20、API模糊测试全解析

最新推荐文章于 2025-09-06 13:11:09 发布
最新推荐文章于 2025-09-06 13:11:09 发布
阅读量55 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: API安全攻防实战 文章标签: 模糊测试 API安全 Postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/blue/article/details/151666968

API模糊测试全解析

1. 模糊测试基础

模糊测试是一种通过向API端点发送各种类型的输入请求,以引发意外结果的测试方法。成功发现API漏洞的关键在于明确模糊测试的位置和使用的输入内容。

在进行模糊测试时,输入类型多种多样,包括符号、数字、表情符号、小数、十六进制、系统命令、SQL输入和NoSQL输入等。若API未对有害输入进行验证检查,可能会导致详细错误、独特响应,甚至引发内部服务器错误,造成应用程序拒绝服务。

例如,一个银行API的转账请求如下: 

POST /account/balance/transfer
Host: bank.com
x-access-token: hapi_token
{
    "userid": 12345,
    "account": 224466,
    "transfer-amount": 1337.25
}

对该请求进行模糊测试时,若直接使用Burp Suite或Wfuzz发送大负载作为用户ID、账户和转账金额的值,可能触发防御机制,导致更严格的速率限制或令牌被阻止。若API缺乏这些安全控制,则可大胆尝试;否则,最好一次只针对一个值发送少量有针对性的请求。

转账金额通常期望是一个相对较小的小数,因此可以尝试以下输入:
- 千万亿级别的值
- 字母字符串而非数字
- 大的小数或负数
- 空值,如null、(null)、%00和0x00
- 符号,如!@#$%^&*();’:’‘|,./?>

这些请求可能会导致详细错误,揭示更多关于应用程序的信息,例如千万亿级别的值可能会引发未

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
GitLab Dogfooding 实践:Web API 模糊测试
GitLab 中国发行版
05-25 1105
用极狐GitLab 研发极狐GitLab。
Python模糊测试实战
qiniana的博客
12-16 710
Python实现接口模糊测试demo
21、API模糊测试:发现漏洞的有效方法
最新发布
blue的专栏
09-06 83
本文详细介绍了使用模糊测试技术发现API漏洞的方法。内容涵盖分析API响应、使用Wfuzz进行深度模糊测试、广泛测试发现资产管理不当漏洞、测试请求方法、绕过输入过滤、测试目录遍历漏洞,并通过一个针对crAPI的实验展示了完整的模糊测试流程。文章还总结了模糊测试的结果分析方法、注意事项及最佳实践,帮助读者面掌握API模糊测试技术。
什么是模糊测试?
人生不怕起点低,就怕没追求
05-24 432
原生的AFL仅适配于C/C++程序的测试,不过目前已经衍生出很多分支,用于适配其他语言的模糊测试,如针对JAVA程序的Kelinci等。模糊测试的核心思想是,根据一定的规则,自动或半自动生成的随机数据,然后将产生的数据输入到程序中,并监视程序是否有异常出现,以发现可能的程序错误,如内存泄漏、系统崩溃、未处理的异常等。扎里斯基曾经给出一个有趣的例子,对djpeg(一个Linux系统上的图像处理程序)进行模糊测试,在仅初始输入“hello”字符串的情况下,最后凭空生成了大量jpeg的图像。
模糊测试--提升测试的非用例覆盖面
Jianyong_zhao的博客
07-06 794
在模糊测试应用场景方面,由于嵌入式技术的迅猛发展以及多个领域的广泛使用,针对嵌入式设备的模糊测试也是一个发展方向,但模糊测试要求被测程序动态运行,因此与固件仿真技术相结合,可使模糊测试技术更广泛地应用到嵌入式领域中。源代码模糊测试,是一种灰盒模糊测试。针对数据库系统的模糊测试,是通过对数据库访问操作语句进行变异,然后将测试用例输入到数据库系统中,但其变异算法较为复杂,因此目前成熟的数据库系统模糊测试工具较少,但该类型的模糊测试工具对推进国产软件自主化的发展价值巨大,安般科技相关产品也将推出上市。
探索什么是模糊测试 Fuzzing Test
OKCRoss的博客
02-23 1893
虽然基于突变的模糊处理可以产生与生成模糊处理类似的效果(因为随着时间的推移,突变将被随机应用,而不会完破坏输入的结构),但生成输入可以确保这种情况的发生。然而,有时提供的输入的形式不容易以自动化的方式生成,或者编写程序脚本来执行每个测试用例的开销很大,证明是非常缓慢的。例如,通过测量每个测试用例的代码覆盖率,Fuzzer可以计算出测试用例的哪些属性可以锻炼给定的代码区域,并逐渐演化出一套覆盖大部分程序代码的测试用例。在给定的时间内,你能产生的测试用例越少,你发现崩溃的机会就越少。
接口模糊测试工具java,Fuzzowski:一款功能强大的网络协议模糊测试工具
weixin_31147757的博客
03-10 1110
FuzzowskiFuzzowski的设计核心理念,就是想让任何一个网络安全从业人员都会第一选择去使用它,该工具可以帮助研究人员对网络协议进行模糊测试,并且能够在整个测试过程中给我们提供帮助。除此之外,该工具还允许研究人员定义链接,并帮助识别服务的崩溃。功能介绍1、基于Sulley Fuzzer实现数据收集功能【GitHub传送门】2、基于BooFuzz部分功能【GitHub传送门】3、Pytho...
APIFuzzer:使用您的OpenAPI或Swagger API定义对应用程序进行模糊测试,而无需进行编码
05-05
从本地文件或远程URL解析API定义 JSON和YAML文件格式支持 支持所有HTTP方法 支持请求正文,查询字符串,路径参数和请求标头的模糊处理 依靠随机突变 支持CI集成 生成JUnit XML测试报告格式 将请求发送到备用URL ...
工控网络协议模糊测试:用peach对modbus协议进行模糊测试 - FreeBuf互联网安全新媒体平台1
08-03
首先,模糊测试的准备工作包括理解协议控制规范,如modbus协议,这通常涉及到解析协议文档或捕获实际的工控网络通信数据流。通过对正常数据包的分析,可以了解协议字段的结构和重要性。例如,modbus协议包含功能码、...
使用api-fuzz工具对Python RESTful API进行模糊测试
资源摘要信息:"api-fuzz是一个用Python编写用于Restful API模糊测试的工具。该工具可以帮助测试人员在进行API接口测试时,除了正常的测试流程外,还可以进行API接口的安全性和异常性测试。通过该工具,可以对API进行...
有关汽车软件的模糊测试
伤心的辣条
03-16 488
模糊(Fuzzing)或模糊测试(fuzz testing)是一种自动化的安全测试技术,包括提供无效、意外或随机的数据作为计算机程序的输入。这就是为什么,接口模糊测试可能需要几天到几周的时间,但随着复杂性的增加,你也会发现更多的bug。此外,他们常常感到很大的压力,认为他们的第一个模糊测试项目必须提供很好的结果。在设置模糊器后的第一个小时内,你通常会发现大部分的安全问题,只需通过这些独立单元的测试。在很多情况下,模糊测试会在这些已经测试过的C/C++库中发现很多新的bug,即使你认为这些代码是安全的。
api-fuzz:python restful api模糊测试
02-05
IntelliFuzzTest cli测试工具 安装 git clone https://github.com/smasterfree/api-fuzz.git pip install -r requirements.txt 快速开始 将curl请求体放进request.txt文件中,执行命令 python IntelliFuzzTest_cli.py request.txt 特色 支持请求身体体变异 支持请求url path变异 随机增删请求标头 支持发布/获取/删除/放入方法 可以直接根据curl命令进行变异 背景 在日常测试工作中,经常会有api接口的测试,除了正向流程的测试之外,我们经
随机测试与模糊测试
计算机科研杂货铺
03-07 1110
软件测试有50年的历史,自动化测试的历史也在20年以上。尽管如此,端到端的、彻底的自动化测试仍然是一个十分难以企及的梦想。测试执行的自动化易(理解:测试工作的流程执行起来,可以实现自动化),测试生成的自动化难(理解:很难自动生成测试用例),测试判定(oracle)的自动化则难上加难(理解:自动实现判断,是否存在问题,很难实现。可以说,我们基本上仍停留在测试执行的自动化阶段。没有测试生成和测试判定的自动化,就没有端到端、彻底的自动化测试。要实现端到端、彻底的自动化测试,需要我们突破测试生成和测试判定。
7年测试经验之谈,什么是模糊测试?
06-12 638
背景:近年来,随着信息技术的发展,各种新型自动化测试技术如雨后春笋般出现。其中,模糊测试(fuzz testing)技术开始受到行业关注,它尤其适用于发现未知的、隐蔽性较强的底层缺陷。这里,我们将结合AFL开源工具,对模糊测试的基本概念和流程进行说明。
java 模糊测试jazzer使用教程
qq_41167620的博客
02-08 1200
文件是一个重现文件,期内部逻辑为先调用待测类注册的关于模糊测试初始化接口fuzzerInitialize,如果没有则调用内置接口。FuzzedDataProvider类是Jazzer提供的用于获取模糊测试数据的工具类。consumeString(int length): 以模糊方式获取指定长度的字符串。consumeBytes(int count): 以模糊方式获取指定长度的字节数组。结果文件跟源文件的关系:结果文件保留了导致源文件异常的数据,并可以重现异常现象。代码中,类内提供的测试入口内抛出了异常。
探索未知,Hopper:自动API模糊测试的利器
gitblog_00030的博客
06-01 715
探索未知,Hopper:自动API模糊测试的利器 Hopper Hopper is a tool for generating fuzzing test cases for libraries automatically using interpretative fuzzing. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值