REST API自动化测试综述

REST API已经成为访问和使用云服务、Web、移动应用程序的重要途径,如何对这些API进行自动化测试以保证服务的安全性和可靠性是亟待解决的问题。目前虽然关于REST API自动化测试的研究成果众多,但仍缺少对测试技术全面的分析和总结。梳理了该领域近10年的代表性成果,首先总结了REST API自动化测试的发展历程;然后结合REST API自动化测试特征,提炼了测试的通用流程;接着分别从预处理、测试用例生成、测试用例执行与监测、结果分析四个环节阐述现有成果的技术特征,对比分析其优缺点;最后论述当前研究存在的不足,讨论可能的解决思路,展望了下一步研究方向。

基于API潜在语义的勒索软件早期检测方法

加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(Dynamic Link Library,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(Initial Phase of Operation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(Ransomware Early Detection Method based on API Latent Semantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(Term Frequency-Inverse Document Frequency)算法以及潜在语义分析(Latent Semantic Analysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.

基于地图API的城市地质调查信息平台

城市地质调查信息的有效处理是地质调查工作的重要环节。文章基于WebGIS技术,借助地图API,结合Vue前端框架搭建了一款轻量级的城市地质调查信息平台,实现了地质数据的有效管理,提高了平台信息的交互效果,在保证数据信息安全性的同时,满足了用户的功能需求,为城市地质调查工作信息化建设提供了一定参考。

企业API网关热插拔插件的设计与实现

为了解决微服务架构下传统API网关扩展能力弱、无法热更新等问题,对API网关扩展性进行研究分析,引入热插拔机制来实现企业API网关热插拔插件,同时,提出了一种企业API网关热插拔插件解决方案。实验结果表明,所提出的API网关的热插拔插件方案在支持网关插件热更新的同时不会对API网关的整体性能造成影响,也不会对业务功能的稳定性造成影响。目前,企业API网关已经在几十家大型企业得到应用,提供了身份鉴权、限流限速、协议转换、请求改写等30余种热插拔插件。通过企业API网关彻底解决了原有API网关无法热更新、热部署、难扩展等问题,减少了40%的重复开发工作,节省了30%运维成本,为企业API网关的进一步发展和应用提供了有益的参考,也为构建高效、安全、可扩展的企业API网关提供了新的思路。

RESTlogic: Detecting Logic Vulnerabilities in Cloud REST APIs

logical testing model and resource lifecycle information,generate test cases and complete parameters,and alleviate inconsistency issues through parameter inference.Once again,we propose a method of analyzing test results using joint state codes and call stack information,which compensates for the shortcomings of traditional analysis methods.We will apply our method to testing REST services,including OpenStack,an open source cloud operating platform for experimental evaluation.We have found a series of inconsistencies,known vulnerabilities,and new unknown logical defects.

Further Studies of the Cap Pushing Response in Honey Bees (Apis mellifera)

The Cap Pushing Response (CPR) is a free-flying technique used to study learning and memory in honey bees (Apis mellifera). The series of experiments outlined in this paper aimed to test whether honey bees exhibit the cognitive concept of “expectancy” utilizing the CPR in a weight differentiation paradigm. Five previous experiments in our laboratory have explored whether the concept of expectancy can account for honey bee performance and have all failed to support the cognitive interpretation. The first experiment examined if bees could differentiate between the two caps in the amount of force they used to push the cap and the distance the cap was pushed when the caps were presented one at a time. The second experiment explored cap weight preference by presenting bees with a choice between the two caps. The third and fourth experiments tested the bee’s ability to expect reward or punishment based on cap weight. Results revealed that bees were found to have a strong preference for the light cap and therefore were not able to expect reward or punishment based on cap weight. These experiments contribute to the debate on whether bees have “cognitive” representations and continue to support the behaviorist interpretation.

基于地图API技术的道路拥堵点交通运行状态分析

以东阳市老城区为例,提出应用地图API技术进行道路拥堵点交通运行状态分析的一般流程。首先,按照一定时间间隔分别截取研究范围的实时路况地图,根据路况颜色和持续时间识别道路拥堵点;其次,将研究范围划分成一定数量的网格,利用地图API技术批量获取各网格中心至拥堵点的预估通行时间,评估当前时刻下拥堵点的可达性;最后,获取堵点周边道路各时段的平均行程速度,评估道路运行状态的时间变化特征。通过地图API进行道路堵点识别和运行状态分析,能够大大减少研究者的前期工作量,为后续研究分析提供相对准确的基础数据。

基于百度API的轨道站点步行可达范围识别方法

针对传统确定轨道站点步行可达范围的方法存在数据获取困难和适用性局限的问题,文章提出了一种基于路径规划应用程序编程接口(API)确定轨道站点步行可达范围的方法。文章设置轨道站点最大缓冲区,以轨道站点为中心按固定间距布置点阵,直至布满整个缓冲区;构建以轨道站点为起点,点阵为终点的出行路径,并生成每条路径的网页链接,通过Python访问网页链接从而批量获取出行时间数据,将出行时间赋予点阵;可视化分析轨道站点步行可达范围。此方法数据开源,时效性较强,适用范围广,能批量操作,可为轨道站点步行可达范围的确定提供一定的参考。

基于地图API的公共绿地可达性分析

公共绿地的可达性是评价绿色基础设施配置合理性的重要指标,能直观表征市民获取、享受绿地的便捷程度与机会。在可达性分析中引入地图API服务,基于轻量级路线规划服务结合ArcGIS构建等时圈来表征可达性,能够提高分析的直观度与精度;同时以人口密度表征片区内居民对公共绿地的需求程度,通过双变量空间自相关分析反映公共绿地供给与需求之间的匹配程度,提高评价的全面性。基于构建的可达性分析模型,以上海黄浦区淮海中路街道为例进行了实证分析,研究得出淮海中路街道绿地资源配置存在不合理性,在研究范围西南部分形成了较大面积服务盲区。同时绿地资源在空间布局上相对集中,供大过需、供小于需的供需不匹配现象明显。未来片区内公共绿地建设应以居民需求为指引,注重小尺度公共绿地的增量建设,并对利用率较低的附属绿地或公共空间进行存量提质优化。

建设API网关对广电的必要性

【目的】随着媒体数字化的发展趋势,广电领域在数字化转型过程中面临的安全挑战,本文强调了建设API网关在应对这些挑战中的必要性,从促进系统集成、提升业务效率、增强系统安全性等方面进行详细分析,旨在为广电领域的数字化转型提供有价值的参考。【方法】首先建立API网关系统,其次建立采用标准化的多种协议和数据格式,让其多种系统对此标准能够达到完美适配,最终扩容系统可无缝衔接,减少定制化对接成本。【结果】API网关允许不同的软件系统之间进行通信和交互,统筹采用标准化的协议和格式以及自定义,以确保不同系统之间的兼容性,在广电领域中,API被广泛应用各种设备和应用程序之间的数据传输和共享,通过广电API,开发人员可以轻松地集成不同的服务和应用,实现数据的快速交换和处理。【结论】本文主要探讨了媒体深度融合的必要性,提出以内容建设为根本、先进技术为支撑、创新管理为保障的全媒体传播体系。此外,还提到了建立融媒中心,并引入API网关系统来实现不同平台、不同业务、不同设备之间的互通互联。媒体深度融合是未来的趋势,通过技术和管理上的创新,建立全媒体传播体系和融媒中心,可以更好地适应时代的发展和满足用户的需求。

微服务架构下API网关属性授权策略研究

随着微服务架构的普及,API网关作为连接前端与后端服务的关键中间层,承担着访问控制、身份验证等多项安全职责。为了解决在网关层面对响应数据进行细粒度访问控制的问题,设计一种支持属性授权的API网关架构,并提出一种基于流式解析的属性授权控制策略。在网关启动阶段构建基于抽象语法树的路径匹配器,在运行阶段渐进式解析请求响应。实验证明,该方法相比现有方式未明显提升CPU负载,在内存占用和响应时间方面均有明显优势。

基于百度地图API的学校可达性研究

本文基于百度地图API调用开放的网络数据,从供需角度测算西安市三环内主城区的学校可达性及学校与住宅的供需匹配情况,并通过最短时间距离法测算学校的空间可达性,用因子空间叠置法测算学校可达性与小区兴趣点(POI)数据的供需匹配程度。研究结果表明,西安市三环内主城区内的学校总体可达性较高,小学的整体可达性优于中学。从街道尺度看,小区与学校的空间可达性由一环向二、三环逐渐下降,一环内学校可达性最优,三环内学校可达性水平较高;从环线尺度看,二环内小区的整体可达性较佳,步行用时也较短,到达距离最近的学校可达性大于97%,二、三环内到达距离最近学校的小区大于58%,绝大多数高需求地区均具备相对较高的学校可达性。

电子政务外网中服务应用API安全防护体系的设计研究

随着政务信息化、数字化转型深入,越来越多的部门业务已经部署在政务云上,特别是类似“苏服码”这种采用API的方式对外提供服务的应用数量和流量均呈现爆发性的增长。由于传统的电子政务外网安全建设并没有过多地针对API的攻击行为进行设计和防御,API安全防护能力方面相对薄弱,因此API安全风险已经成为当前电子政务外网服务应用安全和数据安全面临的主要风险之一,有针对性地提升各类服务应用的API安全防护能力已经势在必行。该文基于各部门服务应用情况和电子政务外网有关架构,提出设计一种新型的API安全防护体系,基于事前、事中、事后三个阶段,端到端地保护电子政务外网中的API安全,通过体系化、规范化的API安全体系建设,可以更加有效地基于API的全生命周期完善API安全的防护能力。

API接口测试方法总结与综述

本文旨在论述API接口测试方法和经验总结,并分析当前在软件开发领域中广泛应用的API接口测试方法。通过对现有文献的参考,归纳总结不同类型的API接口测试方法,分析它们的优势和局限性,为软件测试从业人员提供一个综合性的API接口测试方法和测试实践的参考指南,以促进测试效率和质量的提升。随着互联网和移动应用的普及,软件系统之间的集成变得越来越常见。许多应用程序和服务依赖于外部API接口来获取数据,进行操作或者实现一些特定功能。因此,确保API接口的正确性和稳定性对于应用程序的正常运行至关重要。

API安全防护探析

应用程序接口(Application Programming Interface,API)技术是一种预定义可编程接口技术,即通过在软件或线上服务中预先定义协议及接口,实现与其他软件组件的通信与交互。近年来,API技术以其模块化、可重用、可扩展的优势,迅速成为应用软件中广泛使用的核心技术之一。App、小程序、网络通信、数据交换等场景都会使用API相关技术;在日常生活中,无论是网络购物或者金融交易,也都会涉及对API接口的访问。

功能互补关系增强的云API推荐方法

当前云API推荐方法主要采用相似性计算或者利用Mashup的历史调用来生成推荐结果,忽略了Mashup与云API之间有益的功能互补关系。针对上述问题,提出一种基于功能互补关系增强的云API推荐方法。首先,利用标签共现对功能互补关系进行刻画。然后,计算功能互补得分来刻画云API和Mashup之间的功能互补程度,学习功能互补向量来刻画云API和Mashup之间的潜在功能互补关系。在此基础上,将功能互补得分和功能互补向量嵌入云API推荐模型中,使功能互补关系在推荐云API的过程中起到关键性的作用。在真实世界云API数据集上进行实验,所提方法在稀疏场景下的AUC、F1、HR@5指标上平均提升了2.32%、1.86%、9.15%,最终验证了所提方法可以在提高云API推荐结果准确性的同时,提升对长尾云API的推荐性能。

面向云原生的API攻击诱捕技术研究

应用程序接口(API)作为连接服务和传输数据的核心通道,在蕴含巨大价值的背后也隐藏着不可忽视的安全风险,其作为互联网上最重要的信息基础设施已成为攻击者的主要攻击目标。为弥补现有API安全方案针对API广泛攻击面无法进行充分保护的短板问题,重点关注云原生API安全问题。基于主动诱捕思想,提出了一种面向云原生的API攻击诱捕框架,针对不同的云服务层次特点构造了相应的API诱饵及高交互诱捕环境。其中,在容器编排层(平台层),围绕云组件Kubernetes及Docker的脆弱点构造了3个API诱饵;在应用层,选取危害性较大且利用频率较高的API漏洞构造了15个API诱饵。同时,针对应用层API诱饵物理资源需求较高的问题,提出了一种基于当前网络流量的动态调度算法,在充分利用物理资源的同时最大化捕获效果。基于诱捕框架实现了原型系统并在真实环境中部署应用,系统最终捕获到1270个独立互联网协议(IP)地址以及4146个请求。实验结果表明,提出的API攻击诱捕技术可有效发现云原生环境下的API攻击行为。

医院网络环境中API接口的安全性问题与对策探讨

应用程序编程接口(API)是现代通信的关键节点,目前医院网络环境中多使用API接口进行应用与服务交互,而其安全性问题也日益凸显。安全防护水平关乎医疗数据的信息安全,文章结合OWASP公布的十大API接口安全漏洞,分析医院中API接口存在的安全隐患和漏洞风险,逐一阐述相应的解决方案,以期提高医院网络环境安全水平。

基于上下文感知并面向多样性的API推荐

软件开发者在开发过程遇到应用程序编程接口(application programming interface,API)使用问题时,通常希望能够得到有效的API使用模式建议,从而帮助其学习和使用.传统的API推荐方法会挖掘和学习代码库中API的使用知识,然后给开发者推荐与上下文相关的API.然而由于上下文信息表征不够充分,以及推荐列表中冗余项和同质化内容的出现影响了推荐性能.针对这一问题,构建项目和方法与API的API层次调用图(API hierarchy call graph,AHCG)模型以更好地表达API上下文关系,充分利用API结构信息和语义信息来减少冗余项和降低同质化内容被推荐的可能性,进而提出基于上下文感知并面向多样性的API推荐(context-aware based API recommendation with diversity,CAPIRD)方法.该方法中引入相关性度量和关联性度量,最大限度地保留相关结果,同时平衡已选API与候选API的关联性,以尽可能挖掘到合理的初选API列表.最后结合最大边缘相关算法,在标准模式数据集上学习相关性和关联性的最佳权重组合,并进行多样性重排推荐.在2210个项目构成的3类数据集上进行实验并验证推荐性能,实验结果表明,CAPIRD在基于上下文的API推荐场景下能够有效提高推荐性能.在所有数据集的API推荐中,平均精度(mean average precision,MAP)指标平均提升值约9%,在Top-1的推荐中,成功率(success rate)指标平均提升约13%.

主流网络地图应用开发API技术研究

使用网络地图API,开发者可以非常方便的调用在线地图中的资源,实现各种各样的地图第三方应用。介绍了几种国内主流网络地图API技术,列出开发者选用网络地图API应考虑的因素,并对其进行了比较。为用户了解网络地图API,选择合适的地图服务提供依据。