論文の概要: WuppieFuzz: Coverage-Guided, Stateful REST API Fuzzing
- arxiv url: http://arxiv.org/abs/2512.15554v1
- Date: Wed, 17 Dec 2025 16:05:39 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-18 17:06:27.053404
- Title: WuppieFuzz: Coverage-Guided, Stateful REST API Fuzzing
- Title(参考訳): WuppieFuzz: カバーガイド付き、ステートフルなREST APIファズ
- Authors: Thomas Rooijakkers, Anne Nijsten, Cristian Daniele, Erieke Weitenberg, Ringo Groenewegen, Arthur Melissen,
- Abstract要約: WuppieFuzzは、LibAFL上に構築されたオープンソースのREST APIファザである。
ホワイトボックス、グレイボックス、ブラックボックスファジングをサポートしている。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Many business processes currently depend on web services, often using REST APIs for communication. REST APIs expose web service functionality through endpoints, allowing easy client interaction over the Internet. To reduce the security risk resulting from exposed endpoints, thorough testing is desired. Due to the generally vast number of endpoints, automated testing techniques, like fuzzing, are of interest. This paper introduces WuppieFuzz, an open-source REST API fuzzer built on LibAFL, supporting white-box, grey-box and black-box fuzzing. Using an OpenAPI specification, it can generate an initial input corpus consisting of sequences of requests. These are mutated with REST-specific and LibAFL-provided mutators to explore different code paths in the software under test. Guided by the measured coverage, WuppieFuzz then selects which request sequences to send next to reach complex states in the software under test. In this process, it automates harness creation to reduce manual efforts often required in fuzzing. Different kinds of reporting are provided by the fuzzer to help fixing bugs. We evaluated our tool on the Petstore API to assess the robustness of the white-box approach and the effectiveness of different power schedules. We further monitored endpoint and code coverage over time to measure the efficacy of the approach.
- Abstract(参考訳): 多くのビジネスプロセスはWebサービスに依存しており、しばしば通信にREST APIを使用します。
REST APIはエンドポイントを通じてWebサービス機能を公開し、インターネット上のクライアントとのやりとりを容易にします。
公開エンドポイントによるセキュリティリスクを低減するために、徹底的なテストが望まれている。
一般的に多数のエンドポイントがあるため、ファジングのような自動テスト技術が興味を引いている。
本稿では、LibAFL上に構築されたオープンソースのREST APIファザであるWuppieFuzzを紹介し、ホワイトボックス、グレイボックス、ブラックボックスファザをサポートする。
OpenAPI仕様を使用することで、リクエストのシーケンスからなる初期入力コーパスを生成することができる。
これらはREST固有のミュータとLibAFLが提供するミュータで変更され、テスト中のソフトウェアのさまざまなコードパスを探索する。
測定されたカバレッジによってガイドされたWuppieFuzzは、テスト中のソフトウェアの複雑な状態に到達するために、次に送信するリクエストシーケンスを選択する。
このプロセスでは、ファジィングに必要な手作業を減らすために、ハーネス作成を自動化する。
バグの修正を支援するために、さまざまな種類のレポートがファザーによって提供される。
我々は,Petstore API上でのツールの評価を行い,ホワイトボックスアプローチの堅牢性と,異なるパワースケジュールの有効性を評価した。
さらにエンドポイントとコードカバレッジを監視して,アプローチの有効性を測定しました。
関連論文リスト
- Test Amplification for REST APIs via Single and Multi-Agent LLM Systems [1.6499388997661122]
既存のREST APIテストスイートを増幅するために,単一エージェントとマルチエージェントのセットアップである大規模言語モデル(LLM)システムについて検討する。
本稿では, テストカバレッジ, バグ検出の有効性, 計算コストやエネルギー使用量など, 様々な側面における2つのアプローチの比較検討を行う。
論文 参考訳(メタデータ) (2025-04-10T20:19:50Z) - LlamaRestTest: Effective REST API Testing with Small Language Models [50.058600784556816]
LlamaRestTestは、2つのLLM(Large Language Models)を使って現実的なテストインプットを生成する新しいアプローチである。
私たちは、GPTを使った仕様強化ツールであるRESTGPTなど、最先端のREST APIテストツールに対して、これを評価しています。
私たちの研究は、REST APIテストにおいて、小さな言語モデルは、大きな言語モデルと同様に、あるいは、より良く機能することができることを示しています。
論文 参考訳(メタデータ) (2025-01-15T05:51:20Z) - Your Fix Is My Exploit: Enabling Comprehensive DL Library API Fuzzing with Large Language Models [49.214291813478695]
AIアプリケーションで広く使用されているディープラーニング(DL)ライブラリは、オーバーフローやバッファフリーエラーなどの脆弱性を含むことが多い。
従来のファジィングはDLライブラリの複雑さとAPIの多様性に悩まされている。
DLライブラリのためのLLM駆動ファジィ手法であるDFUZZを提案する。
論文 参考訳(メタデータ) (2025-01-08T07:07:22Z) - A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスツールであるAutoRestTestを紹介します。
このアプローチでは、REST APIテストを分離可能な問題として扱い、4人のエージェントがAPI探索を最適化するために協力します。
12の現実世界のRESTサービス上でのAutoRestTestの評価は、主要な4つのブラックボックスREST APIテストツールよりも優れています。
論文 参考訳(メタデータ) (2024-11-11T16:20:27Z) - DeepREST: Automated Test Case Generation for REST APIs Exploiting Deep Reinforcement Learning [5.756036843502232]
本稿では、REST APIを自動テストするための新しいブラックボックスアプローチであるDeepRESTを紹介します。
深い強化学習を活用して、暗黙のAPI制約、すなわちAPIドキュメントから隠された制約を明らかにする。
実験により,提案手法は高いテストカバレッジと故障検出を実現する上で極めて有効であることが示唆された。
論文 参考訳(メタデータ) (2024-08-16T08:03:55Z) - FuzzTheREST: An Intelligent Automated Black-box RESTful API Fuzzer [0.0]
この作業では、脆弱性検出にReinforcement Learning(RL)を使用しているファジィテストツールのブラックボックスAPIを導入している。
このツールは6つのユニークな脆弱性を発見し、55%のコードカバレッジを達成した。
論文 参考訳(メタデータ) (2024-07-19T14:43:35Z) - Adaptive REST API Testing with Reinforcement Learning [54.68542517176757]
現在のテストツールは効率的な探索機構がなく、全ての操作とパラメータを等しく扱う。
現在のツールは、仕様にレスポンススキーマがない場合や、変種を示す場合に苦労している。
我々は、強化学習を取り入れた適応型REST APIテスト手法を提案し、探索中の操作を優先順位付けする。
論文 参考訳(メタデータ) (2023-09-08T20:27:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。