Un outil puissant et extensible de fuzzing API écrit en Go, conçu pour détecter automatiquement des vulnérabilités (XSS, LFI, RCE, IDOR...) sur vos endpoints.
- Supporte plusieurs méthodes HTTP (GET, POST, PUT, etc.)
- Injection intelligente de payloads dans les paramètres d'URL, les headers, ou le corps JSON
- Reconnaissance automatique des endpoints et sous-domaines avec intégration de plusieurs outils :
subfinderpour la découverte des sous-domainesgau(Get All URLs)waybackurlsParamSpidergetJSpour extraire automatiquement les endpoints depuis les fichiers JavaScript
- Fuzzing multi-threads pour une rapidité optimale
- Support des encodages variés (plain, url, base64...)
- Personnalisation complète via wordlists, headers, cookies, authentification
- Facile à intégrer dans une pipeline CI/CD
- Sortie claire et détaillée pour faciliter l’analyse
Vous devez avoir Go installé (>=1.18) et les outils suivants pour la reconnaissance (optionnels mais recommandés) :
- subfinder — découverte des sous-domaines
- gau — récupération d’URLs archivées
- waybackurls — récupération d’URLs issues de la Wayback Machine
- ParamSpider — extraction de paramètres d’URL
- getJS — extraction automatique des endpoints dans les fichiers JavaScript
Clonez le repo :
git clone https://github.com/tonpseudo/api-fuzzer.git
cd api-fuzzer
go build -o api-fuzzer