🎲 API Fuzzing与模糊测试

📌 一句话概括

API Fuzzing通过向API端点发送大量异常/随机/边界输入来发现预期之外的行为——核心思想是"输入各种不合规的数据，看系统会不会崩或泄露信息"。

💡 Fuzzing策略

① 输入类型

• 边界值：空值、超长字符串、负整数、特殊字符
• 格式错误：非法的JSON/XML、错误的Content-Type
• 协议异常：HTTP方法篡改（PUT改DELETE）、Header注入
• 编码攻击：Unicode编码绕过、双重编码、Null字节注入

② 银行API测试重点

• 金额字段：负数、零、超长、小数位过多
• 日期字段：过去/未来、格式错误、2月30日
• ID字段：不存在ID、超长ID、SQL注入payload

🔍 测试实战

1. REST API Fuzzing

操作：使用工具批量发送变异payload到API端点

工具：ffuf、wfuzz、Burp Suite Intruder

2. JSON Schema验证测试

操作：发送缺少必填字段、类型错误、额外字段的请求体

⚠️ 常见坑点

1. Fuzzing可能导致服务宕机——先在测试环境执行
2. 只看HTTP状态码不看响应体——500错误背后的信息泄露同样重要
3. 忽略业务语义校验——数字格式正确但业务逻辑非法（如转账金额超过余额）

📖 延伸阅读

• ffuf - Web Fuzzer
• Burp Intruder