复现RESTler-fuzzer的demo测试

已于 2024-06-27 12:54:46 修改
阅读量340 收藏 1
点赞数 5
文章标签: 测试工具 安全 论文阅读
于 2024-06-25 14:34:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46582619/article/details/139812094
版权

下载源码并配置环境

  • 在官网获取源码后,并在虚拟环境中配置python=3.8.2和.NET6.0
  • 创建restler_bin目录,切换到根目录下运行下面的指令构建 RESTler 工具,并将其安装到指定的目录
python ./build-restler.py --dest_dir <full path to restler_bin above>

快速上手

  • 进入根目录下的demo_server文件夹下,安装对应的依赖项
pip install -r requirements.txt

# 在终端启动demo_server
python demo_server/app.py

# 可在本地8888端口查看swagger规范
http://localhost:8888/docs
  • 后续步骤需保持demo_server在持续运行

一、编译

# 先创建新目录demo-server-test
cd demo-server-test

# 复制一份swagger.json文件到demo-server-test

# 然后,通过restler_bin\restler目录下的Restler.exe文件编译demo-server-test文件夹中的swagger.json文件
# 该命令会在同级目录下创建一个compile文件夹,并将编译结果存放在其中,compile文件夹放在demo-server-test中
..\restler_bin\restler\Restler.exe compile --api_spec swagger.json

二、测试

# 激活虚拟环境,保证demo_server仍在运行,然后开始测试,测试完会生成Test和RestlerLogs两个文件夹
..\restler_bin\restler\restler.exe test --grammar_file dCompile\grammar.py --dictionary_file Compile\dict.json --settings Compile\engine_settings.json --no_ssl

三、Fuzz-lean模式

..\restler_bin\restler\restler.exe fuzz-lean --grammar_file Compile\grammar.py --dictionary_file Compile\dict.json --settings Compile\engine_settings.json --no_ssl

四、fuzzing

..\restler_bin\restler\restler.exe fuzz --grammar_file Compile\grammar.py --dictionary_file Compile\dict.json --settings Compile\engine_settings.json --no_ssl --time_budget 1

五、测试其他REST API

  • 以gitlab为例:
    • 最新的规范文件(openapi: 3.0.1 version:v4)编译会报错:Unhandled exception. System.ArgumentException: Invalid array schema: found array property without a declared element
    • 但可以用一些简单的用于测试的gitlab API的swagger规范,在编译之前,需将访问地址改为自己部署的访问地址
      在这里插入图片描述
许_安
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
restler-fuzzer:RESTler是第一个有状态REST API模糊测试工具,用于通过其REST API自动测试云服务并查找这些服务中的安全性和可靠性错误
03-17
雷斯特勒 什么是RESTler? RESTler是第一个有状态的REST API模糊测试工具,用于通过其REST API自动测试云服务并查找这些服务中的安全性和可靠性错误。 对于具有OpenAPI / Swagger规范的给定云服务,RESTler会分析其整个规范,然后生成并执行通过其REST API对该服务进行测试测试。 RESTler智能地从Swagger规范中推断出请求类型之间的生产者-消费者依赖关系。 在测试过程中,它会检查特定类别的错误,并从先前的服务响应中动态了解服务的行为。 这种智能使RESTler能够探索只有通过特定的请求序列才能到达的更深层的服务状态,并发现更多的错误。 在这些同行评审的研究论文中对RESTler进行了描述: (ICSE'2019) (ICST'2020) (ISSTA'2020) (FSE'2020) 如果您在研究中使用RESTler
前端开源库-fuzzer
08-29
前端开源库-fuzzerFuzzer,一个用于测试的模糊输入创建者
网络安全-好用的模糊测试器汇总与思考
关注网络安全、云原生安全
02-12 6155
目录用例生成器WEB模糊测试器协议模糊测试器文件模糊测试器二进制模糊测试器 用例生成器 WEB模糊测试器 - wfuzz-4.2k stars,WFuzz 是一个用于 Python 的 Web 应用程序安全模糊器工具和库,可对路径、文件、URL参数、POST请求等进行模糊测试。 WebScarab-该工具是一个具有模糊测试能力的Web应用审计套件 协议模糊测试器 SPIKE-第一个公开发布的模糊测试框架-包含预生成的、针对几种常用协议的模糊测试是脚本,可以API方式调用 Peach-跨平台模糊测试框架,P
探索Restler Fuzzer:智能API fuzzing工具的力量
gitblog_00072的博客
04-25 355
探索Restler Fuzzer:智能API fuzzing工具的力量 项目地址:https://gitcode.com/microsoft/restler-fuzzer 项目简介 在软件开发领域,Restler Fuzzer是由微软开源的一款自动化API测试工具,它专为发现RESTful API中的潜在漏洞而设计。该项目旨在通过模拟真实世界的行为,对API接口进行深度和广度的模糊测试fuzz ...
restler:Restler是一个项目,旨在提供一种统一的方法,以轻松地基于面向文档的数据库(如MongoDB)构建REST服务。
05-14
雷斯特勒 Restler是一个项目,旨在提供一种统一的方法,以轻松地基于面向文档的数据库(例如MongoDB)构建REST服务。 如果您需要一些额外的功能或业务逻辑,它会自动公开域实体的CRUD操作,而不会牺牲灵活性。 该项目包括两个部分: restler-core -REST资源查询语言的实现(这就是您应该在服务中包括的内容) restler- service-使用Dropler-core并演示其功能的基于Dropwizard的示例Web服务( )。 对于您自己的服务,您可以简单地将此服务作为基础。 默认CRUD资源 restler提供开箱即用的默认CRUD操作。 大重点是在统一的数据检索(即,是由GET方法),当只有1检索端点,您可以指定哪些(通过URL矩阵参数),你想怎样(通过查询参数)来检索数据。 为了举例说明,假设您有一个Account实体存储在MongoDB中,其外
Packer-Fuzzer的使用
m0_71366428的博客
12-18 2687
在平常渗透测试时经常会遇见使用Webpack打包的网站,打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。
Packer-Fuzzer 开源项目教程
gitblog_00990的博客
08-08 776
Packer-Fuzzer 开源项目教程 Packer-FuzzerPacker Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack. 项目地址:https://gitcode.com/g...
Packer-Fuzzer:自动化API模糊提取与漏洞检测
lwwzyy
08-06 3548
Packer-Fuzzer快速提取网站JS和API,并对未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测
RESTler复现demon测试 - mac版
st_andrews的博客
08-15 765
mac系统复现RESTler测试
rest-api-fuzz-testing:REST API模糊测试(RAFT):为Azure开发的自托管服务的源代码,包括API,业务流程引擎和默认的安全工具集(包括MSR的RESTler),使开发人员能够将安全工具嵌入其CICD工作流程
02-05
REST API模糊测试(RAFT) 一个自托管的REST API Fuzzing即服务平台 RAFT使用多个并行的模糊测试器,可以轻松进行REST API的模糊测试。 使用嵌入到CI / CD管道中的单个命令行,开发人员可以针对其服务启动模糊测试作业。 RAFT当前支持以下Swagger / OpenAPI工具 工具 描述 RAFT与此Microsoft Research工具具有一流的集成,这是第一个有状态的模糊测试工具,旨在自动测试由swagger / OpenApi规范驱动的REST API。 RAFT支持ZAP提供的Swagger / OpenAPI扫描功能 RAFT支持Dredd
api-fuzz:python restful api模糊测试
02-05
IntelliFuzzTest cli测试工具 安装 git clone https://github.com/smasterfree/api-fuzz.git pip install -r requirements.txt 快速开始 将curl请求体放进request.txt文件中,执行命令 python IntelliFuzzTest_cli.py request.txt 特色 支持请求身体体变异 支持请求url path变异 随机增删请求标头 支持发布/获取/删除/放入方法 可以直接根据curl命令进行变异 背景 在日常测试工作中,经常会有api接口的测试,除了正向流程的测试之外,我们经
Packer-Fuzzer:Packer Fuzzer是一种快速高效的扫描程序,用于对由JavaScript模块捆绑器(例如Webpack)构建的网站进行安全检测
02-06
由于传播,利用Packer Fuzzer工具(下简称本工具)提供的检测功能而造成的任何直接或间接的后果及损失,均由使用者本人负责,Packer Fuzzer开发团队(下简称本团队)不承担责任任何责任。 本工具会根据使用者检测...
nuf-fuzzer-开源
04-26
3. 执行测试:运行nuf-fuzzer,对目标浏览器进行模糊测试。 4. 分析结果:收集并分析测试报告,识别潜在的安全问题。 5. 修复和验证:修复发现的漏洞,并重新测试以验证修复效果。 总的来说,`nuf-fuzzer` 是一个...
TnT-Fuzzer:用python编写的OpenAPI 2.0(Swagger)模糊器。 基本上是您的API的TnT
05-10
TnT-Fuzzer旨在简化和维护REST API的模糊测试,鲁棒性测试和验证。 在模糊器运行之后,日志文件将说明重新执行崩溃或滥用的请求的确切历史记录。 TnT-Fuzzer可用于渗透测试或开发中服务的持续测试。 安装 TnT-...
xmpp-fuzzer:XMPP-Fuzzer 是 XMPP 的模糊测试工具
05-29
XMPP模糊器 XMPP-FUZZER 是 XMPP 的模糊测试工具。 它建立在 Smack 库之上。 可惜目前只支持中文。 它最初发布在 code.google.com/p/xmpp-fuzzer 上。 共同开发者:姜峰和( ) 2009年开发。
模糊测试工具Simple Fuzzer
weixin_33757911的博客
04-21 564
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringMVC重点功能底层源码解析
最新发布
业精于勤荒于嬉,行成于思毁于随
09-06 1553
SpringMVC在进行把String转成User对象时,会先判断有没有User类型对应的StringToUserEditor,如果有就会利用它来把String转成User对象,如果没有则会找User类中有没有String类型参数的构造方法,如果有则用该构造方法来构造出User对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值