基于依赖图的REST API模糊测试方法

1

作者 陈静 宗国笑 +2 位作者 王新蕾 魏强 武泽慧 《小型微型计算机系统》 北大核心 2025年第5期1224-1231,共8页

随着REST API在Web服务和云服务中的广泛应用,其安全问题也引起越来越多的关注.模糊测试作为主流的缺陷检测方法之一,已被适用到该领域.但现有的模糊测试方法缺乏有效的探索机制,平等的对待所有API操作和参数,导致难以生成复杂而有效的... 随着REST API在Web服务和云服务中的广泛应用,其安全问题也引起越来越多的关注.模糊测试作为主流的缺陷检测方法之一,已被适用到该领域.但现有的模糊测试方法缺乏有效的探索机制,平等的对待所有API操作和参数,导致难以生成复杂而有效的请求,很难发现API中的深层bug.为解决上述问题,本文提出基于依赖图的REST API模糊测试方法,首先采用动静结合的方式对API间的数据依赖关系进行分析建模,构建加权API依赖图,优先考虑具有更多潜在依赖项的API,提升有效测试用例的生成率;其次,提出对参数的变异价值进行评估的方法,优先对不安全的参数进行测试;最后基于反馈信息验证缺陷的存在性.为测试本文方法的有效性,编码开发了原型系统RESTFuzzer,并与RESTler、RestTestGen、ZAP等现有REST API缺陷检测工具进行比较.实验结果表明,与现有工具相比,测试用例生成的质量更高,并且在实际测试中发现了更多API安全缺陷. 展开更多

关键词 rest api api依赖图 模糊测试 缺陷检测

在线阅读 下载PDF 职称材料

REST API设计安全性检测研究

2

作者 张燕怡 阮树骅 郑涛 《信息网络安全》 北大核心 2025年第8期1313-1325,共13页

在REST API的设计和开发过程中,遵循 REST原则以及最佳实践等规范,对确保REST API服务的一致性、可用性和安全性是至关重要的。针对 REST API设计检测领域中存在的安全维度及语义层面检测机制不完善问题,文章提出一个REST API设计安全... 在REST API的设计和开发过程中,遵循 REST原则以及最佳实践等规范,对确保REST API服务的一致性、可用性和安全性是至关重要的。针对 REST API设计检测领域中存在的安全维度及语义层面检测机制不完善问题,文章提出一个REST API设计安全性检测框架RADSD,旨在从不同结构层次对API设计的安全性进行检测。首先,通过收集整理 REST API相关指导规范并结合实证研究,构建了一个多层次的 REST API 安全设计规范库;然后,针对规范库中各项规范要求设计对应的检测算法,并将大语言模型引入REST API设计检测,实现针对API设计语法和语义的多种检测方法。实验结果证明,RADSD框架能够对业界真实REST API进行多层次检测,识别API存在的设计安全性问题,并生成详细的检测报告,平均准确率达97.1%。 展开更多

关键词 rest api安全性 设计规范 模式匹配 大语言模型

在线阅读 下载PDF 职称材料

REST API自动化测试综述 被引量：6

3

作者 陈静 魏强 +1 位作者 武泽慧 王新蕾 《计算机应用研究》 CSCD 北大核心 2024年第2期321-328,340,共9页

REST API已经成为访问和使用云服务、Web、移动应用程序的重要途径,如何对这些API进行自动化测试以保证服务的安全性和可靠性是亟待解决的问题。目前虽然关于REST API自动化测试的研究成果众多,但仍缺少对测试技术全面的分析和总结。梳... REST API已经成为访问和使用云服务、Web、移动应用程序的重要途径,如何对这些API进行自动化测试以保证服务的安全性和可靠性是亟待解决的问题。目前虽然关于REST API自动化测试的研究成果众多,但仍缺少对测试技术全面的分析和总结。梳理了该领域近10年的代表性成果,首先总结了REST API自动化测试的发展历程;然后结合REST API自动化测试特征,提炼了测试的通用流程;接着分别从预处理、测试用例生成、测试用例执行与监测、结果分析四个环节阐述现有成果的技术特征,对比分析其优缺点;最后论述当前研究存在的不足,讨论可能的解决思路,展望了下一步研究方向。 展开更多

关键词 rest api 自动化测试 模糊测试 测试用例生成

在线阅读 下载PDF 职称材料

REST API设计分析及实证研究 被引量：23

4

作者 周芯宇 陈伟 +1 位作者 吴国全 魏峻 《软件学报》 EI CSCD 北大核心 2022年第9期3271-3296,共26页

REST API已成为访问和使用Web服务的重要途径,为开发基于服务架构的应用系统提供了可复用接口.但是,REST API的设计质量参差不齐,因此有效、合理的设计指导规范对于规范和提高REST API设计质量具有现实意义和应用价值.首先,基于REST AP... REST API已成为访问和使用Web服务的重要途径,为开发基于服务架构的应用系统提供了可复用接口.但是,REST API的设计质量参差不齐,因此有效、合理的设计指导规范对于规范和提高REST API设计质量具有现实意义和应用价值.首先,基于REST API的本质内涵,建立了一个多维度、两层次的REST API设计指导规范分类体系RADRC(REST API design rule catalog),并对当前主流的25条设计指导规范进行分类.其次,针对已有规范提出相应的检测方法,并实现了REST API设计指导规范遵循情况的分析与检测工具RESTer.最后,使用RESTer开展REST API设计实证研究,分析了APIs.guru收录的近2000个真实REST API的文档,从中分析提取相应的REST API信息,进一步检测并统计当前REST API的设计特征和设计指导规范遵循情况.研究发现不同应用类别的REST API在资源和操作模式上存在差异,使得不同类别REST API在设计规则和总体架构方面各有特点.实证研究结果有助于深入了解当前REST API及其设计规则的特征、现状和不足,对于提高REST API设计质量和改进设计指导规范具有实际意义. 展开更多

关键词 rest api 设计指导规范 分类体系 api描述文档 实证研究

在线阅读 下载PDF 职称材料

自适应RESTful Web API进化模型的研究 被引量：14

5

作者 李莹 柳生鹏 +1 位作者 赵朗 潘纲 《计算机集成制造系统》 EI CSCD 北大核心 2017年第5期1020-1030,共11页

为了解决服务提供商对Web API进行频繁更新进化导致调用客户端受到影响甚至崩溃的问题,通过调查研究RESTful Web API的进化现状,针对调用API端点、参数、域的变化总结出14种Web API进化模式,提出一种Web API的进化模型,以帮助识别Web AP... 为了解决服务提供商对Web API进行频繁更新进化导致调用客户端受到影响甚至崩溃的问题,通过调查研究RESTful Web API的进化现状,针对调用API端点、参数、域的变化总结出14种Web API进化模式,提出一种Web API的进化模型,以帮助识别Web API进化过程中造成的不兼容。利用Web API的规格说明文件,提出一种Web API自动进化识别方法,实现了进化适配器,通过实验验证了自适应Web API的进化过程。 展开更多

关键词 微服务 restFUL Web应用程序接口 进化模型 适配器

在线阅读 下载PDF 职称材料

基于REST-API的SDN控制器故障恢复机制 被引量：5

6

作者 杨晨 李勇 金德鹏 《计算机工程》 CAS CSCD 北大核心 2015年第9期131-134,139,共5页

软件定义网络(SDN)通过可编程的数据平面和逻辑集中的网络控制器实现网络的灵活可控,然而现有的网络控制器不具备故障快速切换功能,难以实现SDN网络故障恢复。为此,基于表述性状态转移-应用程序编程接口(REST-API),提出一种控制器快速... 软件定义网络(SDN)通过可编程的数据平面和逻辑集中的网络控制器实现网络的灵活可控,然而现有的网络控制器不具备故障快速切换功能,难以实现SDN网络故障恢复。为此,基于表述性状态转移-应用程序编程接口(REST-API),提出一种控制器快速恢复机制,通过REST-API将多个控制器同时与控制器代理相连接,使得控制器代理可快速检测出控制器故障并进行切换。实验结果表明,与OpenFlow机制相比,该机制减少了500倍以上的切换时间,且切换时间不受网络规模的影响。 展开更多

关键词 软件定义网络 故障恢复 快速切换 OpenFlow机制 表述性状态转移-应用程序编程接口

在线阅读 下载PDF 职称材料

针对RESTful API的SQL注入漏洞检测工具的设计与实现 被引量：2

7

作者 罗启汉 张玉清 刘奇旭 《中国科学院研究生院学报》 CAS CSCD 北大核心 2013年第3期417-424,共8页

RESTful API作为当前主流Web API,其传参与调用方式具有新特性,传统的Web漏洞检测工具均无法有效对其检测.本文设计并实现了首款针对RESTful API的SQL注入漏洞检测工具:RASIVD.实验结果表明,与传统检测工具相比,RASIVD能够检测出更多API... RESTful API作为当前主流Web API,其传参与调用方式具有新特性,传统的Web漏洞检测工具均无法有效对其检测.本文设计并实现了首款针对RESTful API的SQL注入漏洞检测工具:RASIVD.实验结果表明,与传统检测工具相比,RASIVD能够检测出更多API SQL注入漏洞,且误报率为零,说明了RASIVD的有效性. 展开更多

关键词 restFUL api SQL注入 漏洞检测 OAUTH

在线阅读 下载PDF 职称材料

RESTful API在5G应用场景中的安全威胁研究 被引量：8

8

作者 张奕鸣 刘彩霞 刘树新 《计算机应用与软件》 北大核心 2023年第2期314-319,共6页

针对5G核心网络引入的RESTful API服务化关键技术,研究其安全威胁。梳理5G网络服务化架构和RESTful API应用方法,从四个方面分析RESTful API在5G应用场景中存在的安全问题以及可能引入的安全威胁,并针对每类安全威胁提出安全防护机制。

关键词 5G 服务化架构 restful api 安全威胁

在线阅读 下载PDF 职称材料

基于依赖模型的REST接口测试用例生成方法研究 被引量：1

9

作者 刘盈盈 杨秋辉 +1 位作者 姚邦国 刘巧韵 《计算机科学》 CSCD 北大核心 2023年第9期101-107,共7页

REST接口中普遍存在依赖关系,导致生成合理的接口调用序列与输入参数变得十分困难。现有的大多数方法只考虑了其中一种依赖关系,并需要人工执行繁杂的前置操作,生成的测试用例有效性仍然较低。针对以上问题,文中提出了一种基于依赖模型... REST接口中普遍存在依赖关系,导致生成合理的接口调用序列与输入参数变得十分困难。现有的大多数方法只考虑了其中一种依赖关系,并需要人工执行繁杂的前置操作,生成的测试用例有效性仍然较低。针对以上问题,文中提出了一种基于依赖模型的测试用例生成方法。通过解析OpenAPI文档,该方法提取了接口内的操作间依赖关系与参数间依赖关系,并据此建立了两种依赖模型,从模型生成测试用例,最后从3方面确定测试预言。实验结果表明,该方法的输入度量覆盖率达到了100%,状态码类别、状态码、响应资源类型的覆盖率分别达到了100%,91.67%,83.33%,并能在限定时间内检出接口内部缺陷;与RESTler和RESTest相比,该方法的输出度量覆盖率最大提高了36%,触发了最多次的异常响应状态码,检测到接口异常响应的比例最大提高了10%。该方法为REST接口的测试用例生成问题提供了有价值的参考。 展开更多

关键词 rest接口 测试用例生成 操作间依赖 参数间依赖 BERT模型

在线阅读 下载PDF 职称材料

基于Request Body的Open API安全认证机制 被引量：2

10

作者 姜建武 胡垚 李景文 《科学技术与工程》 北大核心 2019年第19期196-200,共5页

为解决当前Open API面临的身份伪造钓鱼攻击、账户与业务信息泄露和API平台恶意攻击等问题,提出了一种基于Request Body(请求体)的API安全认证机制。该机制由双重签名验证、请求体加密、URI验证、接口权限认证和异常侦测五部分组成,用... 为解决当前Open API面临的身份伪造钓鱼攻击、账户与业务信息泄露和API平台恶意攻击等问题,提出了一种基于Request Body(请求体)的API安全认证机制。该机制由双重签名验证、请求体加密、URI验证、接口权限认证和异常侦测五部分组成,用于防范钓鱼网站诱骗、加固用户数据传输安全和提升API平台抵御攻击的能力。通过在线测试和实际项目验证,表明该机制能够在保证API认证速度的同时保证用户和接口的安全。 展开更多

关键词 Open api 安全认证 restFUL api 信息加密

在线阅读 下载PDF 职称材料

基于RIA WebGIS的区域烟草精准施肥管理决策系统设计与实现——以攀枝花烟区为例 被引量：8

11

作者 曹淋海 王昌全 +5 位作者 张毅 李冰 杜薇 冯广林 张宗锦 李斌 《中国烟草学报》 EI CAS CSCD 北大核心 2015年第2期94-99,共6页

以数据为基础的传统Web GIS存在共享性弱,伸缩性差,开发难等弊端。RIA/REST的应用能显著增强系统响应能力,简化GIS Service过程。本文在根据区域土壤肥力差异、供肥性能和肥料利用率等建立施肥模型、案例库、专家知识库及施肥决策方案... 以数据为基础的传统Web GIS存在共享性弱,伸缩性差,开发难等弊端。RIA/REST的应用能显著增强系统响应能力,简化GIS Service过程。本文在根据区域土壤肥力差异、供肥性能和肥料利用率等建立施肥模型、案例库、专家知识库及施肥决策方案的基础上,利用Flex API+REST API+SQL的RIA Web GIS框架构建了攀枝花烟草生产施肥管理决策系统(http://218.89.168.145:8080/webgis1/),实现了农田、作物生产信息管理和智能化施肥决策的集成,以及快捷高效的在线访问。结果表明,系统可为用户提供科学合理的施肥方案,施肥量得到更精准控制,且RIA/REST开发框架具有部署灵活、开发简易、伸缩性强等特点,用户体验和交互性更具优势。 展开更多

关键词 RIA WEBGIS Flex api rest 施肥决策

在线阅读 下载PDF 职称材料

基于CC3200的气象数据采集与远程通信系统 被引量：15

12

作者 李琦 徐阳 梁丽 《计算机工程与应用》 CSCD 北大核心 2017年第13期235-239,共5页

针对我国草原牧场环境数据采集的需求,同时为了解决气象站数据传输与远程监测问题,提出了一种基CC3200芯片的数据实时检测与远程通讯的自动气象要素采集系统设计方案。由德州仪器推出的CC3200器件,其主控芯片内置具有Wi-Fi功能的无线MCU... 针对我国草原牧场环境数据采集的需求,同时为了解决气象站数据传输与远程监测问题,提出了一种基CC3200芯片的数据实时检测与远程通讯的自动气象要素采集系统设计方案。由德州仪器推出的CC3200器件,其主控芯片内置具有Wi-Fi功能的无线MCU,其上包含嵌入式TCP/IP和TLS/SSL堆栈,以及多个互联网协议,支持CC3200器件为采集节点同时作为HTTP客户端,并以无线方式传递数据。无线AP模式下的Web服务器以REST API接口接收气象数据,用户可通过网页实现远程监控牧场环境数据。 展开更多

关键词 数据采集 物联网 CC3200芯片 rest api接口

在线阅读 下载PDF 职称材料

基于WebGIS的地震信息上报与服务系统的设计与实现 被引量：4

13

作者 屈佳 李俊 +1 位作者 王耀宗 孙玉柱 《地震工程与工程振动》 CSCD 北大核心 2014年第5期254-260,共7页

提出了基于Web GIS的以面向服务架构(Service Oriented Architecture,SOA)软件体系模式,选用目前最为流行的REST API开发工具,利用Arc SDE、Oracle等数据库开发技术建立地震信息上报与服务系统的技术思路和解决方案。介绍了地震信息上... 提出了基于Web GIS的以面向服务架构(Service Oriented Architecture,SOA)软件体系模式,选用目前最为流行的REST API开发工具,利用Arc SDE、Oracle等数据库开发技术建立地震信息上报与服务系统的技术思路和解决方案。介绍了地震信息上报与服务系统的体系结构、地震空间信息的组织及其功能构建等,并且就其实施方案与步骤进行了分析和阐述。结果表明:建立基于地理信息平台的地震信息服务系统,能较好地实现地震监测数据和地震应急数据的统一集成展示,使基于GIS的地震信息服务达到更好的效果。 展开更多

关键词 Web GIS rest api SOA 地震

在线阅读 下载PDF 职称材料

海洋地质大数据信息服务体系建设 被引量：3

14

作者 戴勤奋 魏合龙 +3 位作者 苏国辉 孙记红 刘京鹏 王诏 《海洋地质前沿》 CSCD 2017年第11期67-70,共4页

针对海洋地质信息服务体系建设面临的大数据应用问题,提出了遵循互联网公共协议和OData数据开放协议,利用互联网Web平台及Web开发技术,构建基于REST风格API的轻量级Web服务,以及研究Web交互式数据可视化技术的建议。期望借鉴规范、技术... 针对海洋地质信息服务体系建设面临的大数据应用问题,提出了遵循互联网公共协议和OData数据开放协议,利用互联网Web平台及Web开发技术,构建基于REST风格API的轻量级Web服务,以及研究Web交互式数据可视化技术的建议。期望借鉴规范、技术、应用相辅相成的互联网成功模式,通过以API为核心的应用生态链,逐步推动海洋地质信息资源的开放、共享和互操作。 展开更多

关键词 海洋地质 大数据 rest api OData 交互可视化

在线阅读 下载PDF 职称材料

面向移动平台的Web信息交互模型研究 被引量：3

15

作者 李国庆 李先国 《计算机应用与软件》 CSCD 2011年第1期176-180,共5页

随着移动时代的来临,Web上的信息交互平台开始由浏览器转向移动客户端。信息的可定制化以及可交互性是移动Web应用所面临的问题,通过对整个Web信息的交互过程进行抽象,提出了三层信息交互模型。第一层实现了移动客户端上的通信模块,向... 随着移动时代的来临,Web上的信息交互平台开始由浏览器转向移动客户端。信息的可定制化以及可交互性是移动Web应用所面临的问题,通过对整个Web信息的交互过程进行抽象,提出了三层信息交互模型。第一层实现了移动客户端上的通信模块,向上层提供了标准的HTTP操作接口。第二层调用API与服务器通信,服务器借用RESTFUL API的方式对外提供资源。第三层使用MASHUP方式展现客户端集成的服务。整个模型提供了针对移动平台部署服务、获取服务以及展现服务的快速解决方案。 展开更多

关键词 移动平台 信息交互 restFUL api 移动MASHUP

在线阅读 下载PDF 职称材料