随着“万物互联”的概念逐渐深入人心,物联网相关技术也逐渐应用于人们日常生活中,物联网技术的实现与应用大多以嵌入式设备作为主要载体,而设备的安全性研究也是近年来重要的研究方向。模糊测试技术是一种自动化漏洞挖掘方法,因具有高效性已经成为应用最为广泛的方法之一。将模糊测试技术用于嵌入式设备的安全性测试,是目前网络安全领域重要的研究方向之一,对于保护用户、企业的隐私安全具有重要现实意义。本文将嵌入式设备作为研究对象,把模糊测试技术作为主要研究方法,以嵌入式设备的Web接口作为模糊测试入口,研究针对嵌入式设备的模糊测试方法,主要工作如下:提出了一种基于自适应变异的嵌入式设备XSS漏洞模糊测试方法,并根据此方法设计并实现了原型系统。针对目前缺少有效的嵌入式设备XSS漏洞检测方法、嵌入式设备测试用例生成质量较低、模糊测试种子变异缺乏自适应性导致测试效率降低等问题,本方法首先通过嵌入式设备Web接口自动化生成测试用例,并使用“攻击探子”预先探测,确定种子变异方向,增强种子自适应性,拓展测试空间,提高模糊测试的质量和效率。实验表明,原型系统与主流协议模糊测试工具Boofuzz、Web漏洞扫描工具Wfuzz对比,能够发现实验对象中9个位置的7个已知XSS漏洞,并在检测效率方面比Boofuzz提高了约10%、比Wfuzz提高约5%。提出了一种基于动态插桩反馈的嵌入式设备模糊测试方法,并根据此方法实现了原型系统。嵌入式设备的模糊测试若没有一定的先验知识,测试用例可能无法到达固件程序更深层的代码逻辑,并且现有针对嵌入式设备的模糊测试方法大多以黑盒测试为主,不能准确的定位可能存在的漏洞位置。为了解决以上问题,本文提出了一种以嵌入式设备Web接口为入口,通过动态插桩反馈指导测试进程的模糊测试方法。本方法首先构建先验知识库,将测试用例结合固件程序的先验知识发送至嵌入式设备,根据动态插桩的反馈信息,调整模糊测试策略,进而提高模糊测试质效。通过与协议模糊测试工具Boofuzz以及Web漏洞扫描工具Xray进行实验对比,本文的原型系统在模糊测试效率上对比Boofuzz提升了约40%,基本块覆盖率提高了约30%,并在QNAP NAS中挖掘到1个未公开命令执行漏洞。