Con cada nueva versión de Burp Suite Professional, incorporamos los últimos hallazgos de la investigación para asegurarnos de que pueda detectar las vulnerabilidades más rápido. Siempre recomendamos actualizar a la última versión para aprovechar al máximo el producto y nuestra investigación innovadora. El producto ha avanzado a pasos agigantados desde la versión 1.7 y Burp Suite 2.0, que se lanzó en 2018. Esta publicación de blog cubre las siguientes adiciones recientes a Burp Suite Professional , todas las cuales se introdujeron en 2020:
- Escaneo impulsado por navegador.
- Secuencias de inicio de sesión grabadas.
- Escaneo de vulnerabilidades de API .
- Mejoras en los mensajes HTTP.
- Comprobaciones de vulnerabilidad de envenenamiento de caché.
- Soporte HTTP / 2.
Estas son algunas de las últimas y mejores características que nuestros clientes están utilizando para aumentar la productividad, agilidad y confiabilidad de las pruebas de penetración :
Escaneo con navegador
Burp Scanner se encuentra en el corazón de Burp Suite y está probado, probado y confiado por más de 51k usuarios. Burp Scanner continuó su larga tradición de innovación este año, con la incorporación del escaneo basado en navegador .
Burp Scanner ahora puede usar un navegador Chromium integrado y preconfigurado para rastrear y auditar sitios. Esto le permite renderizar aplicaciones completamente, «viendo» el contenido exactamente como lo haría un usuario. Debido a esto, Burp Suite ahora puede rastrear aplicaciones que hacen un uso intensivo de JavaScript. Este es realmente un gran paso adelante, tanto para los escáneres de vulnerabilidades automatizados como para la industria en general.
Detrás de todas nuestras innovaciones se encuentra una considerable investigación y experiencia. Hemos invertido una gran cantidad de tiempo en hacer que el escaneo basado en el navegador sea confiable, y este es un proceso continuo. El escaneo impulsado por el navegador es fundamental para una serie de mejoras de Burp Scanner, incluidos los inicios de sesión registrados, y en el futuro, permitirá mejoras adicionales en la cobertura para aplicaciones web de una sola página.
Secuencias de inicio de sesión grabadas
Una limitación conocida, y dolorosa, de muchas pruebas automatizadas es la incapacidad de autenticarse para las aplicaciones web de destino para escanear debido a que tienen secuencias de inicio de sesión complejas. Hemos lanzado una nueva funcionalidad para ayudar a abordar este desafío para los usuarios de Burp Suite Professional.
Ahora puede grabar secuencias de inicio de sesión utilizando un complemento de navegador dedicado . Esta información se puede pasar a Burp Suite, lo que le da acceso a su aplicación y permite que Burp Scanner busque vulnerabilidades. Una vez resuelto el problema de las secuencias de inicio de sesión complejas, puede automatizar aún más el escaneo, lo que le ahorra tiempo para concentrarse en las pruebas de penetración manual profundas.
Escaneo de vulnerabilidades de API
Las API representan una enorme superficie de ataque para muchas organizaciones. Okta ha citado previamente a Gartner al predecir que para 2022, los abusos de API serán el vector de ataque más frecuente que resultará en violaciones de datos para aplicaciones empresariales.
De acuerdo con nuestra misión de ayudarlo a proteger la web, PortSwigger planea respaldar las pruebas de seguridad de API y microservicios para cubrir aún más su cartera de aplicaciones web.
El lanzamiento de Burp Suite Professional de noviembre de 2020.11 incluye la capacidad de escanear las API basadas en JSON y YAML en busca de vulnerabilidades, y es compatible con la especificación de la versión 3 de OpenAPI (/ Swagger).
Ampliaremos nuestro soporte para enumerar los puntos finales de API, así que infórmele a nuestro equipo sus comentarios y requisitos.
Mejoras en la interfaz de usuario
El editor de mensajes se utiliza en Burp Suite para ver y manipular solicitudes y respuestas HTTP, así como mensajes WebSocket. Esta herramienta viene con una serie de funciones para ayudarlo a editar y analizar mensajes. A lo largo del año, hemos realizado una serie de cambios y mejoras en las capacidades de mensajería, que incluyen:
- Presentamos el inspector que agiliza los flujos de trabajo, especialmente cuando se trabaja con datos codificados.
- Representación de caracteres que no se imprimen en el editor de mensajes de Burp Suite .
- Resaltado de sintaxis e impresión bonita de datos en el editor de mensajes HTTP .
- Mejoras en la interfaz de usuario del editor de mensajes para simplificar la funcionalidad.
Por demanda popular, también hemos mejorado los temas claros y oscuros.
Comprobaciones de vulnerabilidad de envenenamiento de caché
En PortSwigger, estamos orgullosos de nuestro equipo de investigación de renombre mundial . Buscan constantemente vulnerabilidades no descubiertas y nuevas formas innovadoras de explotarlas. Cuando se trata del desarrollo de productos, utilizamos un enfoque basado en la investigación para garantizar que pueda probar las aplicaciones en busca de las últimas vulnerabilidades. Siguiendo la investigación de James Kettle » Web Cache Entanglement: Novel Pathways to Poisoning » presentada en BlackHat USA 2020, Burp Scanner ahora puede identificar una variedad de problemas de envenenamiento de caché recientemente descubiertos. Para perfeccionar sus habilidades, ¿por qué no consultar nuestros laboratorios sobre este tema en Web Security Academy ?
Compatibilidad con HTTP / 2 (experimental)
HTTP / 2 revisó significativamente el protocolo HTTP principalmente para mejorar el rendimiento. Se agregó soporte experimental HTTP / 2 a Burp, lo que permite probar sitios que solo admiten HTTP / 2. Además, se pueden lograr mejoras de velocidad significativas utilizando HTTP / 2 cuando se envían grandes cantidades de solicitudes al mismo sitio.
