[Back]

S. Taber:
"Analyse spezieller Anforderungen an Sicherheitstesttools für GUI-basierte Anwendungen und Entwurf eines toolgestützten methodischen Sicherheitstestvorgehens";
Supervisor: T. Grechenig, F. Fankhauser; E183/1, 2013; final examination: 2013-03-21.

Nowadays most applications use Graphical User Interfaces (GUIs) to interact with the user. Those GUIs are frequently used by attackers to manipulate applications. Although applications are usually tested intensely, the GUIs of the applications are rarely checked with respect to the most critical security aspects. To increase the robustness of the applications, appropriate automated security testing is required the identifies vulnerabilities in the application reliably.
The objective of this master's thesis is to design a comprehensive GUI testing framework that not only allows functional testing of GUIs but also security tests.
First, fundamentals of automated security testing of GUIs and relevant requirements of these are discussed through literature research.
Subsequently, a comparative overview of existing tools for GUI testing is given. This research shows that most of the tools are only suitable for functional testing, where as using these tools for security testing is not feasible. Reasons for that are the lack of support for suitable analytical systems to identify emerging vulnerabilities and a clear separation between test data and test cases. The latter is required for executing the test cases with many different security-relevant test data.
Based on these observations a new platform- and programming language-independent testing framework is designed. It builds on existing solutions to support many different applications with different GUIs (e.g. Java applications and websites). The designed framework supports not only functional testing of the GUIs but particularly considers the special requirements of security tests. The proposed design serves as a model for the development of GUI testing frameworks to increase the quality and security of GUIs.

Heutzutage verwenden die gängigen Applikationen graphische Benutzeroberflächen, um mit dem Anwender zu interagieren. Diese Graphical User Interfaces (GUIs) werden häufig von Angreifern missbraucht, um die Applikationen zu manipulieren. Obwohl im Zuge der Softwareentwicklung Anwendungen im Regelfall intensiv getestet werden, werden die GUIs der Software nur selten auf relevante Sicherheitsaspekte überprüft. Um die Robustheit der Applikationen zu erhöhen, sind entsprechende automatisierte Sicherheitstests erforderlich, um Schwachstellen im System zuverlässig zu identifizieren.
Ziel der vorliegenden Arbeit ist es, ein umfassendes GUI-Testing-Framework zu entwerfen, das nicht nur funktionale Tests der GUIs erlaubt, sondern vor allem auf die Besonderheiten von Sicherheitstests eingeht und diese unterstützt.
Zunächst werden die Grundlagen von automatisierten Sicherheitstests von GUIs und relevante Anforderungen an diese mittels Literaturrecherchen erhoben. Anschließend wird ein vergleichender Überblick über bereits existierende Tools gegeben, welche die GUIs von Anwendungen testen.
Diese Toolrecherche zeigt auf, dass die meisten Tools ausschließlich für funktionale Tests geeignet sind, während Sicherheitstests mit Hilfe dieser Tools nicht möglich sind. Gründe dafür sind der meist fehlende Support eines geeigneten Analysesystems, um auftretende Schwachstellen zu identifizieren, sowie eine saubere Trennung zwischen Testdaten und Testfällen. Dadurch können die Testfälle nicht mit vielen verschiedenen, sicherheitsrelevanten Testdaten ausgeführt werden.
Basierend auf den gewonnenen Erkenntnissen wird ein plattform- und programmiersprachenunabhängiges Testframework entworfen, das auf bereits existierenden Lösungen aufbaut, um möglichst viele verschiedene Applikationen mit unterschiedlichen GUIs zu unterstützen (z.B. Java Applikationen, Webseiten, etc.). So ermöglicht das entworfene Framework nicht nur funktionale Tests der GUIs, sondern geht vor allem auf die speziellen Anforderungen von Sicherheitstests ein. Dieser Entwurf dient als Modell für die Entwicklung von GUI-Testing-Frameworks, um die Qualität und Sicherheit von GUIs zu erhöhen.