Burp Suite 是一款領(lǐng)先的Web應(yīng)用程序安全測試工具。它被廣泛用于識別和修復(fù)Web應(yīng)用程序中的漏洞。

隨著 Web 產(chǎn)品組合的多樣化，API 已成為現(xiàn)代 Web 應(yīng)用程序中越來越重要的功能。根據(jù) ESG 的《保護 API 攻擊面》報告，絕大多數(shù)組織報告稱，他們現(xiàn)在平均每個應(yīng)用程序有 26 個 API。

盡管如此，掃描 API 中的漏洞通常很困難，許多組織都依賴于變通方法。這種解決方案最好的情況下很繁瑣且耗時，最壞的情況下，會使您的應(yīng)用程序容易受到攻擊，并影響您擴展測試的能力。

Burp Suite 最新版下載

API 是我們目前測試中最大的缺口。我們做了少量掃描，但如果有 Burp API 掃描就太棒了。Burp Suite企業(yè)版客戶

我們一直在努力解決這一難題，通過增強現(xiàn)有的API 掃描能力以及專為簡單、可擴展的 API 掃描而設(shè)計的增強內(nèi)置功能來增強這一能力。

• 無需托管定義文件即可測試漏洞
• 輕松識別任何可供攻擊者訪問的托管 API
• 測試更廣泛的 OpenAPI 規(guī)范 (OAS) 端點
• 掃描需要端點身份驗證的 API

這些功能現(xiàn)在可供 Burp Suite 企業(yè)版和Burp Suite 專業(yè)版用戶使用。

以前 Burp 中是如何掃描 API 的？

Burp Suite 的用戶已經(jīng)能夠掃描 API 一段時間了。然而，到目前為止，API 端點已經(jīng)作為更廣泛的 Web 應(yīng)用程序抓取和審計的一部分進行掃描。

首先，對于滲透測試人員來說，這種方法意味著您無法在掃描中專門針對 API。隨著 API 組合的增加，這項任務(wù)已從生活質(zhì)量問題變成了有效工作流程的主要障礙。

對于AppSec 團隊來說，將 API 作為更廣泛的 Web 應(yīng)用程序的一部分進行掃描意味著您必須運行更徹底、更耗時的掃描，從而降低擴展操作的能力。

當我們著眼于現(xiàn)代化 Web 應(yīng)用程序并將所有內(nèi)容都作為 API 時，所有數(shù)據(jù)都可以通過該 API 訪問。我們正努力在主動發(fā)現(xiàn) API 級漏洞方面加強我們的能力。Burp Suite 企業(yè)版客戶

僅以這種方式掃描 API 已不再適合目的。我們需要一個內(nèi)置的 API 掃描解決方案。

了解改進的 API 掃描功能

我們發(fā)布了 4 個 API 掃描功能，允許 Burp 用戶掃描他們的 API 以及他們的 Web 應(yīng)用程序，也可以單獨掃描。這些功能可以在 Burp Suite Professional 和 Burp Suite Enterprise Edition 中訪問：

1. 無需托管定義文件即可測試漏洞

現(xiàn)在，您可以將 OAS 定義文件直接上傳到 Burp Suite。此更新使用戶可以選擇是否要提供現(xiàn)有 URL，或?qū)⑽募苯由蟼鞯?Burp。這意味著更快、更輕松的掃描，并且可以輕松擴展。

2. 輕松識別任何可供攻擊者訪問的托管 API

Burp 現(xiàn)在會檢查您是否留下了任何可能被攻擊者訪問的托管 OAS 定義。這有助于標記任何潛在的安全威脅 - 尤其是當您不再需要通過自己托管 API 來掃描 API 時。

3. 測試更廣泛的 OpenAPI 規(guī)范 (OAS) 端點

在抓取 API 時，您現(xiàn)在可以包含 HTTP 標頭，從而可以掃描更廣泛的 OAS 端點。掃描更全面。識別出更多漏洞。

4. 掃描需要端點身份驗證的 API

最后，對于 Burp Suite 企業(yè)版用戶，您現(xiàn)在可以掃描需要身份驗證的 API。以前，爬蟲程序被拒絕進入經(jīng)過身份驗證的端點，但此更新允許掃描程序繞過一些身份驗證點，而無需暫停掃描。

Burp Suite 中的 API 掃描下一步是什么？

Burp Suite Professional 和 Burp Suite Enterprise Edition 的用戶現(xiàn)在可以使用上述所有四個功能。

Burp Suite 企業(yè)版

端點配置

上傳 API 定義后，Burp Suite 很快就能解析文件并為您顯示端點。然后，您將能夠搜索端點，并取消選中您不想包含在掃描中的端點。

這將有助于排除破壞性端點，并提供批量包含和排除特定方法的能力 - 例如發(fā)布或刪除。

批量上傳 API 定義文件

在端點配置之后，下一次更新將允許用戶通過 URL 或定義文件上傳批量導(dǎo)入 API 目標。此更新將減少一次導(dǎo)入一個 API 的負載，從而節(jié)省大量時間 - 尤其是在引入 API 時。

 以上邊是關(guān)于使用 Burp Suite 解鎖增強的 API 掃描的相關(guān)介紹，免費試用，歡迎咨詢在線客服了解喲~

如果您有任何問題需了解詳情，請聯(lián)系