Web应用以互联网为基础平台,采用Web服务,为用户提供Internet服务的网络应用软件。随着Web技术的成熟与发展,Web应用被广泛应用,软件系统也越来越复杂,Web应用的安全问题愈发严重,访问控制漏洞便是其中一种主要的安全漏洞。访问控制漏洞主要是指恶意攻击者能够伪造请求,执行未经适当授权的访问功能,使得攻击者可以对敏感数据进行非法访问。因此,该问题在学术界和工业界引起了越来越多的关注。测试用例的生成一直以来都是软件测试中的难点问题,生成测试用例的质量对漏洞检测的准确性和效率至关重要。本文通过对Web应用的访问控制模型进行研究,基于该访问控制策略对此类漏洞的测试用例生成进行探讨和研究。首先,本文对Web应用中的访问控制漏洞的产生背景、概念以及相关的测试用例生成技术进行了介绍和分析。然后,通过研究Web应用的访问控制模型,提出一种基于黑盒的访问控制策略推导算法,并设计与构建基于策略推导的测试用例生成模型。该模型从角色和用户两个层次发现对应的授权操作集合,推导访问控制策略,然后利用该策略生成合法及非法两类测试用例。其中,合法测试用例用以验证推导所得策略的合法性,违背授权约束生成的非法测试用例用以检测访问控制漏洞。为了验证方法的有效性,本文设计并实现原型系统ACTC-Generator,运行在公开的Web应用上,结果表明该方法在保证一定覆盖率的同时,精简测试用例,减少了测试用例集的冗余度,提高了检测效率,具有一定的理论意义和应用价值。