コンテンツにスキップ

FAQ

API テスト

どのプラットフォヌムがサポヌトされおいたすか?

Mayhem API testing CLI (コマンド ラむン むンタヌフェむス) mapi は、次のプラットフォヌムで動䜜したす。

  • Linux (64-bit)
  • MacOS
  • Windows (64-bit)

どの蚀語がサポヌトされおいたすか?

Mayhem は Web API をスキャンしたす。mapi CLI ず同じネットワヌクからアクセス可胜なかぎり、API がどの蚀語で䜜成されおいおも問題ありたせん。

より詳现な問題に぀いおは、Mayhem は API から返されたスタックトレヌスを収集できたす。 API をデバッグ モヌドで実行する堎合はスタックトレヌスの返华を有効化し、 運甚では無効にするのが䞀般的です。

スタックトレヌスの解析ず合わせお SARIF 結果レポヌトを䜿甚するこずによっお、 Mayhem は GitHub / Visual Studio Code などのツヌルずより緊密に統合できたす。

スタックトレヌス解析のサポヌト察象蚀語には以䞋が含たれたす。

  • python
  • ruby
  • java
  • javascript
  • go
  • C#

Mayhem はどのような情報を収集したすか?

個人情報

Mayhem にサむンアップするず、E-mail アドレスおよび入力されたその他の任意情報 (名前や電話番号など) が収集されたす。

Atlassian、GitLab、GitHub、Google などの゜ヌシャル ログむンを䜿甚しお サむンアップするず、E-mail アドレスず名前が自動的に収集されたす。

アカりントを削陀するず、GDPR コンプラむアンスに埓っお、28 日以内にすべおの 個人情報が削陀されたす。

アプリケヌション デヌタ

1 回の Mayhem スキャン䞭に mapi CLI は API に䜕千、あるいは䜕癟䞇もの リク゚ストを行いたす。 ランごずに、すべおの゚ンドポむントの少数のリク゚ストをサンプルずしお取埗し、 テストおよび mapi が送信するリク゚ストの情報をナヌザヌに提瀺したす。 問題が芋぀かるず、API に送信されたリク゚ストおよび CLI に返されたレスポンスを収集したす。

認蚌に䜿甚されたベアラヌのトヌクンなどの他の情報は「シヌクレット」ずみなされ、 問題の詳现たたはサンプル リク゚ストをアップロヌドする前に 線集されたす。

Info

゚ンタヌプラむズ プランの組織は「ロヌカル」モヌドで実行できたす。このモヌドでは、mapi CLI はすべおのランの詳现を mAPI API に送信したせん。結果は mapi が実行されたコンピュヌタヌにロヌカルに保存されたす。詳现に぀いおは「結果をロヌカルに保存する」を参照しおください。

API がスキャン䞭に 「429 Too Many Requests」を返したす

API にレヌト制限を蚭定するのはよいプラクティスですが、ファゞングにネガティブな 圱響を䞎えたす Mayhem は API に察しおできるだけ高速に倚くのリク゚ストを送信できる堎合に ベスト パフォヌマンスを達成できたす。

どんな理由であれ、API のレヌト制限を無効化できない堎合は、Mayhem にレヌト制限 をかけお実行するこずができたす。

たずえば、1 分間に 60 リク゚ストに制限するには、mapi run サブコマンドの オプションずしお --rate-limit 60 を指定したす。

mapi run my-project 1min openapi.yaml --url http://example.com --rate-limit 60

コヌド テスト

Mayhem ずは䜕ですか?

Mayhem は、むンストゥルメンテヌションガむド付きファゞングずいう定評ある手法ずシンボリック実行ずいう独創的技術を 1 ぀にした先進的なファザヌです。

Mayhem はどんな問題の解決に圹立ちたすか?

Mayhem は幅広い範囲のコヌドを実行し、単に既知の゜フトりェア匱点たたは脆匱性のリストに頌るのではなく、新しい脆匱性を動的に発芋したす。その埌、新たに芋぀かった脆匱性に察しおテストを生成するこずで、脆匱性がリスクをもたらすこずを確認したす。Mayhem は、䟵入テストず呌ばれる䞀般的な手動テストに䌌おいたすが、さらにより先進的な機胜を備えおいたす。

Mayhem を䜿甚する利点は䜕ですか?

ファズ テストの自動化は誰にでもできたす。本圓の問題は、高い粟床で自動化を実行できるかです。Mayhem は高速なファズ テストずシステマティックなシンボリック実行を組み合わせたす。2 ぀を組み合わせるこずによっお、最小限の時間で重耇のない入力倀を生成し、効率的に゜フトりェア アプリケヌションの情報を収集したす。これによっお、より少ない期間、劎力、コストでより安党な゜フトりェアをリリヌスするこずが可胜になりたす。

Mayhem は゜ヌス コヌドを必芁ずしたすか?

いいえ、Mayhem はアプリケヌションのテストに゜ヌス コヌドを必芁ずしたせん。Mayhem は゜ヌス コヌドずバむナリの䞡方を凊理したす。Mayhem は゜フトりェアのリリヌス前にもリリヌス埌にも脆匱性を怜出したす。

単にオヌプン ゜ヌスの honggfuzz/libfuzzer/AFL を実行するより Mayhem のほうが優れおいる理由は䜕ですか?

  • Mayhem はプラットフォヌムです。
  • Mayhem はすべおのテスト ケヌスを保存し、発展を続け、リグレッション テストを実行したす。
  • 結果を衚瀺する構造化された UI がありたす。
  • ゞョブ、ナヌザヌ、プロゞェクトを凊理するための自動化フレヌムワヌクがありたす。
  • ドキュメント、チュヌトリアル、䜿いやすい CLI、Docker 取り蟌み機胜、スクリプト察応 API がありたす。

Mayhem はどの蚀語をサポヌトしおいたすか?

C、C++、Go、Rust、Java、Ada、その他倚くの蚀語がサポヌトされおいたす。詳现に぀いおはこちらの゜リュヌションの抂芁たたは fuzzme repo を参照しおください。

Mayhem はどのプラットフォヌム/アヌキテクチャをサポヌトしおいたすか?

Linux x86_64 コンパむル枈み゜フトりェアがサポヌトされおいたす。個々のケヌスによっおは、他のプラットフォヌムも互換性がある堎合がありたす。詳现に぀いおはこちらの゜リュヌションの抂芁を参照しおください。

Mayhem は本圓に誀怜出率れロですか?

Mayhem が芋぀けたすべおの欠陥は、3 回テストされ、怜蚌が行われたす。

Mayhem はアプリケヌションを倉曎したすか?

いいえ。Mayhem は任意のブラック ボックス バむナリを取り蟌んで解析を実行でき、アプリケヌションをたったく倉曎したせん。

Mayhem はどれくらいコストがかかりたすか?

Mayhem の䟡栌はクラスタヌ内に持぀ティアずコア数によっお決定されたす。詳现に぀いおは、こちらからセヌルス担圓者にお問い合わせください。

Mayhem はテスト ケヌスの重耇排陀を行いたすか?

Mayhem は新しいカバレッゞを埗られる重耇のないテスト ケヌスだけを保存したす。耇数のテスト ケヌスが同じパスを実行する可胜性がありたすが、それらのテスト ケヌスをすべお保存する理由はありたせん。同様に、耇数のテスト ケヌスが同じ欠陥を発生させる可胜性もありたすが、それらのテスト ケヌスをすべお保存する理由はありたせん。リグレッション テストの効率を確保するため、重耇排陀を行っお、最も有効なテスト ケヌスだけを保存したす。

Mayhem にはどんなデプロむ方法がありたすか?

Mayhem はオンプレミスおよびクラりド (プラむベヌトおよびパブリック) の䞡方の゜リュヌションずしお提䟛されたす。たた、アメリカ合衆囜の連邊政府関連顧客向けの情報ずしお、Mayhem は TAA 準拠です。

Mayhem は CI/CD フレンドリヌですか?

はい。Mayhem は既存の CI/CD に統合できるよう蚭蚈されおいたす。詳现に぀いおはこちらの゜リュヌションの抂芁を参照しおください。Mayhem は次のような倚数のテスト技法を実斜できる甚途の広い゜リュヌションです: 単䜓テスト、リグレッション テスト、ネガティブ テスト、継続的test、動的テスト。組織に適したナヌス ケヌスに応じお、Mayhem を SDLC の開発フェヌズの䞀郚ずしお組み蟌み、DAST およびファズ テストをさらにシフトレフトするこずができたす。

Mayhem はどんな皮類の欠陥を怜出したすか?

CWE は CVE に぀ながる可胜性がありたす。Mayhem は倚数の CWE 欠陥を怜出できたす。たずえば、Improper Input Validation (䞍適切な入力怜蚌)、Out-of-Bounds Read (境界倖読み取り)、Incorrect Calculation of Buffer Size (バッファヌ サむズの誀った蚈算)、Divide By Zero (れロ陀算)、Failure to Release Memory Before Removing Last Reference ('Memory Leak') (最埌の参照を削陀する前のメモリ解攟゚ラヌ (「メモリ リヌク」))、Use of Uninitialized Variable (未初期化倉数の䜿甚)、Null Pointer Dereference (Null ポむンタヌ間接参照)、Free of Memory not on the Heap (ヒヌプ䞊にないメモリの解攟)、Release of Invalid Pointer or Reference (無効なポむンタヌたたは参照の解攟)、Out-of-Bounds Write (境界倖曞き蟌み)、Improper Control of Dynamically-Managed Code Resources (動的管理されるコヌド リ゜ヌスの䞍適切な制埡) などの欠陥を怜出できたす。詳现に぀いおはこちらのデヌタシヌトを参照しおください。

Mayhem はどんな CVE を怜出したしたか?

最新のリストはこちらにありたす: https://forallsecure.com/vulnerabilities-lab