Thèse soutenue

Une approche à base de modèles et de patterns pour le test de vulnérabilités d'applications Web
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Alexandre Vernotte
Direction : Bruno LegeardFabien Peureux
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance le 29/10/2015
Etablissement(s) : Besançon
Ecole(s) doctorale(s) : École doctorale Sciences pour l'ingénieur et microtechniques (Besançon ; 1991-....)
Partenaire(s) de recherche : Laboratoire : FEMTO-ST : Franche-Comté Electronique Mécanique Thermique et Optique - Sciences et Technologies (Besançon) - Franche-Comté Électronique Mécanique, Thermique et Optique - Sciences et Technologies
Jury : Président / Présidente : Olga Kouchnarenko
Examinateurs / Examinatrices : Bruno Legeard, Fabien Peureux, Olga Kouchnarenko, Franz Wotawa, Fredrik Seehusen
Rapporteurs / Rapporteuses : Roland Groz, Franz Wotawa

Résumé

FR  |  
EN

Cette thèse propose une approche originale de test de vulnérabilité Web à partir de modèles etdirigée par des patterns de tests, nommée PMVT. Son objectif est d’améliorer la capacité de détectionde quatre types de vulnérabilité majeurs, Cross-Site Scripting, Injections SQL, Cross-Site RequestForgery, et Privilege Escalation. PMVT repose sur l’utilisation d’un modèle comportemental del’application Web, capturant ses aspects fonctionnels, et sur un ensemble de patterns de test devulnérabilité qui adressent un type de vulnérabilité de manière générique, quelque soit le type del’application Web sous test.Par l’adaptation de technologies MBT existantes, nous avons développé une chaîne outillée complèteautomatisant la détection des quatre types de vulnérabilité. Ce prototype a été exprimenté et évaluésur deux applications réelles, actuellement utiliseés par plusieurs dizaines de milliers d’utilisateurs.Les résultats d’expérimentation démontrent la pertinence et de l’efficience de PMVT, notamment enaméliorant de façon significative la capacité de détection de vulnérabilités vis à vis des scannersautomatiques d’applications Web existants.