智能汽车安全新媒体
模糊测试或模糊测试是一种自动化测试方法,其中向 API 端点提供随机、无效、扭曲或意外的输入,以查看是否出现任何崩溃或错误。模糊测试的目的是识别未知的错误和缺陷。
API 模糊测试是一种 API 测试方法,它使用 API 的定义以自动化方式进行测试。它根据模式创建测试、运行测试并报告成功和失败。
就像你会逗别人挠痒痒,看看他们是否会对你笑或生气一样。模糊测试会刺激应用程序的代码以发现任何秘密缺陷。
在本文中,将进行一次模拟模糊测试探测,演示如何通过模糊测试找到漏洞。
03
模糊测试
对 API 进行模糊测试只是意味着向端点发送不同的输入值以发现潜在的漏洞或任何意外的行为。
首先,我们来创建一个环境。单击Postman右上角的环境图标,然后单击“添加”。我将环境命名为 crAPI_Swagger
我们需要定义一个变量并创建一个键值对。这里,我的变量是“path”,键值对是v3。别忘了保存
接下来,再次单击环境图标,并确保选择刚刚创建的环境。默认为“无环境”
导航到集合,转到“测试”选项卡并粘贴以下脚本:
然后右键单击集合并选择“运行集合”
单击橙色按钮,显示您应该运行 crAPI_Swagger_file
05
接下来是替换
选择所有框,然后替换为“{{path}}”
您会注意到所有出现的 v2 都已更改为 {{path}}
我们没有替换 v3,您可以手动执行此操作
接下来,我们将运行一次故意失败的扫描
我将当前值更改为 invalid419,这是因为我确定我没有任何像 invalid419 这样的请求,并且我希望我要运行的扫描失败
不要忘记保存。
原文来源:
Fuzzing APIs (https://hackysterio.medium.com/fuzzing-apis-73d9f5cdf156)
译:https://mp.weixin.qq.com/s/ZKeJmtKx8jz7P7LhxZOVQQ
- THE END -
精品活动推荐
因文章部分文字及图片涉及到引用,如有侵权,请及时联系17316577586,我们将删除内容以保证您的权益。
