發(fā)布時(shí)間：2021-03-09 18:39

　　隨著信息技術(shù)的持續(xù)發(fā)展,互聯(lián)網(wǎng)及軟件產(chǎn)品日益向開放、共享的模式發(fā)展。根據(jù)世界銀行的統(tǒng)計(jì),已有100多個(gè)國(guó)家和超過250個(gè)政府,及聯(lián)合國(guó)和世界銀行等國(guó)際組織,實(shí)施“開放數(shù)據(jù)行動(dòng)計(jì)劃”（Open Data Initiative）。通過應(yīng)用程序接口（Application Programming Interface,API）獲取信息,已日益成為消費(fèi)者獲取數(shù)據(jù)的重要方式之一。因此,應(yīng)用產(chǎn)品接口的安全性已日趨重要。接口模糊測(cè)試（Fuzz）是接口安全測(cè)試的主要手段之一。但在實(shí)際使用過程中,應(yīng)用程序接口Fuzz存在用例規(guī)模過大、用例覆蓋有效性低等問題。本文針對(duì)以上問題,結(jié)合SwaggerHub接口開發(fā)實(shí)例的接口實(shí)現(xiàn),提出并實(shí)現(xiàn)了一套R(shí)ESTful API接口Fuzz系統(tǒng),通過用例自動(dòng)生成、預(yù)篩選等方法,有效提升了應(yīng)用程序接口模糊測(cè)試有效性和測(cè)試效率。本文具體工作內(nèi)容如下:首先,提出了一種基于接口定義描述的測(cè)試用例自動(dòng)生成方法。該方法通過分析接口定義描述文件的關(guān)鍵特征,構(gòu)建一組接口定義描述與RESTful API資源表述的映射關(guān)系,并結(jié)合OpenAPI規(guī)范給出一組實(shí)現(xiàn)。由于該方法基于接口定義實(shí)現(xiàn),對(duì)比... 

【文章來源】：東南大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：72 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

ProgrammableWeb網(wǎng)站API登記注冊(cè)數(shù)量（2005-2018）[4]

誆饈岳此擔(dān)?綰喂乖旖涌誆饈雜美?ㄎ撓任?丶?Ｈ縞銜乃?觶?：??試通常采用報(bào)文逆向解析、報(bào)文拼接等方式來實(shí)現(xiàn)。以PeachFuzz工具為例，其接口模糊測(cè)試用例的生成方法是通過獲取消息請(qǐng)求報(bào)文來推測(cè)攻擊模式，產(chǎn)生模糊報(bào)文。這種方法產(chǎn)生的模糊報(bào)文，大多數(shù)會(huì)被接口校驗(yàn)直接過濾，無法到達(dá)程序內(nèi)部。這樣的模糊測(cè)試效率是比較低的。在OpenAPI規(guī)范中，接OpenAPI接口的定義本身是一個(gè)JSON對(duì)象，其可以表示為JSON文件或YAML文件。在OpenStack標(biāo)準(zhǔn)中，服務(wù)發(fā)布的接口是符合OpenAPI3.0規(guī)范的RESTful接口，接口的一種實(shí)現(xiàn)流程如圖3-1所示。由此流程可見，在這個(gè)系統(tǒng)中，RESTful接口是由符合OpenAPI3.0規(guī)范的YAML文件定義的。圖3-1微服務(wù)接口發(fā)布流程YAML是JSON的超集，它的優(yōu)勢(shì)在于，可以方便地支持注釋、換行符分割、多行字符串等，還可以引用文件。所以消息體中的JSON格式參數(shù)可以由YAML定義，而YAML還可以通過注釋的方式來聲明參數(shù)的數(shù)據(jù)類型與邊界值、接口SLA等信息，供外部使用。由于JSON與YAML最終定義的內(nèi)容相同，表示方法類似，僅在語法格式上存在差異，本文后續(xù)章節(jié)均以YAML文件定義的RESTfulAPI接口舉例進(jìn)行說明。在OpenAPI3.0/Swagger2.0規(guī)范中，對(duì)YAML如何定義接口信息給出了明確的要求。ArnaudLauret在其網(wǎng)站[36]對(duì)該規(guī)范進(jìn)行了樹形結(jié)構(gòu)的整理如圖3-2所示。

第三章基于接口定義描述的測(cè)試用例生成方法21圖3-2OpenAPIMap以SwaggerHub提供的OpenAPI3.0標(biāo)準(zhǔn)接口開發(fā)實(shí)例[37]為例，舉例說明RESTful接口的JSON報(bào)文格式與其對(duì)應(yīng)的YAML文件，展示接口定義文件是如何對(duì)接口進(jìn)行描述的：表3-1RESTful接口JSON報(bào)文格式及其對(duì)應(yīng)的YAML文件定義字段類型請(qǐng)求報(bào)文舉例定義文件代碼片段路徑/petpaths:/pet:方法POSTpost:請(qǐng)求消息報(bào)文體{"id":0,"category":{"id":0,"name":"string"},"name":"doggie","photoURIs":["string"],"tags":[{"id":0,"name":"string"}],"status":"available"tags:-petsummary:AddanewpettothestoreoperationId:addPetrequestBody:$ref:"#/components/requestBodies/Pet"

【參考文獻(xiàn)】：
期刊論文
[1]基于微服務(wù)架構(gòu)的自動(dòng)化測(cè)試[J]. 張圓冰.  電子技術(shù)與軟件工程. 2019(04)
[2]微服務(wù)框架的設(shè)計(jì)與實(shí)現(xiàn)[J]. 張晶,黃小鋒,李春陽.  計(jì)算機(jī)系統(tǒng)應(yīng)用. 2017(06)
[3]基于瀏覽器測(cè)試組件的社交網(wǎng)絡(luò)數(shù)據(jù)獲取技術(shù)研究[J]. 陳學(xué)敏,沙灜.  信息網(wǎng)絡(luò)安全. 2015(05)
[4]一種多項(xiàng)式時(shí)間的路徑敏感的污點(diǎn)分析方法[J]. 李佳靜,王鐵磊,韋韜,鳳旺森,鄒維.  計(jì)算機(jī)學(xué)報(bào). 2009(09)
[5]網(wǎng)絡(luò)安全漏洞研究[J]. 張玉清.  信息網(wǎng)絡(luò)安全. 2008(11)
[6]緩沖區(qū)溢出漏洞研究與進(jìn)展[J]. 李毅超,劉丹,韓宏,盧顯良.  計(jì)算機(jī)科學(xué). 2008(01)
[7]基于Fuzzing的TFTP漏洞挖掘技術(shù)[J]. 劉奇旭,張玉清.  計(jì)算機(jī)工程. 2007(20)
[8]基于插樁技術(shù)的并行程序性能分析方法設(shè)計(jì)和實(shí)現(xiàn)[J]. 馬桂杰,蔣昌俊,劉吟,王忱.  計(jì)算機(jī)應(yīng)用研究. 2007(10)

碩士論文
[1]針對(duì)ZigBee協(xié)議MAC層安全的綜合檢測(cè)算法[D]. 李景.北京郵電大學(xué) 2013
[2]基于環(huán)境的模糊測(cè)試技術(shù)研究[D]. 張美超.中國(guó)科學(xué)技術(shù)大學(xué) 2011
[3]基于REST面向資源的企業(yè)信息集成平臺(tái)框架[D]. 毛力銳.上海交通大學(xué) 2010
[4]基于模糊測(cè)試的軟件安全漏洞發(fā)掘技術(shù)研究[D]. 黃奕.中國(guó)科學(xué)技術(shù)大學(xué) 2010



本文編號(hào)：3073290