Boofuzz 中的 Request 和 Path 源码分析与使用指南<\/h1>

1. Request 生成策略<\/h2>

1.1 基本概念<\/h3>
在 boofuzz 中，测试用例被称为 Request（数据包），每个 Request 包含多个字段，称为 Primitive（原语）。每个 Primitive 都有自己的生成策略（fuzz 策略）。<\/p>

1.2 生成策略工作机制<\/h3>

问题<\/strong>：当一个 Request 包含多个不同的 Primitive 时，它们的生成策略如何协同工作？<\/p>

示例代码<\/strong>：<\/p>

s_initialize("req1"<\/span>)
<\/span><\/span>s_simple(value=<\/span>"0"<\/span>, fuzz_values=<\/span>["1"<\/span>, "2"<\/span>, "3"<\/span>], name=<\/span>"simple_field1"<\/span>)
<\/span><\/span>s_simple(value=<\/span>"5"<\/span>, fuzz_values=<\/span>["6"<\/span>, "7"<\/span>], name=<\/span>"simple_field2"<\/span>)
<\/span><\/span><\/code><\/pre>1.3 源码分析<\/h3>
Mutation 相关流程<\/h4>


调用链<\/strong>：<\/p>

Session 调用 Request 的 get_mutations<\/code> 函数<\/li>
Request 使用 stack<\/code> 变量存储所有 Block 和 Primitive<\/li>
get_mutations<\/code> 调用 FuzzableBlock<\/code> 中的 mutations<\/code> 函数<\/li>
遍历 stack<\/code> 中的元素并调用它们的 get_mutations<\/code> 函数<\/li>
<\/ul>
<\/li>

关键发现<\/strong>：<\/p>

Fuzzable.get_mutations<\/code> 是一个迭代器，每次迭代返回一个包含单个 Mutation<\/code> 类的列表<\/li>
这表明在一次 Request 生成过程中通常只执行一个 Primitive 的一次生成策略<\/li>
<\/ul>
<\/li>
<\/ol>
分组变异（Group Mutation）<\/h4>

Block 类有 group<\/code> 属性，可以让 Block 和 group 绑定的原语同时进行变异<\/li>
这种情况下 mutations<\/code> 迭代器返回的是 group_mutations + mutations<\/code>（两个 Mutation 列表相加）<\/li>
<\/ul>
组合模糊测试<\/h4>

当调用 session.fuzz()<\/code> 不指定 max_depth<\/code> 参数时，会启用组合模糊测试<\/li>
depth<\/code> 值决定 Request 中进行变异的原语数量

depth=1<\/code>：每次只变异一个原语<\/li>
depth=2<\/code>：每次变异两个原语的组合<\/li>
以此类推<\/li>
<\/ul>
<\/li>
<\/ul>
示例<\/strong>：<\/p>

3 个 Primitive：primitive1, primitive2, primitive3<\/li>
depth=1<\/code>：顺序变异每个原语<\/li>
depth=2<\/code>：变异 primitive1 + primitive2, primitive1 + primitive3 等组合<\/li>
<\/ul>
Render 相关流程<\/h4>

核心函数：Fuzzable.get_value<\/code><\/li>
判断逻辑：

如果原语的 qualified_name<\/code> 在 mutation_context.mutations<\/code> 中，则执行变异策略<\/li>
否则使用原语的默认值<\/li>
<\/ul>
<\/li>
<\/ul>
1.4 结论<\/h3>

通常情况下，一次 Request 生成只执行一个 Primitive 的一次变异策略<\/li>
使用 group<\/code> 属性可以让 Block 和原语同时变异<\/li>
不指定 max_depth<\/code> 时，boofuzz 会进行组合变异，同时变异的原语数量随测试轮数增加<\/li>
<\/ol>
2. Path 管理策略<\/h2>
2.1 基本概念<\/h3>

Path<\/strong>：由多个 Request 构成的调用链（如登录→操作）<\/li>
Node<\/strong>：Path 中的每个 Request 称为一个 Node<\/li>
树结构<\/strong>：多个 Request 可以形成树状调用关系<\/li>
<\/ul>
2.2 示例代码<\/h3>
session.<\/span>connect(s_get("req1"<\/span>))
<\/span><\/span>session.<\/span>connect(s_get("req1"<\/span>), s_get("req2"<\/span>))
<\/span><\/span>session.<\/span>connect(s_get("req2"<\/span>), s_get("req3"<\/span>))
<\/span><\/span>session.<\/span>connect(s_get("req2"<\/span>), s_get("req4"<\/span>))
<\/span><\/span><\/code><\/pre>形成的树结构：<\/p>
root
└── req1
    └── req2
        ├── req3
        └── req4
<\/code><\/pre>
2.3 源码分析<\/h3>


遍历方式<\/strong>：深度优先遍历所有可能的 Path<\/p>

root→req1<\/li>
root→req1→req2<\/li>
root→req1→req2→req3<\/li>
root→req1→req2→req4<\/li>
<\/ul>
<\/li>

Node 分类<\/strong>：<\/p>

fuzz_node<\/strong>：Path 的最后一个 Node，需要进行变异<\/li>
non-fuzznode<\/strong>：其他 Node，直接使用默认值<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 结论<\/h3>

boofuzz 以深度优先方式遍历所有可能的 Path<\/li>
只对 Path 中最后一个 Request（fuzz_node）进行变异<\/li>
前面 Request（non-fuzznode）使用默认值<\/li>
<\/ul>
3. Request 之间的 Callback<\/h2>
3.1 基本概念<\/h3>
回调函数调用顺序：<\/p>
pre_send() - req - callback ... req - callback - post-test-case-callback
<\/code><\/pre>
应用场景<\/strong>：<\/p>

前一个 Request 获取 cookie<\/li>
后一个 Request 使用 cookie 访问需要登录的页面<\/li>
<\/ul>
3.2 源码分析<\/h3>
数据传输函数<\/h4>

transmit_normal<\/code>：发送 non-fuzznode 的 Request<\/li>
transmit_fuzz<\/code>：发送 fuzznode 的 Request<\/li>
callback 函数在前一个 Node 发包之后、后一个 Node 发包之前调用<\/li>
<\/ul>
获取响应数据<\/h4>

session.last_send<\/code>：存储发送的数据<\/li>
session.last_recv<\/code>：存储接收的数据（默认 non-fuzznode 会自动 recv）<\/li>
fuzznode 默认不 recv（因为容易超时且是最后一个节点）<\/li>
<\/ul>
示例代码<\/h4>
def<\/span> test_case_callback<\/span>(target, fuzz_data_logger, session, test_case_context, *<\/span>args, **<\/span>kwargs):
<\/span><\/span>    with<\/span> open("test.txt"<\/span>, "wb"<\/span>) as<\/span> f:
<\/span><\/span>        f.<\/span>write(session.<\/span>last_send)
<\/span><\/span>        f.<\/span>write(session.<\/span>last_recv)
<\/span><\/span><\/code><\/pre>修改后续 Request<\/h4>


直接修改方式<\/strong>：<\/p>
def<\/span> test_case_callback<\/span>(target, fuzz_data_logger, session, test_case_context, *<\/span>args, **<\/span>kwargs):
<\/span><\/span>    test_case_context.<\/span>current_message.<\/span>names["req2.Host-Line-Value"<\/span>].<\/span>_default_value =<\/span> "128.1.1.1"<\/span>
<\/span><\/span><\/code><\/pre><\/li>

优雅方式（推荐）<\/strong>：<\/p>

使用 ProtocolSessionReference<\/code><\/li>
通过 test_case_context.session_variables<\/code> 修改值<\/li>
<\/ul>
<\/li>
<\/ol>
def<\/span> test_case_callback<\/span>(target, fuzz_data_logger, session, test_case_context, *<\/span>args, **<\/span>kwargs):
<\/span><\/span>    test_case_context.<\/span>session_variables["ref_data"<\/span>] =<\/span> "128.1.1.1"<\/span>
<\/span><\/span>
<\/span><\/span>s_static(ProtocolSessionReference(name=<\/span>"ref_data"<\/span>, default_value=<\/span>"127.0.0.1"<\/span>), name=<\/span>"Host-Line-Value"<\/span>)
<\/span><\/span><\/code><\/pre>原理<\/strong>：<\/p>

对于使用 default_value<\/code> 的原语，render 时会检查是否为 ProtocolSessionReference<\/code> 类型<\/li>
如果是，则从 test_case_context.session_variables[name]<\/code> 中取值<\/li>
<\/ul>
3.3 结论<\/h3>

通过 session<\/code> 参数获取上一个 Request 的响应信息<\/li>
通过 test_case_context<\/code> 获取当前 Request<\/li>
通过 test_case_context.session_variables<\/code> 影响使用 default_value<\/code> 的原语<\/li>
<\/ol>
4. 最佳实践指南<\/h2>
4.1 Request 定义<\/h3>
s_initialize("login"<\/span>)
<\/span><\/span>s_string("admin"<\/span>, name=<\/span>"username"<\/span>)
<\/span><\/span>s_string("password123"<\/span>, name=<\/span>"password"<\/span>)
<\/span><\/span>
<\/span><\/span>s_initialize("action"<\/span>)
<\/span><\/span>s_static("GET \/admin\/"<\/span>)
<\/span><\/span>s_static(ProtocolSessionReference(name=<\/span>"auth_token"<\/span>, default_value=<\/span>""<\/span>), name=<\/span>"token"<\/span>)
<\/span><\/span><\/code><\/pre>4.2 Session 配置<\/h3>
session =<\/span> Session(
<\/span><\/span>    target=<\/span>Target(
<\/span><\/span>        connection=<\/span>TCPSocketConnection("127.0.0.1"<\/span>, 8080<\/span>),
<\/span><\/span>    ),
<\/span><\/span>    receive_data_after_each_request=<\/span>True<\/span>
<\/span><\/span>)
<\/span><\/span><\/code><\/pre>4.3 Callback 使用<\/h3>
def<\/span> extract_token<\/span>(target, fuzz_data_logger, session, test_case_context, *<\/span>args, **<\/span>kwargs):
<\/span><\/span>    # 从响应中提取 token<\/span>
<\/span><\/span>    token =<\/span> parse_token(session.<\/span>last_recv)
<\/span><\/span>    test_case_context.<\/span>session_variables["auth_token"<\/span>] =<\/span> token
<\/span><\/span>
<\/span><\/span>session.<\/span>connect(s_get("login"<\/span>))
<\/span><\/span>session.<\/span>connect(s_get("login"<\/span>), s_get("action"<\/span>), callback=<\/span>extract_token)
<\/span><\/span><\/code><\/pre>4.4 变异控制<\/h3>
# 只变异单个字段<\/span>
<\/span><\/span>session.<\/span>fuzz(max_depth=<\/span>1<\/span>)
<\/span><\/span>
<\/span><\/span># 启用组合变异<\/span>
<\/span><\/span>session.<\/span>fuzz()
<\/span><\/span><\/code><\/pre>5. 高级技巧<\/h2>


自定义变异策略<\/strong>：<\/p>

继承 Primitive<\/code> 类实现自定义变异逻辑<\/li>
<\/ul>
<\/li>

条件路径<\/strong>：<\/p>

在 callback 中根据响应决定后续路径<\/li>
<\/ul>
<\/li>

性能优化<\/strong>：<\/p>

对 non-fuzznode 设置 receive_data_after_each_request=False<\/code><\/li>
合理设置 max_depth<\/code> 控制组合爆炸<\/li>
<\/ul>
<\/li>

调试技巧<\/strong>：<\/p>

使用 fuzz_data_logger<\/code> 记录测试信息<\/li>
在 callback 中保存关键请求\/响应数据<\/li>
<\/ul>
<\/li>
<\/ol>

Boofuzz 中的 Request 和 Path 源码分析与使用指南<\/h1>

1. Request 生成策略<\/h2>

1.1 基本概念<\/h3> 在 boofuzz 中，测试用例被称为 Request（数据包），每个 Request 包含多个字段，称为 Primitive（原语）。每个 Primitive 都有自己的生成策略（fuzz 策略）。<\/p>

1.3 源码分析<\/h3>

2. Path 管理策略<\/h2>

3. Request 之间的 Callback<\/h2>

3.2 源码分析<\/h3>

4. 最佳实践指南<\/h2>

1.1 基本概念<\/h3>
在 boofuzz 中，测试用例被称为 Request（数据包），每个 Request 包含多个字段，称为 Primitive（原语）。每个 Primitive 都有自己的生成策略（fuzz 策略）。<\/p>