Burp Suite 是一款領(lǐng)先的Web應(yīng)用程序安全測(cè)試工具。它被廣泛用于識(shí)別和修復(fù)Web應(yīng)用程序中的漏洞。

隨著 Web 產(chǎn)品組合的多樣化，API 已成為現(xiàn)代 Web 應(yīng)用程序中越來越重要的功能。根據(jù) ESG 的《保護(hù) API 攻擊面》報(bào)告，絕大多數(shù)組織報(bào)告稱，他們現(xiàn)在平均每個(gè)應(yīng)用程序有 26 個(gè) API。

盡管如此，掃描 API 中的漏洞通常很困難，許多組織都依賴于變通方法。這種解決方案最好的情況下很繁瑣且耗時(shí)，最壞的情況下，會(huì)使您的應(yīng)用程序容易受到攻擊，并影響您擴(kuò)展測(cè)試的能力。

Burp Suite 最新版下載

API 是我們目前測(cè)試中最大的缺口。我們做了少量掃描，但如果有 Burp API 掃描就太棒了。Burp Suite企業(yè)版客戶

我們一直在努力解決這一難題，通過增強(qiáng)現(xiàn)有的API 掃描能力以及專為簡(jiǎn)單、可擴(kuò)展的 API 掃描而設(shè)計(jì)的增強(qiáng)內(nèi)置功能來增強(qiáng)這一能力。

• 無需托管定義文件即可測(cè)試漏洞
• 輕松識(shí)別任何可供攻擊者訪問的托管 API
• 測(cè)試更廣泛的 OpenAPI 規(guī)范 (OAS) 端點(diǎn)
• 掃描需要端點(diǎn)身份驗(yàn)證的 API

這些功能現(xiàn)在可供 Burp Suite 企業(yè)版和Burp Suite 專業(yè)版用戶使用。

以前 Burp 中是如何掃描 API 的？

Burp Suite 的用戶已經(jīng)能夠掃描 API 一段時(shí)間了。然而，到目前為止，API 端點(diǎn)已經(jīng)作為更廣泛的 Web 應(yīng)用程序抓取和審計(jì)的一部分進(jìn)行掃描。

首先，對(duì)于滲透測(cè)試人員來說，這種方法意味著您無法在掃描中專門針對(duì) API。隨著 API 組合的增加，這項(xiàng)任務(wù)已從生活質(zhì)量問題變成了有效工作流程的主要障礙。

對(duì)于AppSec 團(tuán)隊(duì)來說，將 API 作為更廣泛的 Web 應(yīng)用程序的一部分進(jìn)行掃描意味著您必須運(yùn)行更徹底、更耗時(shí)的掃描，從而降低擴(kuò)展操作的能力。

當(dāng)我們著眼于現(xiàn)代化 Web 應(yīng)用程序并將所有內(nèi)容都作為 API 時(shí)，所有數(shù)據(jù)都可以通過該 API 訪問。我們正努力在主動(dòng)發(fā)現(xiàn) API 級(jí)漏洞方面加強(qiáng)我們的能力。Burp Suite 企業(yè)版客戶

僅以這種方式掃描 API 已不再適合目的。我們需要一個(gè)內(nèi)置的 API 掃描解決方案。

了解改進(jìn)的 API 掃描功能

我們發(fā)布了 4 個(gè) API 掃描功能，允許 Burp 用戶掃描他們的 API 以及他們的 Web 應(yīng)用程序，也可以單獨(dú)掃描。這些功能可以在 Burp Suite Professional 和 Burp Suite Enterprise Edition 中訪問：

1. 無需托管定義文件即可測(cè)試漏洞

現(xiàn)在，您可以將 OAS 定義文件直接上傳到 Burp Suite。此更新使用戶可以選擇是否要提供現(xiàn)有 URL，或?qū)⑽募苯由蟼鞯?Burp。這意味著更快、更輕松的掃描，并且可以輕松擴(kuò)展。

2. 輕松識(shí)別任何可供攻擊者訪問的托管 API

Burp 現(xiàn)在會(huì)檢查您是否留下了任何可能被攻擊者訪問的托管 OAS 定義。這有助于標(biāo)記任何潛在的安全威脅 - 尤其是當(dāng)您不再需要通過自己托管 API 來掃描 API 時(shí)。

3. 測(cè)試更廣泛的 OpenAPI 規(guī)范 (OAS) 端點(diǎn)

在抓取 API 時(shí)，您現(xiàn)在可以包含 HTTP 標(biāo)頭，從而可以掃描更廣泛的 OAS 端點(diǎn)。掃描更全面。識(shí)別出更多漏洞。

4. 掃描需要端點(diǎn)身份驗(yàn)證的 API

最后，對(duì)于 Burp Suite 企業(yè)版用戶，您現(xiàn)在可以掃描需要身份驗(yàn)證的 API。以前，爬蟲程序被拒絕進(jìn)入經(jīng)過身份驗(yàn)證的端點(diǎn)，但此更新允許掃描程序繞過一些身份驗(yàn)證點(diǎn)，而無需暫停掃描。

Burp Suite 中的 API 掃描下一步是什么？

Burp Suite Professional 和 Burp Suite Enterprise Edition 的用戶現(xiàn)在可以使用上述所有四個(gè)功能。

Burp Suite 企業(yè)版

端點(diǎn)配置

上傳 API 定義后，Burp Suite 很快就能解析文件并為您顯示端點(diǎn)。然后，您將能夠搜索端點(diǎn)，并取消選中您不想包含在掃描中的端點(diǎn)。

這將有助于排除破壞性端點(diǎn)，并提供批量包含和排除特定方法的能力 - 例如發(fā)布或刪除。

批量上傳 API 定義文件

在端點(diǎn)配置之后，下一次更新將允許用戶通過 URL 或定義文件上傳批量導(dǎo)入 API 目標(biāo)。此更新將減少一次導(dǎo)入一個(gè) API 的負(fù)載，從而節(jié)省大量時(shí)間 - 尤其是在引入 API 時(shí)。

 以上邊是關(guān)于使用 Burp Suite 解鎖增強(qiáng)的 API 掃描的相關(guān)介紹，免費(fèi)試用，歡迎咨詢?cè)诰€客服了解喲~

如果您有任何問題需了解詳情，請(qǐng)聯(lián)系