摘要：Web应用已经成为越来越流行的信息传输媒介.为了保护重要信息不被泄漏,许多Web应用设计了针对不同角色不同用户的访问控制机制.然而由于不完善的访问控制机制,使得访问控制漏洞仍普遍存在,攻击者可对Web应用的敏感数据进行非法访问.为了获得准确的访问控制机制,测试用例的准确性和有效性至关重要.然而,现有的测试用例生成方法存在漏报、冗余度高等缺陷.文中根据Web应用程序的访问控制模型,提出一种基于策略推导的测试用例生成方法.此方法从角色和用户两个级别发现对应的授权操作集合,推导Web应用程序的访问控制策略,并利用推导所得访问控制策略生成合法与非法两类测试用例.其中,合法用例用以对推导所得策略的正确性进行验证,非法用例通过违背授权约束生成,用以检测Web应用程序的访问控制漏洞.为了对方法的有效性进行验证,我们设计并实现原型系统ACV-Scanner,并将其运行在开源Web应用上.实验结果表明该方法在能全面检测各种类型的访问控制漏洞的前提下,对测试用例进行了精简,与同类研究对比,减少漏报,提高了效率.