JavaScript是一种基于原型的动态弱类型脚本语言。作为弱类型语言,JavaScript程序中不能指定每个变量的类型,其执行器——JavaScript引擎在执行到相应的语句时才能对变量的类型进行判断。由此,许多在强类型语言中可以规避的类型异常都可能被隐藏,难以发现问题所在。在对JavaScript引擎进行测试时,如何高效地产生代码覆盖率高的测试用例,并且更快地发现其隐含的缺陷,这些问题都亟待解决。因此,本文提出了一种基于类型推断的JavaScript引擎模糊测试方法。具体研究内容如下:(1)为了避免测试用例中位置靠前的代码存在异常导致程序过早退出执行,提高代码覆盖率和原始语料的利用率,将原始语料库中的代码拆分为JavaScript中的函数,称为预备测试用例。(2)为了有效地调用这些函数,并进一步提升预备测试用例的代码覆盖率,本文提出了一种参数类型推断方法。首先对函数的每个参数遍历函数体,统计每种数据类型的类型推断因子数,统计得分最高的数据类型即推定为该参数的数据类型。然后据此生成实际参数和函数的调用表达式,即得到了具有高代码覆盖率且能高效触发JavaScript引擎崩溃缺陷的测试用例。最后根据类型推断结果,对测试用例进行具有引导性的精确变异,提高了通过满足边界条件进一步提升代码覆盖率和触发更多JavaScript引擎缺陷的可能。(3)为了验证上述方法的有效性,本文实现了原型系统JSTIFuzz,并使用该原型系统进行了参数类型推断效果评估实验、代码覆盖率提升效果评估实验和模糊测试效果评估实验。实验结果表明,使用JSTIFuzz对函数的参数进行类型推断,最高比随机传参的类型精确率高10.8倍。并且JSTIFuzz能使测试用例的代码覆盖率最高提升30.33%,使JavaScript引擎的代码覆盖率最高提升8.81%.在以同等的原始语料库作为输入,并在相同的时间及环境下,JSTIFuzz可以在测试集上比其他模糊测试工具触发JavaScript引擎更多的崩溃缺陷。最后,在针对各JavaScript引擎最新版本进行的为期100个小时的模糊测试中,本文发现并提交了Rhino、Jerry Script、Quick JS和Hermes等4个JavaScript引擎的崩溃缺陷共6个,其中有2个已被确认。