Derfor kan flybilletten din havne i limbo 

KUNNSKAP FRA KRISTIANIA: Teknologi 

Denne teksten ble publisert på forskning.no den 16. juni 2026 under tittelen "Derfor kan flybilletten din havne i limbo".

Du har sikkert opplevd det: du bestiller flybilletter, velger avgang, fyller i alle detaljene med antall kolli, setenummer, bankkort. Trykker “betal”. Så står skjermen stille. Du venter. Prøver igjen.  

Så begynner du å lure: Er billettene bestilt eller ikke? Nå må du også inn i bankappen og sjekke om du er trukket dobbelt. Den ferien trenger du virkelig – helst med en gang!  

– Det ser ut som én tjeneste. Det er det ikke. 

Vi bruker apper og digitale tjenester til å betale, bestille og organisere livene våre. Når noe henger seg opp, vet vi sjelden hva som faktisk har skjedd. 

– Noen ganger ligger feilen et helt annet sted enn der du opplever den, sier Susruthan Seran, som nylig avla doktorgraden ved Høyskolen Kristiania i skjæringsfeltet mellom cybersikkerhet, kunstig intelligens og programvareutvikling. 

Han har forsket på hvordan man kan teste og avdekke feil i komplekse digitale systemer. 

– Når du bestiller flybilletter, ser du én løsning. Men i praksis er det mange systemer som jobber sammen, sier Seran. 

Han forklarer at en flybestilling involverer flere ledd: 

– Det kan være bookingsystemet, betalingsløsningen, banken din og systemer som håndterer seter og bekreftelser. Alle må fungere samtidig. 

– Det er koblingene som svikter 

Når noe går galt, er det ikke nødvendigvis én del som ikke funker. 

– Ofte er det samspillet mellom systemene som ikke fungerer som det skal, sier Seran. 

Han peker på at selv små avvik kan få konsekvenser. 

– En tjeneste kan svare litt annerledes enn forventet. Noe kan mangle. Eller det kan ta litt for lang tid. Da stopper hele prosessen opp. 

Du som appbruker sitter igjen med usikkerheten: Ble bestillingen gjennomført eller ikke?  

Tester ikke alle deler av et komplekst system 

Programvare testes før den tas i bruk. Likevel oppstår slike situasjoner. 

– Utfordringen er at utviklere ikke kontrollerer alle systemene løsningen er koblet til, sier Seran. 

Eksterne tjenester kan endre seg eller oppføre seg uforutsigbart. 

– Derfor lager vi ofte forenklede versjoner av dem i test. Men de oppfører seg ikke alltid som virkeligheten. 

– Vi lar testverktøyet finne ut av det selv 

I doktorgradsarbeidet har Seran utviklet metoder som skal håndtere dette. 

– I stedet for at utviklere må bygge testmiljøer manuelt, lar vi testverktøyet analysere systemet, sier han. 

Verktøyet finner ut: 

• hvilke systemer som er involvert  
• hvordan de kommuniserer  
• hva slags svar som brukes  

Deretter lager det egne simuleringer. 

– Det gir en mer realistisk test av hvordan systemet faktisk fungerer. 

Tester også det som ikke skal skje 

En viktig del av forskningen er å teste situasjoner som ikke er perfekte. 

– Tradisjonelt tester vi det som vi tror kommer til å skje. Med dette verktøyet tester vi også det som kan gå galt, sier Seran. 

Det kan være: 

• manglende informasjon 
• feil i data  
• forsinkelser  
• uventede kombinasjoner  

Det er ofte der feilene skjuler seg. 

Seran peker på en annen utfordring. 

– Moderne systemer må håndtere svært kompleks informasjon. Hvis testdataene er for enkle, får vi ikke testet alle situasjoner hvor noe kan gå galt, sier han. 

Da får man bare testet på overflaten. 

– Derfor har vi utviklet metoder for å lage slike datastrukturer automatisk. 

Samme metode kan avsløre sikkerhetshull 

Metodene kan også brukes til sikkerhetstesting. 

– Når systemer er koblet til andre tjenester, kan de også angripes gjennom disse koblingene, sier Seran. 

Ved å simulere manipulerte svar, kan forskerne teste hvordan systemet reagerer. 

– Det gjør det mulig å oppdage sårbarheter før de blir utnyttet av hackere. 

Ifølge Seran gjelder dette langt flere tjenester enn mange er klar over. 

– De fleste digitale løsningene vi bruker i dag er bygget på denne måten, sier han. 

Det gjelder blant annet: 

• reise og bestilling  
• bank og betaling  
• helsetjenester  
• offentlige løsninger   

– Målet er at du skal kunne trykke én gang 

For appbrukeren er forventningen enkel: du trykker én gang, og så skal det fungere. Billetten skal være bestilt. Og betalt bare én gang. 

Derfor må det komplekse samspillet som ligger i bakgrunnen testes automatisk. 

– Ved å bruke avansert, automatisert testing for å finne feil, kan vi gjøre systemene mer robuste, sier Seran.  

Referanser:  

Seran, S., Zhang, M., Duman, O., & Arcuri, A. (2026). Handling web service interactions in fuzzing with search-based mock-generation. ACM Transactions on Software Engineering and Methodology, 35(2), 1–45.  

Arcuri, A., Zhang, M., Seran, S., Galeotti, J. P., Golmohammadi, A., Duman, O., et al. (2025). Tool report: EvoMaster—black and white box search-based fuzzing for REST, GraphQL and RPC APIs. Automated Software Engineering, 32(1), Article 4.  

Seran, S., Duman, O., & Arcuri, A. (2025). Multi-phase taint analysis for JSON inference in search-based fuzzing. In Proceedings of the 2025 IEEE/ACM International Workshop on Search-Based and Fuzz Testing (SBFT). IEEE.  

Seran, S., Bhandari, G. P., & Arcuri, A. (2025). Detecting server-side request forgery (SSRF) vulnerabilities in REST API fuzz testing. In Search-Based Automated Mocking for System-Level Testing and Vulnerability Detection for RESTful APIs.  

Seran, S. (2026) Search-based automated mocking for system-level testing and vulnerability detection for RESTful APIs. Doctoral dissertation, Kristiania University of Applied Sciences 

Tekst: Cecilie Taran Skjerdal, seniorrådgiver forskningskommunikasjon, Kristiania.

Vi vil gjerne høre fra deg!

Send spørsmål og kommentarer til artikkelen på e-post til kunnskap@kristiania.no.