【技术实现步骤摘要】
一种基于API依赖的模糊变异方法及装置
[0001]本专利技术实施例涉及模糊测试
,特别是涉及一种基于API依赖的模糊变异方法及装置。
技术介绍
[0002]模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。目前对登录接口、增加接口、修改接口以及删除接口进行模糊测试时,参数之间互不重叠,参数不符合业务场景,请求的有效性降低,导致测试效率不高。
[0003]因此,有必要提供一种基于API依赖的模糊变异方法及装置,可以有效解决上述问题。
技术实现思路
[0004]本专利技术提供一种基于API依赖的模糊变异方法及装置,通过生成接口依赖关系图对接口参数进行变异,显著提高了入参变异的有效性。
[0005]本专利技术实施例提供一种基于API依赖的模糊变异方法,包括:
[0006]在API扫描任务中对接口进行依赖关系配置,新增接口间的依赖关系,生成接口依赖关系图;
[0007]检测所述API扫描任务中的接口是否存在所述依赖关系,若不存在所述依赖关系,则对所...
【技术保护点】
【技术特征摘要】
1.一种基于API依赖的模糊变异方法,其特征在于,包括:在API扫描任务中对接口进行依赖关系配置,新增接口间的依赖关系,生成接口依赖关系图;检测所述API扫描任务中的接口是否存在所述依赖关系,若不存在所述依赖关系,则对所述接口直接进行变异,若存在依赖关系,则按照所述依赖关系配置的顺序根据预设规则对接口参数进行变异。2.根据权利要求1所述的基于API依赖的模糊变异方法,其特征在于,所述接口参数包括请求头、请求体和请求参数,所述依赖关系配置包括是否变异、标签。3.根据权利要求1所述的基于API依赖的模糊变异方法,其特征在于,所述在API扫描任务中对接口进行依赖关系配置,新增接口间的依赖包括:设置父节点接口和子节点接口依赖的参数,若所述子节点接口的入参数值来源于所述父节点接口或环境变量,则所述入参为所述子节点接口的依赖参数。4.根据权利要求1所述的基于API依赖的模糊变异方法,其特征在于,所述若存在依赖关系,则按照所述依赖关系配置的顺序根据预设规则对参数进行变异包括:所述接口参数包括依赖参数和非依赖参数,所述预设规则包括第一变异规则和第二变异规则;按照所述第一变异规则对所述依赖参数和所述非依赖参数进行变异包括对所述依赖参数进行变异,对所述非依赖参数不进行变异;按照所述第二变异规则对所述依赖参数和所述非依赖参数进行变异包括对所述依赖参数不进行变异,对所述非依赖参数进行变异。5.根据权利要求1所述的基于API依赖的模糊变异方法,其特征在于,所述接口参数的类型包括字符串类型、整形类型、浮点类型、列表类型、布尔类型;当所述接口参数的类型为字符串类型时,通过字典对所述接口参数进行变异,所述字典包括命令注入语句、特殊符号、格式化字符串、超长字符串、空字符、十六进制字符串中的一个或多个;当所述接口参数的类型为整形类型时,对所述接口参数的整形边界值、正负数、0、特殊字符串、字节流中的一个或多个进行变异;当所述接口参数的类型为浮点类型时,对所述接口参数的浮点边界值、随机浮点数、特殊字符串中的一个或多个进行变异;当所述接口参数的类型为列表类型时,对所述接口参数的异常列表组合进行变异;当所述接口参数的类型为布...
【专利技术属性】
技术研发人员:汪毅,葛健敏,王国华,
申请(专利权)人:上海安般信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。