Automated Planning for Feature Model Configuration based on Stakeholders ’ Business Concerns

products of a family can be generated through a configuration process over a feature model. The configuration process selects features from the feature model according to the stakeholders’ requirements. Selecting the right set of features for one product from all the available features in the feature model is a cumbersome task because 1) the stakeholders may have diverse business concerns and limited resources that they can spend on a product and 2) features may have negative and positive contributions on different business concern. Many configurations techniques have been proposed to facilitate software developers ’ tasks through automated product derivation. However, most of the current proposals for automatic configuration are not devised to cope with business oriented requirements and stakeholders ’ resource limitations. We propose a framework, which employs an artificial intelligence planning technique to automatically select suitable features that satisfy the stakeholders ’ business concerns and resource limitations. We also provide tooling support to facilitate the use of our framework

Teste de intrusão para aplicações web : um método com planejamento em inteligência artificial

Orientadora: Profª. Drª. Leticia Mara PeresCoorientador: Prof. Dr. André Ricardo Abed GrégioDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 06/03/2020Inclui referências: p. 81-86Área de concentração: Ciência da ComputaçãoResumo: Ataques a aplicacoes Web ocorrem com a exploracao de falhas denominadas vulnerabilidades com o objetivo de obtencao de acesso a aplicacao. As vulnerabilidades podem ser detectadas com uma tecnica de teste de seguranca chamada teste de intrusao, sendo que a execucao deste teste pode requerer grande esforco dos testadores. Devido a caracteristica sequencial presente em varias etapas que compoem um teste de intrusao, este tipo de teste vem sendo associado a problemas de planejamento em inteligencia artificial (IA). Com a realizacao de mapeamentos sistematicos e revisoes da literatura, constatou-se que pesquisadores vem propondo a modelagem de vulnerabilidades como problemas de planejamento em IA, com o intuito de automatizar parte do processo de teste de intrusao. No entanto, tais propostas nao priorizam a modelagem da execucao de ferramentas utilizadas neste tipo de teste. Esta dissertacao propoe um metodo automatizavel de teste de intrusao para aplicacoes Web utilizando a tecnica de planejamento em IA. O metodo gera, em uma primeira etapa, planos de teste a partir da modelagem da execucao das ferramentas de teste de intrusao como um problema de planejamento em IA. Em uma segunda etapa, os planos de teste devem ser seguidos para a execucao automatica destas ferramentas. A utilizacao do plano de teste tem como objetivo indicar ao testador as ferramentas e configuracoes necessarias para sua execucao de acordo com o tipo de aplicacao sob teste para o teste de determinada vulnerabilidade. Alem disso, o metodo inclui uma proposta de modulo automatizavel para busca de codigos de exploracao de vulnerabilidades e atualizacao de um framework de teste de intrusao. Com a realizacao de um estudo exploratorio, foram selecionadas para uso no metodo as ferramentas de teste de intrusao Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer e ZAP, alem do framework Metasploit. Assim, a modelagem apresentada restringiu-se as vulnerabilidades injecao de SQL e cross-site scripting (XSS). Foi conduzido um estudo de caso a fim de se exemplificar uma aplicacao do metodo em testes para as vulnerabilidades injecao de SQL e XSS. Durante o estudo de caso, o plano de teste mostrou-se promissor como um auxilio aos testadores na definicao e execucao do teste de intrusao. Ademais, o planejamento em IA mostrou-se eficaz para a modelagem do teste de intrusao e definicao criteriosa das ferramentas necessarias neste tipo de teste. Palavras-chave: Planejamento de Teste, Teste de Seguranca, Deteccao de Vulnerabilidades, Planejamento em Inteligencia Artificial.Abstract: Web applications attacks occur with the exploitation of failures called vulnerabilities, in order to gain access to these applications. Vulnerabilities can be detected with a security testing technique called intrusion testing whose execution can take a lot of effort from testers. Due to intrusion testing sequential steps, this type of testing has been associated with artificial intelligence (AI) planning problems. With literature reviews we found proposals of vulnerabilities modeling as AI planning problems in order to automate part of the intrusion testing process. However, modeling the execution of the tools used in this type of testing was not prioritize by these proposals. This dissertation proposes an intrusion testing method forWeb applications with the AI planning technique. In a first step, the method generates testing plans based on modeling the execution of the intrusion testing tools as an AI planning problem. In a second step, the testing plans must be followed for the automatic execution of these tools. Testing plans aim to indicate to the tester the tools and configurations necessary for its execution, according to the type of application under testing and vulnerability. In addition, the method includes a module that can be automated to search for exploits and update an intrusion testing framework. We conducted an exploratory study and selected the Arachni, HTCAP, Skipfish, SQLmap, Wapiti, XSSer and ZAP intrusion testing tools, and the Metasploit framework. Thus, the AI planning modeling is restricted to SQL injection and cross-site scripting (XSS) vulnerabilities. We realized a case study to exemplify an application of the method in tests for SQL injection and XSS vulnerabilities. Testing plans proved to be promising as an aid to testers in specifying and executing the intrusion testing. Also, AI planning proved to be effective in modeling the intrusion testing for defining the tools needed for this type of testing. Keywords: Testing Planning, Security Testing, Vulnerabilities Detection, Artificial Intelligence Planning