15秒接口模糊测试指南

Alt pic

哲学

在《api 接口 fuzz 测试初探》，简单介绍了一个接口模糊测试工具。好用是好用，就是需要写出接口的schema：

POST /v2.0/networks.json HTTP/1.1
Host: pubbeta1-iaas.service.163.org
X-Auth-Token: 6645b224a8314d0c89e09a011cbddf53
Content-Type: application/json
Accept: application/json

***{"network": {"cidr": "20.100.0.0/16", "name": "hzx-vpc-test1", "admin_state_up": true}}***

然后按照如下的方式调用：

python pjfapi.py -H pubbeta1-iaas.service.163.org -P 9797 -T request.txt

要是有很多接口需要测试的话，显得很不方便。

我边上的一个同学看了之后，就曾这样说道：

我就想它自己给我测，都不用写schema。

Alt pic

在 Software Tools 上面曾经有过这么一句话，xuyou也曾经在这里引用过：很多事情, 只有在人能很快的完成的时候，才有了做的可能。这句话可能比较拗口，反过来说可能更加好懂：如果用某种方法做一件事情太耗时间了， 那么人就不可能用这个方法做事情。只有一个方法能够让人足够快的做好事情的时候，这个方法才会变得实用，同时这个事情才有做的可能性。

我在之前的一篇文章中提到过 gun parallel这个工具。

很多接口在并发操作下会出现一些bug，比如有一些判断数据库里面没有加锁，是在代码层面判断的，结果并发请求下去，每个请求在到达服务器的时候是判断通过，一起写了之后就超出限制了。但是你要真正测并发的话，又要写脚本，或者利用python的mulitiprocessing封装一下。但我手边有了parallel，又在bashrc里面就加了以下两个alias

alias p='parallel'

这样制造并发太方便了，只需要管道后面加个p , 我就时时刻刻可以制造并发来观察响应。

举个例子

seq 50 | p -n0 -q curl 'example.com'

因为很方便，所以经常能够在命令行下制造并发，发现了不少问题！

实现

如此一来，那么就改造一下接口模糊测试工具哈。

最简单的方法就是传入一个curl，然后自动给你进行模糊注入。

curl请求是最容易得到的，比如chrome，postman里面可以自动导出，openstack client加上 --debug参数可以直接得到等等。

Alt pic

于是我稍微改造了一下，自动根据curl请求构建出pjfapi 的schema。

使用方法，把curl请求粘贴到request.txt中。
然后执行

python fuzz_curl.py request.txt

执行效果如下：

(my_new_env) hzhuangzhexiao@pubbeta1-nova10:~/api-fuzz$ python fuzz_curl.py request.txt 
[INFO] 
                 _   ______             
     /\         (_) |  ____|            
    /  \   _ __  _  | |__ _   _ ________
   / /\ \ | '_ \| | |  __| | | |_  /_  /
  / ____ \| |_) | | | |  | |_| |/ / / / 
 /_/    \_\ .__/|_| |_|   \__,_/___/___|
          | |                           
          |_|                           
    
[INFO] Starting api Fuzz...
[INFO] Start fuzzing in a few seconds...
[INFO] Performing 5 requests to 10.182.2.253
[INFO] Average statistics:

   HTTP Code: ['200']
   Time: 0.0014
   Length: 34
   Hash: ['d8e71bf22b715ade49030e45ee661c1d']

[400, 0.002610921859741211, 66, '110ef21d725c0242cb1c5b913f15137b']
[400, 0.0028450489044189453, 66, '110ef21d725c0242cb1c5b913f15137b']
[400, 0.0028600692749023438, 141, '3391da2f8a7bc52d2d38fe1810a3370d']
[200, 0.002708911895751953, 68, 'd8e71bf22b715ade49030e45ee661c1d']
[500, 0.002846956253051758, 128, 'cb78997cdbb65ad20fe58356baaeadb7']
2018-03-26 16:53:24,466 [90991] my_logger ERROR: Got something interesting!

     Payload: {"extra_specs": {"unique_on_host": "dsadsa", "host˲equired": "no"}}
     HTTP Code: 500
     Execution time: 0.00284695625305
     Response Length: 128
     Response Hash: cb78997cdbb65ad20fe58356baaeadb7
 whole result : [500, 0.002846956253051758, 128, 'cb78997cdbb65ad20fe58356baaeadb7'] 

需要关注 500 错误的 Payload即可。

目前还是处于初期poc阶段，只支持post json类型的请求注入。uncurl的解析也不完善。希望日后有时间慢慢完善。

试用请戳： https://github.com/smasterfree/api-fuzz

欢迎star！！