Fuzzing pour développement web

Le fuzzing (ou test à données aléatoires) est une technique pour injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger.

Quelques programmes pour tester :

• FFUF : https://github.com/ffuf/ffuf
• WFuzz : https://wfuzz.readthedocs.io/en/latest/
• https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files

FFUF prend en entrées des listes de mots à lui fournir et ne fait pas de test aléatoires tout seul.

Ressources doc sur FFUF

• https://codingo.io/tools/ffuf/bounty/2020/09/17/everything-you-need-to-know-about-ffuf.html
• https://latesthackingnews.com/2019/12/08/ffuf-fuzz-faster-u-fool-an-open-source-fast-web-fuzzing-tool/

En compléments à FFUF :
Pour récupérer des listes de mots / user /passwords :

• https://github.com/danielmiessler/SecLists
• https://github.com/danielmiessler/SecLists/tree/master/Fuzzing

Et le générateur mentionné de temps en temps : radamsa

• https://gitlab.com/akihe/radamsa