彩票走势图

使用 Burp Suite 解锁增强的 API 扫描

翻译|行业资讯|编辑:胡涛|2024-08-07 11:30:28.817|阅读 8 次

概述:随着 Web 产品组合的多样化,API 已成为现代 Web 应用程序中越来越重要的功能。根据 ESG 的《保护 API 攻击面》报告,绝大多数组织报告称,他们现在平均每个应用程序有 26 个 API。

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

Burp Suite 是一款领先的Web应用程序安全测试工具。它被广泛用于识别和修复Web应用程序中的漏洞。

随着 Web 产品组合的多样化,API 已成为现代 Web 应用程序中越来越重要的功能。根据 ESG 的《保护 API 攻击面》报告,绝大多数组织报告称,他们现在平均每个应用程序有 26 个 API。

尽管如此,扫描 API 中的漏洞通常很困难,许多组织都依赖于变通方法。这种解决方案最好的情况下很繁琐且耗时,最坏的情况下,会使您的应用程序容易受到攻击,并影响您扩展测试的能力。

Burp Suite 最新版下载

API 是我们目前测试中最大的缺口。我们做了少量扫描,但如果有 Burp API 扫描就太棒了。Burp Suite企业版客户

我们一直在努力解决这一难题,通过增强现有的API 扫描能力以及专为简单、可扩展的 API 扫描而设计的增强内置功能来增强这一能力。

我们改进的 API 扫描功能允许用户:
  • 无需托管定义文件即可测试漏洞
  • 轻松识别任何可供攻击者访问的托管 API
  • 测试更广泛的 OpenAPI 规范 (OAS) 端点
  • 扫描需要端点身份验证的 API

这些功能现在可供 Burp Suite 企业版和Burp Suite 专业版用户使用。

以前 Burp 中是如何扫描 API 的?

Burp Suite 的用户已经能够扫描 API 一段时间了。然而,到目前为止,API 端点已经作为更广泛的 Web 应用程序抓取和审计的一部分进行扫描。

然而,这种方法也带来了一些挑战。

首先,对于渗透测试人员来说,这种方法意味着您无法在扫描中专门针对 API。随着 API 组合的增加,这项任务已从生活质量问题变成了有效工作流程的主要障碍。

对于AppSec 团队来说,将 API 作为更广泛的 Web 应用程序的一部分进行扫描意味着您必须运行更彻底、更耗时的扫描,从而降低扩展操作的能力。

当我们着眼于现代化 Web 应用程序并将所有内容都作为 API 时,所有数据都可以通过该 API 访问。我们正努力在主动发现 API 级漏洞方面加强我们的能力。Burp Suite 企业版客户

仅以这种方式扫描 API 已不再适合目的。我们需要一个内置的 API 扫描解决方案。

了解改进的 API 扫描功能

我们发布了 4 个 API 扫描功能,允许 Burp 用户扫描他们的 API 以及他们的 Web 应用程序,也可以单独扫描。这些功能可以在 Burp Suite Professional 和 Burp Suite Enterprise Edition 中访问:

1. 无需托管定义文件即可测试漏洞

现在,您可以将 OAS 定义文件直接上传到 Burp Suite。此更新使用户可以选择是否要提供现有 URL,或将文件直接上传到 Burp。这意味着更快、更轻松的扫描,并且可以轻松扩展。

2. 轻松识别任何可供攻击者访问的托管 API

Burp 现在会检查您是否留下了任何可能被攻击者访问的托管 OAS 定义。这有助于标记任何潜在的安全威胁 - 尤其是当您不再需要通过自己托管 API 来扫描 API 时。

3. 测试更广泛的 OpenAPI 规范 (OAS) 端点

在抓取 API 时,您现在可以包含 HTTP 标头,从而可以扫描更广泛的 OAS 端点。扫描更全面。识别出更多漏洞。

4. 扫描需要端点身份验证的 API

最后,对于 Burp Suite 企业版用户,您现在可以扫描需要身份验证的 API。以前,爬虫程序被拒绝进入经过身份验证的端点,但此更新允许扫描程序绕过一些身份验证点,而无需暂停扫描。

Burp Suite 中的 API 扫描下一步是什么?

Burp Suite Professional 和 Burp Suite Enterprise Edition 的用户现在可以使用上述所有四个功能。

我们还计划进行以下关键更新,这些更新将构成 API 扫描功能的下一个版本:

Burp Suite 企业版

端点配置

上传 API 定义后,Burp Suite 很快就能解析文件并为您显示端点。然后,您将能够搜索端点,并取消选中您不想包含在扫描中的端点。


这将有助于排除破坏性端点,并提供批量包含和排除特定方法的能力 - 例如发布或删除。

批量上传 API 定义文件

在端点配置之后,下一次更新将允许用户通过 URL 或定义文件上传批量导入 API 目标。此更新将减少一次导入一个 API 的负载,从而节省大量时间 - 尤其是在引入 API 时。

以上边是关于使用 Burp Suite 解锁增强的 API 扫描的相关介绍,免费试用,欢迎咨询在线客服了解哟~


如果您有任何问题需了解详情,请联系


标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP