Efektivní fuzz testování webových služeb

Abstract

V tejto práci predstavíme inteligentný generatívny black-box fuzzer, ktorý využíva OpenAPI špecifikáciu na odhalenie zraniteľností webových služieb. Jedným z hlavných prínosov fuzzera je podpora minimalizácie vstupov, ktoré spôsobujú chyby v programoch. Vďaka minimalizácií je jednoduché najsť chybu, ktorá zapríčinila problémové správanie programu. Fuzzer bol testovaný na niekoľkých relevantných webových službách, ako napríklad Kubernetes, Hashicorp Vault či Gitea, v ktorých našiel mnoho chýb. Z porovnania s inými najmodernejšími fuzzermi sme zistili, že openapi-fuzzer nájde viac chýb za kratší čas akoiné fuzzery. Dalšou funkcionalitou openapi-fuzzera je analýza výkonu na detekciu endpointov náchylných na útoky DOS.

This thesis proposes a novel approach to web service fuzzing that utilizes the OpenAPI Specification. The proposed smart black-box generation-based fuzzer, named openapi-fuzzer, generates and minimizes random payloads to detect vulnerabilities in web services. It is able to minimize the bug-triggering payload to its canonical form. Thanks to this minimization, it is trivial to detect the root cause of an underlying bug. To evaluate its performance, openapi-fuzzer was tested on multiple relevant web services, including Kubernetes, Hashicorp Vault, and Gitea, where it identified several bugs. The results demonstrate that openapi-fuzzer outperforms other state-of-the-art web service fuzzers in terms of the number of bugs found and running time. Furthermore, openapi-fuzzer conducts a performance analysis to identify endpoints that are susceptible to Denial of Service attacks. By providing developers with detailed statistics, openapi-fuzzer helps them identify and fix performance issues in their web services.