt system för nätverksövervakning som Infozone senare kan sälja till kund. Produkten tas fram med Scrum samt testdriven utveckling och under utvecklingen jobbar laget med bestämda metoder och SOLID-principerna för att säkerställa programmets kvalitet. Webbportalen utnyttjar moderna teknologier och ramverk för webbutveckling, bland annat är den en Single Page Application (SPA), använder följsam webbdesign och utnyttjar Microsofts .NET-plattform. I slutändan är inte alla ställda krav uppfyllda, men i och med att Scrum används är programmet fungerande vid projektets avslutande. De krav som faktiskt implementeras görs så till fullo. Vidare visar det sig att det inte alltid är bäst att använda de senaste ramverken, utan mer beprövade metoder och teknologier kan i vissa fall vara mer lämpliga. / In this project we are creating a program for Infozone Sverige AB together with professional developers from the company. The program is a web portal which will be used to monitor and show system status of a network. The plan is that this web portal will be integrated into a not yet built network monitoring system which Infozone later can sell to their clients. The product is developed using Scrum together with test-driven development and during the development the team is working with certain methods and the SOLID principles to ensure the quality of the program. The web portal takes advantage of modern technologies and frameworks for web development, among other things it is a Single Page Application (SPA), uses responsive design and Microsoft’s .NET platform. In the end not all requirements are met, but because we are using Scrum, the program is functioning at the end of the project. The requirements that are implemented, are fully so. Furthermore, it is shown that it is not always best to use the latest frameworks, but the more tested methods and technologies can in some cases be more appropriate.

Scrum

Test-driven development

JavaScript

.NET

C#

SPA

Re-sponsive design

Web application

Breeze

Durandal

Scrum

Testdriven utveckling

JavaScript

.NET

C#

SPA

Följsam webbdesign

Webbapplikation

Breeze

Durandal

Engineering and Technology

Teknik och teknologier

Ett digitalt läromedel för barn med lässvårigheter

Eriksson, Ruth, Galaz Miranda, Luis

January 2016

Den digitala tidsåldern förändrar samhället. Ny teknik ger möjligheter att framställa och organisera kunskap på nya sätt. Tekniken som finns i skolan i dag, kan även utnyttjas till att optimera lästräningen till elever med lässvårigheter. Denna avhandling undersöker hur ett digitalt läromedel för läsinlärning för barn med lässvårigheter kan designas och implementeras, och visar att detta är möjligt att genomföra. Ett digitalt läromedel av bra kvalitet måste utgå ifrån en vetenskapligt vedertagen läsinlärningsmetod. Denna avhandling utgår ifrån Gunnel Wendicks modell, som redan används av många specialpedagoger. Modellen används dock i sin ursprungsform, med papperslistor med ord, utan datorer, surfplattor eller liknande. Vi analyserar Wendick-modellen, och tillämpar den på ett kreativt sätt för att designa en digital motsvarighet till det ursprungliga arbetssättet. Vårt mål är att skapa ett digitalt läromedel som implementerar Wendick-modellen, och på så sätt göra det möjligt att modellen används på olika smarta enheter. Med detta hoppas vi kunna underlätta arbetet både för specialpedagoger och barn med lässvårigheter, samt göra rutinerna mer tilltalande och kreativa. I vår studie undersöker vi olika tekniska möjligheter för att implementera Wendick-modellen. Vi väljer att skapa en prototyp av en webbapplikation, med passande funktionalitet för både administratörer, specialpedagoger och elever. Prototypens funktionalitet kan delas upp i två delar, den administrativa delen och övningsdelen. Den administrativa delen omfattar användargränssnitt och funktionalitet för hantering av elever och andra relevanta uppgifter. Övningsdelen omfattar övningsvyer och deras funktionalitet. Övningarnas funktionalitet är tänkt för att träna den auditiva kanalen, den fonologiska avkodningen - med målet att läsa rätt, samt den ortografiska avkodningen - med målet att eleven ska automatisera sin avkodning, d.v.s. att uppfatta orden som en bild. I utvecklandet av det digitala läromedlet används beprövade principer inom mjukvaruteknik och beprövade implementationstekniker. Man sammanställer högnivåkrav, modellerar domänen och definierar passande användningsfall. För att implementera applikationen används Java EE plattform, Web speech API, Primefaces specifikationer, och annat. Vår prototyp är en bra början som inspirerar till vidare utveckling, med förhoppning om att en fullständig webapplikation ska skapas, som ska förändra arbetssättet i våra skolor. / The digital age is changing society. New technology provides opportunities to produce and organize knowledge in new ways. The technology available in schools today can also be used to optimize literacy training for students with reading difficulties. This thesis examines how a digital teaching material for literacy training for children with reading difficulties can be designed and implemented, and shows that this is possible to achieve. A digital learning material of good quality should be based on a scientifically accepted method of literacy training. This thesis uses Gunnel Wendick’s training model which is already used by many special education teachers. The training model is used with word lists, without computers, tablets or the like. We analyze Wendick’s training model and employ it, in a creative way, to design a digital equivalent to the original model. Our goal is to create a digital learning material that implements Wendick’s training model, and thus make it possible to use in various smart devices. With this we hope to facilitate the work of both the special education teachers and children with reading difficulties and to make the procedures more appealing and creative. In our study, we examine various technical possibilities to implement Wendick’s training model. We choose to create a prototype of a web application, with suitable functionality for both administrators, special education teachers and students. The prototype’s functionality can be divided into two parts, the administrative part and the exercise part. The administrative part covers the user interface and functionality for handling students and other relevant data. The exercise part includes training views and their functionality. The functionality of the exercises is intended to train the auditory channel, the phonological awarenesswith the goal of reading accurately, and the orthographic decoding - with the goal that students should automate their decoding, that is, to perceive the words as an image. In the development of the digital teaching material, we used proven principles in software technologies and proven implementation techniques. It compiles high-level requirements, the domain model and defines the appropriate use cases. To implement the application, we used the Java EE platform, Web Speech API, Prime Faces specifications, and more. Our prototype is a good start to inspire further development, with the hope that a full web application will be created, that will transform the practices in our schools.

Digital Learning Resources

learning to read

Reading difficulties

Web application

Java EE

Text to Speech

PrimeFaces.

Digitalt läromedel

Läsinlärning

Lässvårigheter

Webbapplikation

Java EE

Talsyntes

Primefaces.

Computer and Information Sciences

Data- och informationsvetenskap

Tidsrapporteringssystem för mobila och stationära enheter : Utveckling av en MVC4 Webbapplikation i ASP.NET och PhoneGap / Timesheet system for mobile and stationary devices : Development of a MVC4 Web Application in ASP.NET and PhoneGap

Gandhi, Vicky, Kufa, David

January 2014

Målet med detta projekt var att utforma ett tidsrapporteringssystem åt Online CC AB för att effektivisera deras kunders tidsrapportering. Systemet är en webbapplikation som ska användas till att rapportera in tid som framdeles kan exporteras till valfritt lönesystem för lönehante-ring av personal. Detta system är grunden för ett framtida, fulländat system som har utökad funktionalitet. Produkten togs fram med Ex-treme Programming samt testdriven utveckling. Under utvecklingen jobbade utvecklingsgruppen med välkända och beprövade metoder för att säkerställa ett system av hög kvalité. Webbapplikationen nyttjar moderna teknologier och ramverk för webbutveckling – inklusive Microsofts ASP.NET MVC 4 och Entity Framework. Det visade sig att apputveckling är ett diffust område där de senaste verktygen inom verksamhetsgrenen inte förhållandevis förenklade arbetet. Ett system som fungerar såväl på mobila enheter, i form av en hybridapplikation, som stationära enheter, som webbapplikation, krävde att utvecklings-gruppen var erfarna inom respektive områden. I slutet av projektet var inte alla ställda krav uppfyllda - men eftersom vi använder oss av testdriven utveckling så är systemet fullt operationsdugligt. De krav som implementerades, gjordes det till fullo. Till sist så kan det visa sig att de senaste teknologierna och ramverken inte alltid är de bästa att nyttja. Mer beprövade metoder och teknologier kan i vissa fall vara mer lämpliga. / The goal of this project was to design a timesheet system for Online CC AB in order to make time reporting more efficient for their customers. The system is a web application that is to be used for time reporting in-which, later on can be exported to a salary system of their choice for salary transactions of personnel. This system is the foundation for a future, all-in-one system with extended functionality. The product was produced using Extreme Programming and Test-Driven Development. During development the development team worked with well-renowned and well-tried methods to ensure a system with the utmost quality. The web application utilizes modern technologies and frame-works for web development – including Microsoft’s ASP.NET MVC 4 and Entity Framework. It’s shown that app development is a diffuse field in which the latest tools within the field do not comparatively simplify the work. A system that works on as-well as mobile units, in the form of a hybrid application, as stationary units, in the form of a web application, demands the development team to be experienced within respective fields. At the end of the project not all requirements are met – however due to us using Test-Driven Development, the system is fully operational. Those requirements that were implemented are done so fully. Furthermore, it’s shown that the latest technologies and frame-works not always are best-suited for usage. More well-tried methods and technologies can in some cases be more appropriate

Hybrid application

Web application

MVC 4

HTML5

ASP.NET

C#

Entity Framework

JavaScript

stationary units

mobile units

PhoneGap.

Hybridapplikation

Webbapplikation

MVC 4

HTML5

ASP.NET

C#

Entity Framework

JavaScript

stationära enheter

mobila enheter

PhoneGap.

Computer and Information Sciences

Data- och informationsvetenskap

Topplistan som motivationsfaktor / The highscore list as motivational factor

Bergeling, Rickard, Forsberg, Erik

January 2015

Väldesignade spel är naturligt motiverande för att hålla kvar sina spelare. För att ett spel ska bli framgångsrikt är det viktigt att det innehåller motivationsförstärkare. På senare år har element hämtade från speldesign även använts inom andra områden, utanför sin vanliga kontext. Detta sammanfattas i begreppet gamification (sv. spelifiering).  Syftet med vår studie var att undersöka hur gamification kan påverka användandet av en applikation som är skapad i syfte att uppmuntra en miljövänlig livsstil. Detta gjorde vi genom att låta två testgrupper med studenter från programmet för Medieteknik vid Kungliga Tekniska Högskolan använda varsin applikation under åtta dagar. Applikationerna var identiska sånär som på en komponent: en av dem innehöll en topplista, vilket är en vanlig motivationsförstärkare inom speldesign. Utöver de data som vi samlade in genom applikationerna så lät vi även användarna svara på ett antal enkäter för att få kvalitativa svar angående deras användning av applikationen.  Resultaten visar att topplistan inte har fungerat som en motivationsförstärkare i det här fallet, men att många användare funnit motivation i att se sin personliga statistik. Införandet av topplistan krävde också att vi införde ett underliggande poängsystem. I diskussionen och analysen för vi resonemang om möjliga orsaker till undersökningens utfall. En möjlig förklaring till varför topplistan inte har höjt användarnas motivation kan vara poängsystemets utformning. Vidare visar resultatet att användare från olika årskurser visat på varierad motivation att använda applikationen. Studenter i årskurs ett och två har generellt presterat bättre än studenter i högre årskurser. / Well-designed games are naturally motivational to keep the players interested. For a game to be successful, it has to contain motivators. Recent years have seen elements from games used in other areas, out of their normal context. This is what is called gamification.  The purpose of our study is to examine how we can use common gamification elements to motivate our users to be more environmentally friendly. We have done this by letting two groups of students from the Programme of Media Technology at The Royal Institute of Technology use two separate applications. The study lasted for eight days and the two applications were identical except for one component – one of them contained a leaderboard, which is a common motivator in game design. We can see from our results that the leaderboard has not motivated our participants to be more considerate of the environment. A lot of people did however find motivation in their personal statistics. The use of a leaderboard required us to also implement an underlying points-system, one explanation to our outcome could be how this system was designed.

Highscore

Leaderboard

Highscore impact

environmental influence

environmental effect

application development

webb application

web application

motivation

gamification

Topplista

Topplistor

Poäng

Miljö

Miljöpåverkan

Applikationsutveckling

apputveckling

webbapplikation

webb

applikation

interaktionsdesign

interaktion

motivation

gamification

Media and Communication Technology

Medieteknik

Visualisering av Skördardata

Wikström, Ludvig

January 2022

Datavisualisering är en vanlig metod för att öka förståelsen av data genom att omvandla den från text till bild. Genom datavisualisering kan en gigantisk mängd data omvandlas till diagram och bilder som bidrar till att ge en användare en tydlig förståelse över vad denna data representerar. Det medlemsägda företaget Biometria verkar inom skogsnäring och har som uppgift att mäta skogsprodukter, så som trädstammar och stockar. Mätdatat lagras i skördspecifika XML-filer och görs tillgängligt för de som är involverade i skörden. Problemet är att dessa filer tenderar att bli extremt stora och svårtydda för någon som söker en överblick av en specifik skörd. Detta projekt har gått ut på att undersöka huruvida Biometrias data kan visualiseras och på så sätt förtydligas. Undersökningen resulterade i utvecklingen av en prototyp av en webbapplikation som tar emot en skördefil och visualiserar vissa mätdata från den. Den slutgiltiga prototypen bestod av en punktkarta som visar var stammarna fälldes, två cirkeldiagram som visar proportioner av trädarter samt sortiment av stockar, och ett stapeldiagram som visar max, minimi och medelvärden av stammarna och stockarnas diametrar. Resultatet var lyckat, eftersom de anställda på Biometria som resultatet presenterades för var överens om att visualiseringen bidrog till en mycket högre förståelse av den data som visualiserades. / Data visualization is a common method to increase the understanding of data by converting it from text to image. Through data visualization, a large amount of data can be transformed into diagrams and images that helps giving a user a clear understanding of what the data represents. The member-owned company Biometria operates in the forest industry and is tasked with measuring forest products, such as tree trunks and logs. The measurement data is stored in harvest-specific XML-files and are made available for those involved in the harvest. The problem is that these files tend to get extremely large and difficult to read for someone who wants an overview of a specific harvest. This project has aimed to investigate whether Biometria's data can be visualized and thus clarified. The study resulted in the development of a prototype of a web application that receives a harvest file and visualizes some measurement data from it. The final prototype consisted of a dot map showing where the trees were felled, two pie charts showing proportions of tree species and assortment of logs, and a bar chart showing the maximum, minimum and mean values of the trees and log diameters. The result was successful, since the employees at Biometria for whom the result was presented all agreed that the visualization contributed to a much higher understanding of the data that was visualized.

Data visualization

Web application

Biometria

HPR

XML

REST

API

.NET Core 6

C #

JavaScript

Datavisualisering

Webbapplikation

Biometria

HPR

XML

REST

API

.NET Core 6

C#

JavaScript

Software Engineering

Programvaruteknik

Utveckling av en webbapplikation för bokning av testresurser : Applikationsutveckling i React och Node.js / Development of a web application for booking test resources : Application development in React and Node.js

Al Sabbagh, Madian, Al Sabbagh, Luay

January 2023

The web application Testpersonbokaren is used by Nordic Medtest to book fake test persons for various actors in healthcare so that they can test and validate their environments without being dependent on real personal data. The purpose of this project is to develop a new version of Testpersonbokaren with new technologies and frameworks as the existing version has several problems and limitations. This was achieved by creating a Node.js server and developing two new web interfaces for Testpersonbokaren, where one is only used by Nordic Medtest and the other is used by Sweden's regions, municipalities and private actors. Both web interfaces are developed with the React framework. The new Testpersonbokaren has a more modern look and more functionality than the old one. Unlike the old version, the new one has good documentation, which makes the further development of the web application easier. The new Testpersonbokaren is ready to be put into operation at Nordic Medtest. / Webbapplikationen Testpersonbokaren används av Nordic Medtest för att boka påhittade testpersoner åt olika aktörer inom hälso- och sjukvården så att de kan testa och validera sina miljöer utan att vara beroende av riktiga personuppgifter. Syftet med detta projekt är att utveckla en ny version av Testpersonbokaren med nya tekniker och ramverk då den befintliga versionen har flera problem och begränsningar. Detta uppnåddes genom att skapa en Node.js-server och utveckla två nya webbgränssnitt för Testpersonbokaren, där det ena endast används av Nordic Medtest och det andra används av Sveriges regioner, kommuner och privata aktörer. Båda webbgränssnitten är framtagna med React-ramverket. Den nya Testpersonbokaren har ett modernare utseende och mer funktionalitet än den gamla. Till skillnad från den gamla versionen har den nya bra dokumentation vilket underlättar vidareutvecklingen av webbapplikationen. Den nya Testpersonbokaren är redo att sättas i drift hos Nordic Medtest.

web application

application development

react

nodejs

mysql

express

database

server

web interface

user interface

website

webbapplikation

webbutveckling

react

nodejs

mysql

databas

webbgränssnitt

server

express

användargränssnitt

webbsida

Software Engineering

Programvaruteknik

Computer Engineering

Datorteknik

Computer Sciences

Datavetenskap (datalogi)

KARTAL: Web Application Vulnerability Hunting Using Large Language Models : Novel method for detecting logical vulnerabilities in web applications with finetuned Large Language Models / KARTAL: Jakt på sårbarheter i webbapplikationer med hjälp av stora språkmodeller : Ny metod för att upptäcka logiska sårbarheter i webbapplikationer med hjälp av finjusterade stora språkmodeller

Sakaoglu, Sinan

January 2023

Broken Access Control is the most serious web application security risk as published by Open Worldwide Application Security Project (OWASP). This category has highly complex vulnerabilities such as Broken Object Level Authorization (BOLA) and Exposure of Sensitive Information. Finding such critical vulnerabilities in large software systems requires intelligent and automated tools. State-of-the-art (SOTA) research including hybrid application security testing tools, algorithmic brute forcers, and artificial intelligence has shown great promise in detection. Nevertheless, there exists a gap in research for reliably identifying logical and context-dependant Broken Access Control vulnerabilities. We modeled the problem as text classification and proposed KARTAL, a novel method for web application vulnerability detection using a Large Language Model (LLM). It consists of 3 components: Fuzzer, Prompter, and Detector. The Fuzzer is responsible for methodically collecting application behavior. The Prompter processes the data from the Fuzzer and formulates a prompt. Finally, the Detector uses an LLM which we have finetuned for detecting vulnerabilities. In the study, we investigate the performance, key factors, and limitations of the proposed method. Our research reveals the need for a labeled Broken Access Control vulnerability dataset in the cybersecurity field. Thus, we custom-generate our own dataset using an auto-regressive LLM with SOTA few-shot prompting techniques. We experiment with finetuning 3 types of decoder-only pre-trained transformers for detecting 2 sophisticated vulnerabilities. Our best model attained an accuracy of 87.19%, with an F1 score of 0.82. By using hardware acceleration on a consumer-grade laptop, our fastest model can make up to 539 predictions per second. The experiments on varying the training sample size demonstrated the great learning capabilities of our model. Every 400 samples added to training resulted in an average MCC score improvement of 19.58%. Furthermore, the dynamic properties of KARTAL enable inferencetime adaption to the application domain, resulting in reduced false positives. / Brutet åtkomstkontroll är den allvarligaste säkerhetsrisken för webbapplikationer enligt Open Worldwide Application Security Project (OWASP). Denna kategori har mycket komplexa sårbarheter såsom Brutet behörighetskontroll på objektnivå (BOLA) och exponering av känslig information. Att hitta sådana kritiska sårbarheter i stora programvarusystem kräver intelligenta och automatiserade verktyg. Senaste tekniken (SOTA)-forskning, inklusive hybridverktyg för säkerhetstestning av applikationer, algoritmiska bruteforcers och artificiell intelligens, har visat stor potential för upptäckt. Trots detta finns det en lucka i forskningen när det gäller tillförlitlig identifiering av logiska och kontextberoende sårbarheter relaterade till Brutet åtkomstkontroll. Vi modellerade problemet som textklassificering och föreslog KARTAL, en ny metod för att upptäcka sårbarheter i webbapplikationer med hjälp av en stor språkmodell (LLM). Den består av 3 komponenter: Fuzzer, Prompter och Detector. Fuzzer ansvarar för att systematiskt samla in applikationsbeteende. Prompter bearbetar data från Fuzzer och formulerar en förfrågan. Slutligen använder Detector en LLM som vi har finjusterat för att upptäcka sårbarheter. I studien undersöker vi prestanda, nyckelfaktorer och begränsningar hos den föreslagna metoden. Vår forskning visar behovet av en märkt dataset för sårbarheter relaterade till Brutet åtkomstkontroll inom cybersäkerhetsområdet. Därför genererar vi anpassade dataset med hjälp av en auto-regressiv LLM med SOTA few-shot-prompting-tekniker. Vi experimenterar med att finjustera 3 typer av endast avkodare transformers som är förtränade för att upptäcka 2 sofistikerade sårbarheter. Vår bästa modell uppnådde en noggrannhet på 87.19% med en F1-poäng på 0.82. Genom att använda hårdvaruacceleration på en bärbar dator för konsumenter kan vår snabbaste modell göra upp till 539 förutsägelser per sekund. Experimenten med varierande storlek på träningsprovet visade på vår modells stora förmåga att lära sig. Varje 400 prover som lades till träningen resulterade i en genomsnittlig förbättring av MCC-poängen med 19.58%. Dessutom möjliggör de dynamiska egenskaperna hos KARTAL anpassning vid inferringstid till applikationsdomänen, vilket resulterar i färre falska positiva resultat.

Broken Access Control

Vulnerability

Large Language Models

Web Application

API

Detection

Scanner

DAST

Application Security

Brutet åtkomstkontroll

Sårbarhet

Stora språkmodeller

Webbapplikation

API

Upptäckt

Skanner

DAST

Applikationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap