おもろしろかったけど、何かクオリティが低い。参照URLがtinyurlだったり、やたらブッシュ大統領をバカにしてたり、参考文献がWikipediaだったりと、もうちょっと何かあっただろう、という気がする。
それはともかくファジングという概念はおもしろい。海の底に潜む脆弱性を検出することはできないけれど、浅いところにある脆弱性を熊が魚を捕る如く力づくで見付ける、ということらしい。
ただファジングに使うデータを生成するための、メタファイルの書き方がちょっと気にくわない。

fuzz_string("GET");
string(" /");
fuzz_string("index.html");
string(" HTTP/1.1");
hex(0d 0a);

これじゃあ、メタデータじゃなくて単なる生成スクリプトじゃないか。もっと宣言的に書きたいなぁ。

あと、なんとなくRushCheckを思いだした。RushCheckはRushCheck+RSpec紹介(PDF)でしか知らないんだけど。