随着国内外移动应用程序开发模式逐渐从原生App扩展到Hybrid App,App的业务服务系统复杂度也在不断地上升。如今,大多数的移动端App都是通过REST接口来访问业务服务器的。开发人员往往按照正常业务逻辑实现接口功能和服务器处理逻辑,而忽略了对异常逻辑及输入的检查。REST接口和服务器的安全性和健壮性问题常常会导致App线上事故频发,影响用户体验,甚至造成巨大经济损失。有效地保障此类业务服务器的健壮性和安全性,是开发人员和测试人员需要重点关注的问题。模糊测试作为一种通过输入非常规数据影响内部程序执行的测试技术,被广泛应用于接口测试中。当前虽然有许多模糊测试工具和框架,但对于移动端接口测试,它们大多存在着需要进行大量人工预定义配置或是提供接口规范文档、缺少真实接口参数数据支持、没有较为精细化的模糊测试选择策略等问题,在效率及准确性上仍有缺陷。本文设计并实现了一种数据流驱动的、细粒度的、可扩展的、类型感知的移动端REST接口模糊测试工具REST-Fuzzer。REST-Fuzzer能自动化地获取移动应用程序的网络流量数据进行REST业务接口的区分和筛选,REST-Fuzzer中的基于Lattice model的REST接口参数预判模型能通过分析目标业务接口的多次调用,得到预判参数类型,生成参数级别的模糊方案,对模糊测试范围进行有效剪枝。主要贡献和创新点如下:·提供了一套完整的、数据流驱动的、细粒度的、可扩展的、类型感知的移动端REST接口模糊测试流程,不需人工提供接口定义文档,能够真实地应用于不同类别的移动应用程序,有效地发现移动应用程序业务服务器的健壮性和安全性问题。·基于真实业务场景提出了一种引入反序列化重建机制的移动应用程序网络流量REST接口筛选方法,筛选出具有结构化参数、能够较好地反映出系统之间逻辑关系、更可能触发应用程序缺陷的REST业务接口,为后续模糊测试提供细粒度的接口对象。·基于程序分析的Lattice model设计了一种细粒度的REST接口参数预判模型,并且基于该模型设计了一套参数变异模糊策略。利用该模型对接口参数进行类型预判,能生成参数级别的模糊方案,对模糊范围进行有效剪枝。为了验证REST-Fuzzer作为REST接口模糊测试工具的有效性和性能,本文将REST-Fuzzer应用于25个真实应用市场下载量百万级以上的购物、生活、新闻等不同类别的App进行评估测试,评估测试结果表明:REST-Fuzzer能普遍适用于25个移动应用程序。其中,有效检测到5个移动应用程序的业务服务器漏洞。利用三种不同类型的接口对REST-Fuzzer、商用工具Burp Suite、开源工具Fuzzapi进行了对比实验,实验结果证明REST-Fuzzer能在模糊测试用例平均减少85%,模糊测试时间平均缩短80%的情况下,发现同样甚至是更多的移动应用程序业务服务器的漏洞。