Sto testando un'API e un parametro è vulnerabile all'iniezione SQL. Quando eseguo il fuzzer di OWASP ZAP su questo parametro, l'input "; o 1 = 1" risulta in un exploit di successo dell'iniezione SQL. Tuttavia, fornire manualmente questo input genera un codice di errore Oracle e l'exploit non ha esito positivo.
È quindi il caso che i fuzzer possano portare a exploit di successo per determinati input che il test manuale non può? Sto cercando di capire di più sui fuzzer e mi sembra che i fuzzer possano generare determinate condizioni che il test manuale non può generare. È corretto? Se sì, perché?