WEB使用含糊测验（WEB Fuzz）是一种特别方式的网络协议含糊测验，专门重视遵从HTTP标准的网络数据包。
WEB Fuzz并不是新的概念，现在有多种WEB使用含糊测验器（WEB Fuzzer），比方SPIKE Proxy、SPI Fuzzer、besTORM，以及浸透人员喜欢的Burp Suite。
在Fuzz恳求完成后，方针使用发回来的呼应供给了Fuzz恳求所形成影响的各种头绪。假如发现了反常，就可以确认于反常相关的恳求。下面总结了一些呼应信息，这些呼应信息或许指示缝隙条件的存在：
HTML状况码
呼应中的过错信息
呼应中包括的用户输入
功用下降
恳求超时
WEB Fuzzer过错信息
处理或许未处理的反常
下面别离具体展开讨论：
HTML状况码
HTML状况码是一种重要信息，它供给了快速判别对应的恳求是成功仍是失利的指示。因而，WEB Fuzzer解析原始呼应，得到状况码，然后在一个显现呼应具体信息的列表中将其独自展现出来。经过THML状况码信息，用户可以快速确认需求进一步具体查看的呼应部分。
呼应中的过错信息
从规划上来说，WEB服务器一般都会在动态生成的网页中包括过错信息。假如一个WEB服务器在出产环节中发动不妥，启用了调试功用，就会发作这种情 况。以下是一个典型的透露了太懂信息的比方：当验证过错时，WEB使用给出的过错信息是“暗码不正确”而不是“用户或暗码不正确”。假如进犯者企图经过暴 力办法强行破解某个WEB使用的登陆密页面，“暗码不正确”的过错音讯就会告知进犯者输入的用户名存在，仅仅暗码不正确。这使得不知道参数有两个（用户名和 暗码）削减为一个（暗码），极大地增加了进犯者进入体系的或许。在辨认SQL注入进犯时，使用的过错信息相同特别有用。
呼应中包括的用户输入
假如动态生成的WEB页面包括用户输入的数据，就有或许发作XSS缝隙。WEB使用的规划者应当过滤用户的输入，以保证不会发作这类进犯。但 是，WEB使用没有进行核实的过滤是个常见的问题。因而，假如在HTML呼应信息中找到了WEB Fuzzer供给的数据，那就外表应当测验使用中的XSS缝隙。
功用下降
虽然经过其表现方式（直接的使用溃散），咱们很简单辨认DoS进犯，但DoS缝隙则奇妙得多。功用下降一般标明使用或许易于收到Dos进犯。恳求超时是一种发现功用下降的办法，但是在Fuzz的过程中，还应当使用血能监督器查看问题，如过高的CPU使用率或内存使用率。
恳求超时
参考上一条，不能忽视恳求超时，由于它们或许标明存在暂时或许永久的Dos条件。
WEB Fuzzer过错信息
WEB Fuzzer有它子的过错处理方式，当某些特定函数履行失利时，它会弹出过错信息。例如，假如方针服务器由于前一个Fuzz恳求而线下，WEB Fuzzer或许会给出一个过错信息，标明无法链接到方针服务器。这意味着或许发作了DoS进犯。
处理或未被处理的反常
当对WEB使用进行Fuzz时，或许会在使用自身以及它运转的服务器上都发现缝隙。因而，监督服务器多的状况也很重要。虽然WEB服务器回来的呼应 信息为咱们供给了发现潜在缝隙的信息，但它们并没有提醒悉数问题。假如输入稍加改变，Fuzz恳求极或许会导致处理或未被处理的反常，然后导致可被使用的 条件。因而，在Fuzz过程中，主张在方针WEB服务器上衔接一个独自的调试器，这样就可以辨认这些反常，比方FileFuzz和COMRaider，都 带有内置的调试功用。WEB Fuzzer并不需求调试功用呢，由于WEB Fuzzer不需求重复地发动和间断一个使用。咱们的办法是向某个Web使用发送一系列的fuzz恳求，服务器会继续运转并相应这些恳求，并阻挠导致 Dos的输入。