Le fuzzing et les tests d'intrusions

D'abord le concept de tests d'intrusions sera défini. Ensuite, le fuzzing sera présenté en détails : définitions, méthodologies, avantages et inconvénients, etc. en mettant l'emphase sur le fuzzing dans les tests d'intrusions, et plus spécifiquement les tests d'applications Web. Dans la deuxième partie, nous ferons un survol des différentes utilisations du fuzzing dans les outils de tests d'intrusions les plus populaires et deux cas de fuzzing d'applications Web seront vus en détails. Le premier de ces deux cas concerne les REDoS (Regular Expression Denial of Service). Nous avons développé pour cette présentation un plugin de détection des REDoS qui a été inséré au code de W3AF, un scanneur de vulnérabilités d'applications Web développé par l'OWASP. Le deuxième cas détail les possibilités de fuzzing de Web Services.