RESTler: Stateful REST API Fuzzing
Opened this issue · 0 comments
beli68 commented
一言で言うと?
StatefulにREST APIをFuzzingするRESTlerの紹介
ステートフル=複数のリクエストのシーケンスでのみ到達できるAPIをテストできる
先行研究と比べてどこがすごい?
リクエスト間の依存関係(AというAPIの応答に含まれる値を、BというAPIのリクエストに使う)を推測するためにSwagger specificationsを静的解析する。
技術や手法のキモはどこ?
Swagger Specificationを解析してリクエストの依存関係を推測する
リクエストの応答を元にフィードバック制御することで無効なリクエストを減らす
どうやって有効だと検証した?
簡易Blogサービス及びGitLabに対してFuzzingを実行し、依存関係の推測とフィードバック制御の有効性と、実際にバグを発見できることを実験で示した。
議論はある?
議論では無いがTable ⅠのTestsがどういう値なのかちゃんと読めなかった
次に読むべき論文は?
論文情報
著者
- Vaggelis Atlidakis
- Patrice Godefroid
- Marina Polishchuk