Burp Suite 是一款领先的Web应用程序安全测试工具。它被广泛用于识别和修复Web应用程序中的漏洞。
随着 Web 产品组合的多样化,API 已成为现代 Web 应用程序中越来越重要的功能。根据 ESG 的《保护 API 攻击面》报告,绝大多数组织报告称,他们现在平均每个应用程序有 26 个 API。
尽管如此,扫描 API 中的漏洞通常很困难,许多组织都依赖于变通方法。这种解决方案最好的情况下很繁琐且耗时,最坏的情况下,会使您的应用程序容易受到攻击,并影响您扩展测试的能力。
Burp Suite 咨询下载
https://work.weixin.qq.com/ca/cawcde843d00f8661d
API 是我们目前测试中最大的缺口。我们做了少量扫描,但如果有 Burp API 扫描就太棒了。Burp Suite企业版客户
我们一直在努力解决这一难题,通过增强现有的API 扫描能力以及专为简单、可扩展的 API 扫描而设计的增强内置功能来增强这一能力。
我们改进的 API 扫描功能允许用户:
- 无需托管定义文件即可测试漏洞
- 轻松识别任何可供攻击者访问的托管 API
- 测试更广泛的 OpenAPI 规范 (OAS) 端点
- 扫描需要端点身份验证的 API
这些功能现在可供 Burp Suite 企业版和Burp Suite 专业版用户使用。
以前 Burp 中是如何扫描 API 的?
Burp Suite 的用户已经能够扫描 API 一段时间了。然而,到目前为止,API 端点已经作为更广泛的 Web 应用程序抓取和审计的一部分进行扫描。
然而,这种方法也带来了一些挑战。
首先,对于渗透测试人员来说,这种方法意味着您无法在扫描中专门针对 API。随着 API 组合的增加,这项任务已从生活质量问题变成了有效工作流程的主要障碍。
对于AppSec 团队来说,将 API 作为更广泛的 Web 应用程序的一部分进行扫描意味着您必须运行更彻底、更耗时的扫描,从而降低扩展操作的能力。
当我们着眼于现代化 Web 应用程序并将所有内容都作为 API 时,所有数据都可以通过该 API 访问。我们正努力在主动发现 API 级漏洞方面加强我们的能力。Burp Suite 企业版客户
仅以这种方式扫描 API 已不再适合目的。我们需要一个内置的 API 扫描解决方案。
了解改进的 API 扫描功能
我们发布了 4 个 API 扫描功能,允许 Burp 用户扫描他们的 API 以及他们的 Web 应用程序,也可以单独扫描。这些功能可以在 Burp Suite Professional 和 Burp Suite Enterprise Edition 中访问:
1. 无需托管定义文件即可测试漏洞
现在,您可以将 OAS 定义文件直接上传到 Burp Suite。此更新使用户可以选择是否要提供现有 URL,或将文件直接上传到 Burp。这意味着更快、更轻松的扫描,并且可以轻松扩展。
2. 轻松识别任何可供攻击者访问的托管 API
Burp 现在会检查您是否留下了任何可能被攻击者访问的托管 OAS 定义。这有助于标记任何潜在的安全威胁 - 尤其是当您不再需要通过自己托管 API 来扫描 API 时。
3. 测试更广泛的 OpenAPI 规范 (OAS) 端点
在抓取 API 时,您现在可以包含 HTTP 标头,从而可以扫描更广泛的 OAS 端点。扫描更全面。识别出更多漏洞。
4. 扫描需要端点身份验证的 API
最后,对于 Burp Suite 企业版用户,您现在可以扫描需要身份验证的 API。以前,爬虫程序被拒绝进入经过身份验证的端点,但此更新允许扫描程序绕过一些身份验证点,而无需暂停扫描。
Burp Suite 中的 API 扫描下一步是什么?
Burp Suite Professional 和 Burp Suite Enterprise Edition 的用户现在可以使用上述所有四个功能。
我们还计划进行以下关键更新,这些更新将构成 API 扫描功能的下一个版本:
Burp Suite 企业版
端点配置
上传 API 定义后,Burp Suite 很快就能解析文件并为您显示端点。然后,您将能够搜索端点,并取消选中您不想包含在扫描中的端点。
这将有助于排除破坏性端点,并提供批量包含和排除特定方法的能力 - 例如发布或删除。
批量上传 API 定义文件
在端点配置之后,下一次更新将允许用户通过 URL 或定义文件上传批量导入 API 目标。此更新将减少一次导入一个 API 的负载,从而节省大量时间 - 尤其是在引入 API 时。
1128
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
