Fuzz testování aplikací komunikujících prostřednictvím OData protokolu

Dodávať stabilný a spoľahlivý softvér nie je jednoduché. Aplikácie sú náchylné k chýbam bez ohľadu na dôslednosť a skúsenosť vývojárov. Aby sa zabránilo chybovým stavom na strane zákazníka, používajú sa vo všetkých fázach vývoja softvéru rôzne automatizované testovacie metódy či nástroje. Cieľom tejto práce je navrhnúť a implementovať automatizovaný nástroj na testovanie biznis aplikácií. Akákoľvek akcia, s ktorou sa v aplikácii nesprávne naloží, môže spôsobiť zlyhanie s katastrofickými následkami. Na simulovanie takýchto scenárov je možné pri testovaní použiť také testovacie sady, ktoré obsahujú náhodné alebo poškodené dáta. Takýto spôsob testovania sa odborne nazýva fuzz testovanie, pričom sa na vstup aplikácie zavádzajú náhodné alebo zmutované dáta. Navrhnutý nástroj ODfuzz slúži na fuzz testovanie aplikácií komunikujúcich prostredníctvom protokolu OData, ktorý je postavený na metodológiách HTTP a REST. Nástroj ODfuzz generuje požiadavky, ktoré obsahujú náhodné dáta a odosiela ich na serverovú časť aplikácie. Dáta z požiadavky prechádzajú pri spracovávaní rôznymi vetvami kódu, čo v konečnom dôsledku môže vyústiť do chybového stavu. Nástroj ODfuzz bol použitý na testovanie backend modulov moderných SAP aplikácii naprogramovaných v jazyku ABAP.
Delivering stable and reliable software to customers is difficult. Applications are prone to errors, regardless of the experience level of the developers. Automated testing methods and tools are heavily used in all phases of development life-cycle to reduce chances of bugs escaping to the users. The goal of this thesis is to design an intelligent and automated testing tool which is able to test business applications. A mishandled action performed within such an application may cause a failure with disastrous consequences. To simulate these actions, one can use testing where test cases contain invalid or random data. This testing technique is called fuzzing or fuzz testing, and it involves providing malformed or mutated data as an input to the program. The proposed tool, namely ODfuzz, is a fuzzing tool ready to test applications communicating via the OData protocol which is a protocol built on existing HTTP and REST methodologies. ODfuzz is generating and fuzzing requests that are to be sent to the server. The requests contain mutated data that pass through various code paths and may result into an application error. ODfuzz was used to test back-end modules of modern SAP applications written in the ABAP language.

Keywords

OData, fuzzing, automatizácia testovania ABAP, SAP, cloudové riešenia, genetická slučka, OData, fuzzing, test automation, ABAP, SAP, cloud solutions, genetic loop

Citation

MJACHKY, Ľ. Fuzz testování aplikací komunikujících prostřednictvím OData protokolu [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2018.

Language of document

cs

Study field

Informační technologie

Comittee

prof. Ing. Tomáš Vojnar, Ph.D. (předseda) prof. Ing. Jan M. Honzík, CSc. (místopředseda) doc. Ing. Martin Čadík, Ph.D. (člen) doc. Ing. Jan Kořenek, Ph.D. (člen) Ing. Aleš Smrčka, Ph.D. (člen)

Date of acceptance

2018-06-11

Defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " A ". Otázky u obhajoby: V jaké formě bude aplikace nasazená ve firmě SAP? Bude např. součástí tzv. průběžné integrace (continuous integration)? Stručně diskutujte míru falešných pozitiv (tzn. nalezených chyb, které nejsou chybou) pro dostatečný vzorek dat.

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení