コンテンツにスキップ

概要

API テストを始めましょう。学ぶことは多くありますが、どんな旅でもまず始めなければなりません。このチュートリアルを通して、以下を行う方法を説明します。

  1. Linux、macOS、Windows に API テスト コマンドライン クライアントをインストールする
  2. CLI を使用して最初の API をテストする
  3. 進捗をモニターする

Mayhem はどのように API をテストするか

Mayhem はファジング手法の総力を API テストに活用し、REST API を自動でテストできます。Mayhem は API 仕様をガイドとして、任意の REST API に合わせた正確で有益なテスト カバレッジを提供します。

Mayhem はファジング エンジンによって幅広い入力値のスイートを自動生成し、アプリケーションの API 基盤の機能および堅牢性のテストに使用します。ファジング技術を使用して入力値を生成し、アプリケーションからのレスポンスを観察することで、多数のテスト ケースをすばやく繰り返し、API の機能やセキュリティの弱点を検出できます。

API テストに Mayhem を使用するべき理由

現在のビジネス運営にとって、Web API がますます重要になっていることは公然の事実です。多くの新規製品およびサービスのビジネス モデルは、課金や ID プロバイダーなどの API を基盤として構築されています。信頼は API にとって必須の要件になっています。一貫して高い品質で稼働し続ける API は信頼を獲得し、障害が発生する API からは顧客が離れていきます。Mayhem は、以下のようにさまざまな面で API への信頼を構築するのに役立ちます。

  • レジリエンス - Mayhem は、やっかいな 500 Internal Server Error レスポンスやサーバーのクラッシュをクライアントが発見する前に自動的に発見するのに優れています。
  • セキュリティ - Mayhem は、拡張が続けられるセキュリティ チェッカーのリストを使用して、サーバー サイド リクエスト フォージェリ (SSRF) や SQL インジェクションなどの問題を発見できます。
  • 品質 - Mayhem は、API から返されるすべてのレスポンスと仕様を突き合わせて検証し、フィールドが不足している、あるいはレスポンス コードが誤っているなど、仕様と矛盾するエンドポイントを識別します。API と仕様の同期を維持することで、API のコンシューマーがー予期しない動作に不意打ちされることがないよう保証できます。
  • パフォーマンス - ランのたびに各エンドポイントの遅延時間の統計が記録され、どのエンドポイントのパフォーマンスが他と異なる、あるいは低下しているかを明確に示します。

Mayhem の Web サイトには、curl または mapi CLI を使用して問題を再現できるよう、再現手順が示されています。

reproduce-curl

Mayhem は既存の自動テストの代わりになるものではありません。既存のテストを補完するものです。ファジングを援用することで、Mayhem は手動でテストを作成する場合の先入観や退屈な作業なしに既存のテストの盲点を識別します。

全自動

API ファザーのセット アップは簡単です。tutorial.forallsecure.com でアカウントをサイン アップしたら、あとは mapi CLI をダウンロードし、OpenAPIPostman Collection などの互換性のある仕様を使用して API のテストを始めるだけです。

Web UI

フィードバック

私たちはすばらしいエクスペリエンスを提供したいと考えています。何かご提案がある、あるいは問題に遭遇したときは、Discord または E-mail support@forallsecure.com でご連絡ください。喜んでお手伝いいたします。