python模糊集合_REST-ler: 自动化智能REST API模糊测试

最新推荐文章于 2024-09-10 09:20:07 发布
最新推荐文章于 2024-09-10 09:20:07 发布
阅读量665 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: python模糊集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39624071/article/details/113452530
REST-ler是一款自动化智能REST API安全测试工具,分析Swagger规格说明生成测试。它通过轻量级静态分析推断请求依赖,并基于响应动态反馈生成测试。通过测试GitLab,发现新bug。主要贡献包括请求依赖关系推断、动态反馈分析及三种搜索策略的比较。
32b25fb7c6450503212bd04d55555fd8.png

论文摘要:

随着Amazon Web Services和Microsoft Azure的出现,云服务在最近的几年中增长迅速。大多数云服务,不管是SaaS,PaaS还是IaaS,都是通过REST API访问的,而Swagger可以说是最受欢迎的REST API描述语言。

通过REST API自动测试云服务并检查这些服务是否可靠和安全的工具仍处于起步阶段。本文介绍了一个自动化智能REST API安全测试工具REST-ler,它分析Swagger规格说明并生成通过REST API执行的相应服务的测试。与其他REST API测试工具不同,REST-ler对整个Swagger规格说明执行轻量级静态分析,然后生成并执行通过其REST API执行相应云服务的测试。REST-ler生成测试的智能化体现在两个方面:(1)推断Swagger规格说明中声明的请求类型之间的依赖关系(例如,由于请求B要将请求A返回的一个资源ID x作为输入,因此推断请求B应该在请求A后面执行);(2)分析在先前测试执行期间观察到的响应的动态反馈,生成新的测试(例如,发现请求C在请求A之后执行,请求B被服务拒绝,因此在后续的测试中避免把二者组合起来)。我们发现这两种技术对于在缩小搜索空间的同时执行更全面的测试是必要的。通过REST-ler工具测试GitLab,我们还发现了新的bug。

技术介绍:

Fuzzing意味着自动测试的生成和执行,其目的是找到安全漏洞。本文中的研究对象是那些有Swagger规格说明的REST API的云服务。R

最低0.47元/天 解锁文章

200万优质内容无限畅学
通过 Python 为 TensorFlow 编写模糊测试
tensorflowforum的博客
05-14 2299
发布人:Laura Pak,TensorFlow 团队 模糊测试是通过生成的数据测试 API 的过程。模糊测试可确保代码在负向路径中不会中断,从而生成尽量覆盖每条代码分支的随机输入。常见选择是将模糊测试工具与排错程序配对使用,排错程序是用于检查非法情况的工具,因此会标记模糊测试工具输入所触发的错误。 由此,模糊测试可以查找: 缓冲区溢出 内存泄漏 死锁 无限递归 往返一致性错误 未捕获到的异常 等等 最好的模糊测试方式便是持续运行模糊测试。测试运行次数越多,生成及测试的...
oracle sys.standard,【案例】Oracle报错ORA-06553:PLS-213:package STANDARD not accessible
weixin_39886469的博客
04-03 866
天萃荷净运维DBA反映在做完Oracle数据库升级后遇到ORA-06553: PLS-213: package STANDARD not accessible的报错,分析原因为plsql_compiler_flags引导。测试环境:OS:RHEL 4.81,执行catpatch.sql的时候报下面错误SQL> STARTUP MIGRATEORACLE instance started.To...
pythonfuzz:覆盖率指导的python模糊测试
02-06
fuzzit.dev被GitLab ,此仓库的新家 pythonfuzz:适用于python的覆盖率指导的模糊测试 PythonFuzz是覆盖引导用于测试Python包。 模糊搜索python之类的安全语言是一种强大的策略,可用于查找未处理的异常,逻辑错误,由挂起和过多的内存使用引起的逻辑错误和拒绝服务引起的安全性错误。 除经典的单元测试外,模糊测试在现实世界的软件中还可以视为一种强大而有效的策略。 用法 模糊目标 第一步是实现以下功能(也称为模糊目标)。 这是内置html模块的简单模糊功能示例 from html . parser import HTMLParser from pytho
Python-wfuzz是一款Python开发的Web安全模糊测试工具
08-10
wfuzz 是一款Python开发的Web安全模糊测试工具
api-fuzz:python restful api模糊测试
02-05
IntelliFuzzTest cli测试工具 安装 git clone https://github.com/smasterfree/api-fuzz.git pip install -r requirements.txt 快速开始 将curl请求体放进request.txt文件中,执行命令 python IntelliFuzzTest_cli.py request.txt 特色 支持请求身体体变异 支持请求url path变异 随机增删请求标头 支持发布/获取/删除/放入方法 可以直接根据curl命令进行变异 背景 在日常测试工作中,经常会有api接口的测试,除了正向流程的测试之外,我们经
unmock-js:模糊测试您的REST API调用
05-14
(JavaScript SDK) 模糊测试您的REST API调用。 指定回复 指定回复标题 链式 无知的API调用 期望 初始化模拟 Faker API 跑步者 OpenAPI的 讲解 贡献 发展 执照 安装 $ npm install --save-dev unmock Unmock会做什么 取消模拟可帮助您模糊测试REST API调用。 模糊测试或模糊测试是一种测试形式,您可以通过断言代码在可变和意外输入下的正确行为来验证代码的正确性。 REST API的响应通常是可变的并且是意外的。 因此,在大多数情况下,模糊测试是测试与API集成的有用方法。 何时使用模拟 以下是确定Unmock是否适合您的开发过程时要问的一些问题。 我的代码库是JavaScript还是TypeScript? 我的代码库中是否有用Jest,Mocha,Jasmine,Tap或Ava编写的测试? 我
simple-node-api:简单的API实用程序,顾问,可编辑的编辑器,实用的Node.js等
02-27
Essa foi a minha primeira API que desenvolvi sozinho,que basicamente,pode salvar,editar,mostrar e excluir dados de pacientes de umpossívelsistema para um hospital ou algo parecido,vocêpode ler ...
开始LED光谱优化... 数据加载完成,开始优化... 使用差分进化算法进行全局优化... differential_evolution step 1: f(x)= inf differential_evolution step 2: f(x)= inf differential_evolution step 3: f(x)= inf differential_evolution step 4: f(x)= inf differential_evolution step 5: f(x)= inf differential_evolution step 6: f(x)= inf differential_evolution step 7: f(x)= inf differential_evolution step 8: f(x)= inf differential_evolution step 9: f(x)= inf differential_evolution step 10: f(x)= inf differential_evolution step 11: f(x)= inf differential_evolution step 12: f(x)= inf differential_evolution step 13: f(x)= inf differential_evolution step 14: f(x)= inf differential_evolution step 15: f(x)= inf differential_evolution step 16: f(x)= inf differential_evolution step 17: f(x)= inf differential_evolution step 18: f(x)= inf differential_evolution step 19: f(x)= inf differential_evolution step 20: f(x)= inf differential_evolution step 21: f(x)= inf differential_evolution step 22: f(x)= inf differential_evolution step 23: f(x)= inf differential_evolution step 24: f(x)= inf differential_evolution step 25: f(x)= inf differential_evolution step 26: f(x)= inf differential_evolution step 27: f(x)= inf differential_evolution step 28: f(x)= inf differential_evolution step 29: f(x)= inf differential_evolution step 30: f(x)= inf differential_evolution step 31: f(x)= inf differential_evolution step 32: f(x)= inf differential_evolution step 33: f(x)= inf differential_evolution step 34: f(x)= inf differential_evolution step 35: f(x)= inf differential_evolution step 36: f(x)= inf differential_evolution step 37: f(x)= inf differential_evolution step 38: f(x)= inf differential_evolution step 39: f(x)= inf differential_evolution step 40: f(x)= inf differential_evolution step 41: f(x)= inf differential_evolution step 42: f(x)= inf differential_evolution step 43: f(x)= inf differential_evolution step 44: f(x)= inf differential_evolution step 45: f(x)= inf differential_evolution step 46: f(x)= inf differential_evolution step 47: f(x)= inf differential_evolution step 48: f(x)= inf differential_evolution step 49: f(x)= inf differential_evolution step 50: f(x)= inf differential_evolution step 51: f(x)= inf differential_evolution step 52: f(x)= inf differential_evolution step 53: f(x)= inf differential_evolution step 54: f(x)= inf differential_evolution step 55: f(x)= inf differential_evolution step 56: f(x)= inf differential_evolution step 57: f(x)= inf differential_evolution step 58: f(x)= inf differential_evolution step 59: f(x)= inf differential_evolution step 60: f(x)= inf differential_evolution step 61: f(x)= inf differential_evolution step 62: f(x)= inf differential_evolution step 63: f(x)= inf differential_evolution step 64: f(x)= inf differential_evolution step 65: f(x)= inf differential_evolution step 66: f(x)= inf differential_evolution step 67: f(x)= inf differential_evolution step 68: f(x)= inf differential_evolution step 69: f(x)= inf differential_evolution step 70: f(x)= inf differential_evolution step 71: f(x)= inf differential_evolution step 72: f(x)= inf differential_evolution step 73: f(x)= inf differential_evolution step 74: f(x)= inf differential_evolution step 75: f(x)= inf differential_evolution step 76: f(x)= inf differential_evolution step 77: f(x)= inf differential_evolution step 78: f(x)= inf differential_evolution step 79: f(x)= inf differential_evolution step 80: f(x)= inf differential_evolution step 81: f(x)= inf differential_evolution step 82: f(x)= inf differential_evolution step 83: f(x)= inf differential_evolution step 84: f(x)= inf differential_evolution step 85: f(x)= inf differential_evolution step 86: f(x)= inf differential_evolution step 87: f(x)= inf differential_evolution step 88: f(x)= inf differential_evolution step 89: f(x)= inf differential_evolution step 90: f(x)= inf differential_evolution step 91: f(x)= inf differential_evolution step 92: f(x)= inf differential_evolution step 93: f(x)= inf differential_evolution step 94: f(x)= inf differential_evolution step 95: f(x)= inf differential_evolution step 96: f(x)= inf differential_evolution step 97: f(x)= inf differential_evolution step 98: f(x)= inf differential_evolution step 99: f(x)= inf differential_evolution step 100: f(x)= inf Polishing solution with 'trust-constr' D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_differentialevolution.py:502: UserWarning: differential evolution didn't find a solution satisfying the constraints, attempting to polish from the least infeasible solution ret = solver.solve() D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_trustregion_constr\equality_constrained_sqp.py:203: UserWarning: Singular Jacobian matrix. Using SVD decomposition to perform the factorizations. Z, LS, Y = projections(A, factorization_method) D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_differentiable_functions.py:504: UserWarning: delta_grad == 0.0. Check if the approximated function is linear. If the function is linear better results can be obtained by defining the Hessian as zero instead of using quasi-Newton approximations. self.H.update(delta_x, delta_g) D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_differentiable_functions.py:231: UserWarning: delta_grad == 0.0. Check if the approximated function is linear. If the function is linear better results can be obtained by defining the Hessian as zero instead of using quasi-Newton approximations. self.H.update(self.x - self.x_prev, self.g - self.g_prev) D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_trustregion_constr\equality_constrained_sqp.py:80: UserWarning: Singular Jacobian matrix. Using SVD decomposition to perform the factorizations. Z, LS, Y = projections(A, factorization_method) 全局优化失败,尝试备用算法... Positive directional derivative for linesearch (Exit mode 8) Current function value: 11.85740523891356 Iterations: 12 Function evaluations: 86 Gradient evaluations: 8 所有优化失败,使用均匀权重 最终性能评估: 1. 色温准确度: |4849.9 - 6000| = 1150.1K 2. 色度坐标误差: 0.0525 3. 保真度指数: 96.94 (目标>88) 4. 色域指数: 21.91 (目标95-105) ⚠️ Rg约束未满足: 21.91 ✅ Rf约束满足 D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_slsqp_py.py:437: RuntimeWarning: Values in x were outside bounds during a minimize step, clipping to bounds fx = wrapped_fun(x) D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_slsqp_py.py:441: RuntimeWarning: Values in x were outside bounds during a minimize step, clipping to bounds g = append(wrapped_grad(x), 0.0) D:\anacondaxiaz\Lib\site-packages\scipy\optimize\_slsqp_py.py:501: RuntimeWarning: Values in x were outside bounds during a minimize step, clipping to bounds a_ieq = vstack([con['jac'](x, *con['args'])
最新发布
08-17
在照明领域,有时Rg指的是光效(luminous efficacy of radiation, LER)的百分比,但光效通常用LER表示,而目标值95-105对应LER大约在300-350 lm/W,这显然不可能(因为目前LED系统的光效通常在100-200 lm/W)。...
look-lab:编写矢量图形Bombshel​​ler设计的地方
05-24
Bombshel​​ler Look Lab 浏览器中的“包含电池”的地方,用于对矢量图形Bombshel​​ler绑腿设计进行编码。 您无需安装任何软件即可获得黑客入侵! 我们使用的图形格式是SVG。 SVG有大量在线资源。 这是一个: :...
Amazon_les-meilleures-ventes
03-07
DSIA_4201C数据工程专业...Exécutez“烧瓶运行” dans le码头,塞拉·唐·勒·勒索尔塔奇(Cela Donne lerésultat-ci)。 E:\documents\DSIA_4201C - Data engineering\Projet>flask run * Environment: developm
OSS-Fuzz-开源软件的连续模糊测试。-Python开发
05-25
OSS-Fuzz-开源软件的连续模糊测试状态:Beta。 我们正在准备将该项目公开发布。 常见问题| 理想的模糊集成| 新项目指南| 重现错误 项目| 项目发行时间T OSS-Fuzz-开源软件的连续模糊测试状态:Beta。 我们正在准备将该项目公开发布。 常见问题| 理想的模糊集成| 新项目指南| 重现错误 项目| 项目问题跟踪器| 词汇表创建有关OSS-Fuzz的问题或反馈的新期刊。 简介模糊测试是一种众所周知的技术,用于发现软件中的各种编程错误。 这些可检测的错误(例如缓冲区溢出)中的许多错误可能具有严重的安全性
kitty:用python编写的模糊测试框架
02-06
kitty:用python编写的模糊测试框架
boofuzz-primer:使用Boofuzz python框架进行模糊测试入门
05-08
Boofuzz引物 使用boofuzz python框架开始进行模糊测试。 您可以在找到这些文件的相关教程。
restler-fuzzer:RESTler是第一个有状态REST API模糊测试工具,用于通过其REST API自动测试云服务并查找这些服务中的安全性和可靠性错误
03-17
雷斯特勒 什么是RESTlerRESTler是第一个有状态的REST API模糊测试工具,用于通过其REST API自动测试云服务并查找这些服务中的安全性和可靠性错误。 对于具有OpenAPI / Swagger规范的给定云服务,RESTler会分析其整个规范,然后生成并执行通过其REST API对该服务进行测试的测试。 RESTler智能地从Swagger规范中推断出请求类型之间的生产者-消费者依赖关系。 在测试过程中,它会检查特定类别的错误,并从先前的服务响应中动态了解服务的行为。 这种智能使RESTler能够探索只有通过特定的请求序列才能到达的更深层的服务状态,并发现更多的错误。 在这些同行评审的研究论文中对RESTler进行了描述: (ICSE'2019) (ICST'2020) (ISSTA'2020) (FSE'2020) 如果您在研究中使用RESTler
rest-api-fuzz-testing:REST API模糊测试(RAFT):为Azure开发的自托管服务的源代码,包括API,业务流程引擎和默认的安全工具集(包括MSR的RESTler),使开发人员能够将安全工具嵌入其CICD工作流程
02-05
REST API模糊测试(RAFT) 一个自托管的REST API Fuzzing即服务平台 RAFT使用多个并行的模糊测试器,可以轻松进行REST API的模糊测试。 使用嵌入到CI / CD管道中的单个命令行,开发人员可以针对其服务启动模糊测试作业。 RAFT当前支持以下Swagger / OpenAPI工具 工具 描述 RAFT与此Microsoft Research工具具有一流的集成,这是第一个有状态的模糊测试工具,旨在自动测试由swagger / OpenApi规范驱动的REST API。 RAFT支持ZAP提供的Swagger / OpenAPI扫描功能 RAFT支持Dredd
Atheris:一款强大的Python模糊测试工具
gitblog_00420的博客
09-10 671
Atheris:一款强大的Python模糊测试工具 项目介绍 Atheris是一款基于覆盖引导的Python模糊测试引擎,由Google开发并开源。它不仅支持对纯Python代码进行模糊测试,还能够对CPython原生扩展进行测试。Atheris的核心技术基于libFuzzer,能够通过覆盖率引导的方式高效地发现代码中的潜在漏洞。此外,Atheris还支持与Address Sanitizer或Un...
python3 下的一个模糊化测试模块
Yatere的天平秤
02-09 803
Fusil is a Python library used to write fuzzing programs. It helps to start process with a prepared environment (limit memory, environment variables, redirect stdout, etc.), start network client or
Fuzzscan:智能模糊测试工具的革新者
gitblog_00040的博客
04-23 489
Fuzzscan:智能模糊测试工具的革新者 是一个创新的开源项目,它采用先进的模糊测试技术,以帮助开发者发现软件中的安全漏洞和逻辑错误。该项目提供了一个简洁而强大的命令行界面,使得测试过程变得简单且高效。 技术分析 Fuzzscan的核心是它的自动化智能化特性。它利用了以下关键技术: 模糊测试(Fuzzing):这是一种通过输入大量随机数据到程序中来检测其异常行为的方法。Fuzzscan优化...
CATS:一款功能强大的针对OpenAPIREST API模糊与逆向测试工具
顶峰
03-27 641
CATS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值