java.net cidr接口_api 接口 fuzz 测试初探

最新推荐文章于 2024-05-29 09:34:54 发布
最新推荐文章于 2024-05-29 09:34:54 发布
阅读量392 收藏 1
点赞数
文章标签: java.net cidr接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34138397/article/details/114874453
版权
本文探讨了在API接口测试中运用模糊测试(fuzz testing)技术,以检测异常输入处理,特别是针对Java.net CIDR接口。通过使用PyJFuzz库,创建了一个模板请求并分析其返回的异常情况,揭示了即使已做异常测试,仍有可能遗漏某些边界情况。模糊测试可以作为一种有效的补充手段,帮助发现接口潜在问题。
摘要由CSDN通过智能技术生成

fd56507265ea417df9a24be207fdba33.png

目标

在日常测试工作中,经常会有api接口的测试,除了正向流程的测试之外,我们经常还需要覆盖一些异常情况。

例如:

不合法字符串

字符串超长

应该是数字类型的,传入了字母

参数为空

传入了中文,标点符号等

sql注入等等

事实上,我们组的接口测试demo框架中,在dataprovider中也经常能够看到诸如下面的例子。

@DataProvider(name = "testIllegalName")

public static Object[][] testIllegalName(){

return new Object[][]{

//name

{null, 400, "域名为空或者域名非法"},

{"", 400, "域名为空或者域名非法"},

{"abcdefghijilmnopqrstu", 400, "域名为空或者域名非法"},

{" ", 400, "域名为空或者域名非法"},

{"12", 400, "域名为空或者域名非法"},

{"-12", 400, "域名为空或者域名非法"},

{"0.2", 400, "域名为空或者域名非法"},

{"abcdefghij0123456789abcdefghij0123456789abcdefghij0123456789abcd.com", 400, "域名为空或者域名非法"},

{"zxq.qa.com", 400, "域名为空或者域名非法"},

{"zxq_qa.com", 400, "域名为空或者域名非法"},

};

}

此处是看看接口在传入非期望值的时候,能不能够很好的处理类似请求。

除此以外,还有一些和业务场景强相关的值类型,比如网络测试的时候,我们会关心cidr的格式;计费测试的时候,又特别关注数字的类型。

一方面,给每个接口增加类似的异常接口测试相对比较无趣;另一方面,我们作为人,考虑问题,不管是开发还是测试,都难免挂一漏万,有一些边边角角的case没能考虑到。

既然如此,我们能否统一抽象出来一种接口异常测试的框架,自动 注入各种类型的异常,然后将凡是服务没有捕获的,抛出trace, exception 的,记录下请求的payload,为后续验证覆盖提供支撑。

原理

主要使用了模糊测试技术(fuzz testing, fuzzing)。其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。(摘抄之维基百科)

简单的模糊测试随机输入数据,而更加高效的模糊测试,需要理解对象结构或者协议。通过向数据内容,结构,消息,序列中引入一些异常,来人为的构造聪明的模糊测试。

如果你持续关注文件系统或内核技术,你一定注意过这样一篇文章:Fuzzing filesystem with AFL。Vegard Nossum 和 Quentin Casasnovas 在 2016 年将用户态的 Fuzzing 工具 AFL(American Fuzzing Lop)迁移到内核态,并

最低0.47元/天 解锁文章
雅愉一级品酒师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
接口模糊测试工具java,Fuzzowski:一款功能强大的网络协议模糊测试工具
weixin_31147757的博客
03-10 936
FuzzowskiFuzzowski的设计核心理念,就是想让任何一个网络安全从业人员都会第一选择去使用它,该工具可以帮助研究人员对网络协议进行模糊测试,并且能够在整个测试过程中给我们提供帮助。除此之外,该工具还允许研究人员定义链接,并帮助识别服务的崩溃。功能介绍1、基于Sulley Fuzzer实现数据收集功能【GitHub传送门】2、基于BooFuzz部分功能【GitHub传送门】3、Pytho...
java jb_java+JBroFuzz对restful api进行fuzz测试
weixin_39946964的博客
02-24 344
@本文原创,转载请注明0X00: 序言fuzz测试作为安全测试的一个基本策略,被越来越多的引入整个测试过程,来避免一些简单的可能引发的安全问题. 如何将fuzzing测试引入软件自动化测试过程是本文将要阐述的主题。0X01: 测试流程使用JBroFuzz API来根据需求生成需要的测试数据, 这些数据来源与FuzzDB然后将FuzzDB基于需要注入TestNG的DataProvider, 接口测试...
java+JBroFuzz对restful api进行fuzz测试
weixin_34314962的博客
04-14 382
@本文原创,转载请注明 0X00: 序言 fuzz测试作为安全测试的一个基本策略,被越来越多的引入整个测试过程,来避免一些简单的可能引发的安全问题. 如何将fuzzing测试引入软件自动化测试过程是本文将要阐述的主题。 0X01: 测试流程 使用JBroFuzz API来根据需求生成需要的测试数据, 这些数据来源与FuzzDB 然后将FuzzDB基于需要注入TestNG的DataProvider,...
推荐开源项目:Fuzzapi - 简化接口模糊测试的利器
gitblog_00019的博客
05-19 380
推荐开源项目:Fuzzapi - 简化接口模糊测试的利器 项目地址:https://gitcode.com/Fuzzapi/fuzzapi 1、项目介绍 Fuzzapi 是一个基于 Ruby on Rails 的应用程序,它为 API_Fuzzer 这个强大的测试库提供了直观的用户界面。这个工具旨在帮助开发者和安全工程师便捷地进行接口模糊测试,以发现潜在的安全漏洞和错误。通过简洁的图形界面,你可以...
javafuzz:适用于Java的覆盖率指导的模糊测试
02-06
fuzzit.dev被GitLab ,此仓库的新家 Javafuzz:适用于Java的覆盖率指导的模糊测试 Javafuzz是覆盖引导用于测试Java包。 模糊搜索诸如nodejs之类的安全语言是一种强大的策略,可用于查找未处理的异常,逻辑错误,由挂起和过多的内存使用引起的逻辑错误和拒绝服务引起的安全性错误。 除经典的单元测试外,模糊测试在现实世界的软件中还可以视为一种强大而有效的策略。 用法 模糊目标 第一步是实现以下功能(也称为模糊目标): public class FuzzExample extends AbstractFuzzTarget { public void fu
API fuzz字典 api爆破字典
03-25
因为找了很久有些是比较古老的字典,一直没收获,直到自己去整了一个。 字典包含我在野外看到的 API 函数名称。 所有 API 函数名称动词 所有 API 函数名称名词 API 函数名动词,前导字符大写 函数名称动词,前导字符小写 带有前导字符大写的 API 函数名称名词 带有前导字符小写的 API 函数名称名词
UU.rar_RIP java_RIP协议,java_java rip_java实现rip协议_rip协议
09-22
RIP(Routing Information Protocol,路由信息协议)是网络层的一种...朱曼露同学可能已经完成了这样一个项目,包括编写代码、绘制图示,甚至可能包含了测试和调试的过程,这对于提升网络编程技能是非常有价值的实践。
Net-CIDR-Lite-0.20.tar.gz_CIDR_lite
09-23
net cidr lite 相关源包算法
heCIDRLookup:从 bgp.he.net 返回 CIDR 以获取搜索字符串
06-06
从 bgp.he.net 返回 CIDR 以获取搜索字符串。 结果按公司排序,并合并 CIDR 以删除重复条目。 基于 Justin Kennedy (@jstnkndy) 的脚本 ######要求: netaddr BeautifulSoup requests ######用法: ...
CIDRUtils.java 判断IP是否在指定范围内
11-21
java判断IP是否在指定范围内,支持IPV4和IPV6。
mod_cidr_lookup-开源
05-15
mod_cidr_lookup是Apache模块,用于查找CIDR并将名称设置为HTTP请求标头和环境变量。 mod_cidr对检测某些CIDR组很有用。 例如:我公司的CIDR块,Google bot的CIDR
api-fuzz:python restful api模糊测试
02-05
IntelliFuzzTest cli测试工具 安装 git clone https://github.com/smasterfree/api-fuzz.git pip install -r requirements.txt 快速开始 将curl请求体放进request.txt文件中,执行命令 python IntelliFuzzTest_cli.py request.txt 特色 支持请求身体体变异 支持请求url path变异 随机增删请求标头 支持发布/获取/删除/放入方法 可以直接根据curl命令进行变异 背景 在日常测试工作中,经常会有api接口测试,除了正向流程的测试之外,我们经
API-fuzzer:API Fuzzer,它允许使用常见的渗透测试技术来模糊请求属性并列出漏洞
02-01
API Fuzzer API_Fuzzer gem接受API请求作为输入,并返回该API中可能存在的漏洞。 以下是API_Fuzzer gem中涉及的主要检查 跨站点脚本漏洞 SQL注入 盲SQL注入 XML外部实体漏洞 IDOR(在特定情况下) API速率限制 开放式重定向漏洞 信息披露缺陷 通过标题泄漏信息 跨站点请求伪造漏洞 安装 将此行添加到您的应用程序的Gemfile中: gem 'API_Fuzzer' 然后执行: $ bundle 或自己安装为: $ gem install API_Fuzzer 用法 运行bin/console 假设您有以下端点 POST /api/v2/credit_cards/123 Host: test.host.com User-Agent: Mozilla Firefox Auth: Basic Adnjefnef443nr4jh4h { credit_card: '4242424242424242', expiry: '07/17', cvv: '123', name: 'First name' } API_Fuzzer模块带有
Fuzzapi是一个用于REST API渗透测试的工具,使用的是API_Fuzzer gem - Fuzzapi/ Fuzzapi
01-27
Fuzzapi Fuzzapi is rails application which uses API_Fuzzer and provide UI solution for gem. New Scan Scan Result Scan Histoy Setup Install ruby in your machine either using rvm or rbenv Clone the repository into your localmachine cd /path/Fuzzapi/bin, move to Fuzzapi directory bundle install to install the gem dependencies of the application rake db:migrate to creates tables, migrations etc. rails
javafuzz:从 code.google.compjavafuzz 自动导出
06-09
模糊测试 JavaFuzz 是一个基于 Java 反射 APIJava 类模糊器。 反射 API 表示或反映当前 Java 虚拟机中的类、接口和对象。 使用反射 API,它可以构造和调用任何给定的类(或类列表)。 获得类接受的类型后,将使用预期和/或不适当的值构造类。 如果发出选项 -m,则所有方法也将被调用。 查看示例文章。 注意:检查最新版本的 subversion 存储库,下载获取最新的打包版本,而不是最新的可用版本。 例如,最新的代码库修复了可变位置暴力破解选项。 最新版本:0.7.5 下载: : 变化:修复/更新 版本 >= 0.7 替换构造函数,标志是 -g(带自动化)速度改进 强制执行常量并强制执行位置。 类型可以是 int,double,float,short,string 标志是 -p 版本 >= 0.6 您可以过滤进出方法,并且可以使用 -k 提供多
fuzz-rest-api:将基于属性的测试快速检入到REST API的模糊器中
02-05
维基百科将Fuzzing定义为: 模糊测试或模糊测试是一种自动软件测试技术,涉及提供无效,意外或随机数据作为计算机程序的输入。 然后监视程序是否发生异常,例如崩溃,内置代码断言失败或发现潜在的内存泄漏。 该存储库将基于属性的测试框架(称为派生到模糊系统中。 在本地运行此代码的步骤: git clone https://github.com/dubzzz/fuzz-rest-api.git cd fuzz-rest-api npm install npm run start # launch a webserver on port 8080 npm run test # run the
Scalpel:解构API复杂参数Fuzz的「手术刀」
starcross_2022的博客
11-08 1084
Scalpel是一款自动化Web/API漏洞Fuzz引擎,该工具采用被动扫描的方式,通过流量中解析Web/API参数结构,对参数编码进行自动识别与解码,并基于树结构灵活控制注入位点,让漏洞Fuzz向量能够应对复杂的编码与数据结构,实现深度漏洞挖掘。
探索API Fuzz:智能测试工具,保障您的接口安全
gitblog_00015的博客
04-23 375
探索API Fuzz:智能测试工具,保障您的接口安全 项目地址:https://gitcode.com/smasterfree/api-fuzz 项目简介 在数字化日益普及的今天,API(应用程序编程接口)成为了数据交换和系统集成的核心。然而,随着API数量的增长,其安全性与稳定性问题也变得尤为重要。为此,我们推荐一个名为api-fuzz的项目,这是一个基于Python的自动化API模糊测试工具...
探索Java世界的深度测试利器:Javafuzz
最新发布
gitblog_00099的博客
05-29 278
探索Java世界的深度测试利器:Javafuzz 项目地址:https://gitcode.com/fuzzitdev/javafuzz 在软件开发的世界里,安全和稳定是不容忽视的两个重要因素。为了确保代码的质量,我们通常会依赖于单元测试和其他形式的验证方法。然而,随着复杂性的增加,一种名为模糊测试(或fuzzing)的技术逐渐崭露头角。现在,我们将向您推荐一个针对Java平台的杰出模糊测试工具—...
java ip 白名单_java – Spring Security – 白名单IP范围
05-24
- 以“/”分隔的CIDR格式,例如192.168.0.0/16表示所有以192.168.开头的IP地址。 4. 在这个示例中,我们仅使用了IP地址白名单来控制访问权限。然而,在实际应用中,还可以结合其他的安全措施来提高Web应用的安全性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值