Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben
Erschienen in:
Buchtitelbild

2016 | OriginalPaper | Buchkapitel

Security Testing Beyond Functional Tests

verfasst von : Mohammad Torabi Dashti , David Basin

Erschienen in: Engineering Secure Software and Systems

Verlag: Springer International Publishing

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Abstract

We present a theory of security testing based on the basic distinction between system specifications and security requirements. Specifications describe a system’s desired behavior over its interface. Security requirements, in contrast, specify desired properties of the world the system lives in. We propose the notion of a security rationale, which supports reductive security arguments for deriving a system specification and assumptions on the system’s environment sufficient for fulfilling stated security requirements. These reductions give rise to two types of tests: those that test the system with respect to its specification and those that test the validity of the assumptions about the adversarial environment. It is the second type of tests that distinguishes security testing from functional testing and defies systematization and automation.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Jetzt informieren
Nächstes Kapitel Progress-Sensitive Security for SPARK
Fußnoten
1
We will abstract away from further temporal aspects in this example. For instance, once the door has been closed, it remains closed until the next signal arrives, and only one person can pass through the door while it is open.
 
Literatur
1.
Abrial, J.-R.: Modeling in Event-B: System and Software Engineering, 1st edn. Cambridge University Press, New York (2010)CrossRefMATH
2.
Ammann, P., Offutt, J.: Introduction to Software Testing. Cambridge University Press, New York (2008)CrossRefMATH
3.
Basin, D.A., Capkun, S.: The research value of publishing attacks. Commun. ACM 55(11), 22–24 (2012)CrossRef
4.
Beizer, B.: Software Testing Techniques, 2nd edn. Van Nostrand Reinhold, New York (1990)MATH
5.
Bjorner, D.: Software Engineering 3: Domains, Requirements, and Software Design. Texts in Theoretical Computer Science. An EATCS Series. Springer, New York (2006)MATH
6.
BSI. A penetration testing model, The German Federal Office for Information Security(2003)
7.
BSI. IT Grundschutz Kataloge, (Version: 14). The German Federal Office for Information Security (2014)
8.
DeMillo, R.A., Lipton, R.J., Sayward, F.G.: Hints on test data selection: help for the practicing programmer. Comput. 11(4), 34–41 (1978)CrossRef
9.
Dijkstra, E.W.: Notes on structured programming. Technical report T.H. Report 70-WSK-03, Technological University Eindhoven, April 1970
10.
Glinz, M.: On non-functional requirements. In: 15th IEEE International Requirements Engineering Conference, RE, pp. 21–26. IEEE Computer Society (2007)
11.
Godefroid, P., Levin, M.Y., Molnar, D.A.: SAGE: whitebox fuzzing for security testing. ACM Queue 10(1), 20 (2012)CrossRef
12.
Jackson, D.: A direct path to dependable software. Commun. ACM 52(4), 78–88 (2009)CrossRef
13.
Jackson, M.: The world and the machine. In: Proceedings of the 17th International Conference on Software Engineering, ICSE 1995, pp. 283–292. ACM, New York, NY, USA (1995)
14.
Jackson, M.: Problem Frames. Addison-Wesley, Reading (2001)
15.
Johnson, A.: Hitting the Brakes: Engineering Design and the Production of Knowledge. Duke University Press, London (2009)CrossRef
16.
Kim, Y., Daly, R., Kim, J., Fallin, C., Lee, J.-H., Lee, D., Wilkerson, C., Lai, K., Mutlu, O.: Flipping bits in memory without accessing them: an experimental study of DRAM disturbance errors. In: ACM/IEEE 41st International Symposium on Computer Architecture, ISCA, pp. 361–372. IEEE Computer Society (2014)
17.
Levin, R., Cohen, E., Corwin, W., Pollack, F., Wulf, W.: Policy/mechanism separation in Hydra. SIGOPS Oper. Syst. Rev. 9(5), 132–140 (1975)CrossRef
18.
McGraw, G.: Software Security: Building Security In. Addison-Wesley Professional, Boston (2006)
19.
20.
Moloney, E.: A Secret History of IRA. Penguin, Canada (2003)
21.
Myers, G., Sandler, C., Badgett, T.: The Art of Software Testing, 3rd edn. Wiley, New York (2011)
22.
Nelson, R.: What is a secret - and - what does that have to do with computer security? In: Proceedings of the Workshop on New Security Paradigms, pp. 74–79. IEEE (1994)
23.
Derived test requirements for FIPS PUB 140–2, security requirements for cryptographic modules, NIST, CSEC and CMVP Laboratories Draft (2011)
24.
25.
Reiter, R.: On closed world data bases. In: Gallaire, H., Minke, J. (eds.) Logic and Data Bases, pp. 55–76. Plenum Press, New York (1978)CrossRef
26.
Herbert, A.: Simon.: The architecture of complexity. Proc. Am. Philos. Soc. 106(6), 467–482 (1962)
27.
Takanen, A., DeMott, J., Miller, C.: Fuzzing for Software Security Testing and Quality Assurance, 1st edn. Artech House Inc., Norwood (2008)MATH
28.
Tsankov, P., Dashti, M.T., Basin, D.A.: Semi-valid input coverage for fuzz testing. In: International Symposium on Software Testing and Analysis, ISSTA, pp. 56–66. ACM (2013)
29.
Voas, J., McGraw, G.: Software Fault Injection. Wiley, New York (1998)
30.
Wang, R., Zhou, Y., Chen, S., Qadeer, S., Evans, D., Gurevich, Y.: Explicating SDKs: Uncovering assumptions underlying secure authentication and authorization. In: Proceedings of the 22nd USENIX Conference on Security, pp. 399–414 (2013)
31.
Zhu, H., Hall, P.A.V., May, J.H.R.: Software unit test coverage and adequacy. ACM Comput. Surv. 29(4), 366–427 (1997)CrossRef
Metadaten
Titel
Security Testing Beyond Functional Tests
verfasst von
Mohammad Torabi Dashti
David Basin
Copyright-Jahr
2016
Verlag
Springer International Publishing
Buch
Engineering Secure Software and Systems

Print ISBN: 978-3-319-30805-0

Electronic ISBN: 978-3-319-30806-7

Copyright-Jahr: 2016

DOI
https://doi.org/10.1007/978-3-319-30806-7_1