Análisis más completos. Se identifican más vulnerabilidades. Se ahorra más tiempo. Mejore el análisis de API con Burp Suite.
A medida que las carteras web se han diversificado, las API se han convertido en una función cada vez más crítica de las aplicaciones web modernas. Según el informe Securing the API Attack Surface de ESG, la gran mayoría de las organizaciones informan que ahora tienen un promedio de 26 API por aplicación.
A pesar de esto, escanear las API en busca de vulnerabilidades suele ser un desafío y muchas organizaciones dependen de soluciones alternativas. En el mejor de los casos, esta solución es complicada y requiere mucho tiempo y, en el peor, deja su aplicación expuesta a ataques y afecta su capacidad para escalar las pruebas.
Las API son la mayor brecha en nuestras pruebas en este momento. Hemos realizado una pequeña cantidad de escaneo, pero sería fantástico tener un escaneo de API de Burp. Un cliente de Burp Suite Enterprise Edition
Hemos estado trabajando para solucionar este desafío mejorando nuestra capacidad de escaneo de API existente con una funcionalidad integrada mejorada diseñada para un escaneo de API fácil y escalable.
Nuestra funcionalidad mejorada de escaneo de API permite a los usuarios:
- Pruebe vulnerabilidades sin tener que alojar archivos de definición
- Identifique fácilmente cualquier API alojada que haya quedado accesible a los atacantes
- Pruebe una gama más amplia de puntos finales de la Especificación OpenAPI (OAS)
- Escanear API que requieren autenticación de punto final
Estas funciones ahora están disponibles para los usuarios de Burp Suite Enterprise Edition y Burp Suite Professional.
¿Cómo se escaneaban las API en Burp anteriormente?
Los usuarios de Burp Suite han podido escanear API desde hace algún tiempo. Sin embargo, hasta ahora, los puntos finales de API se han escaneado como parte de un rastreo y auditoría de aplicaciones web más amplios.
Este enfoque, sin embargo, plantea algunos desafíos.
En primer lugar, para los pentesters, este enfoque significa que no pueden apuntar a API específicas en sus escaneos. A medida que aumenta su cartera de API, esta tarea ha pasado de ser un problema de calidad de vida a un obstáculo importante para flujos de trabajo efectivos.
Para los equipos de AppSec , escanear las API como parte de sus aplicaciones web más amplias significa que deben ejecutar un escaneo más exhaustivo y que requiere más tiempo, lo que reduce la capacidad de escalar las operaciones.
A medida que analizamos la modernización de las aplicaciones web y avanzamos hacia el uso de API, todos los datos son accesibles detrás de esa API. Estamos tratando de mejorar nuestro desempeño en términos de detección proactiva de vulnerabilidades a nivel de API. Un cliente de Burp Suite Enterprise Edition
El escaneo de API exclusivamente de esta manera ya no es adecuado. Necesitábamos una solución integrada para el escaneo de API.
Conozca nuestras funciones mejoradas de escaneo de API
Hemos lanzado 4 funciones de escaneo de API que permiten a los usuarios de Burp escanear sus API junto con sus aplicaciones web y también de forma independiente. Se puede acceder a ellas tanto en Burp Suite Professional como en Burp Suite Enterprise Edition:
1. Pruebe las vulnerabilidades sin tener que alojar archivos de definición
Ahora puede cargar archivos de definición de OAS directamente en Burp Suite. Esta actualización permite a los usuarios elegir si desean proporcionar una URL existente o cargar un archivo directamente en Burp. Esto significa un escaneo más rápido y sin complicaciones, que se puede escalar fácilmente.
Obtenga más información sobre las pruebas de vulnerabilidades en Burp Suite Enterprise Edition.
Obtenga más información sobre las pruebas de vulnerabilidades en Burp Suite Professional.
2. Identifique fácilmente cualquier API alojada que haya quedado accesible a los atacantes
Burp ahora verifica si ha dejado alguna definición de OAS alojada a la que puedan acceder los atacantes. Esto ayuda a detectar posibles amenazas de seguridad, especialmente mientras deja de tener que escanear las API y las aloja usted mismo.
3. Pruebe una gama más amplia de puntos finales de la Especificación OpenAPI (OAS)
Al rastrear sus API, ahora puede incluir encabezados HTTP, lo que le permite escanear una gama mucho más amplia de puntos finales de OAS. Escaneos más completos. Se identificaron más vulnerabilidades.
Obtenga más información sobre cómo probar los puntos finales de OAS .
4. Escanee las API que requieren autenticación de puntos finales
Por último, los usuarios de Burp Suite Enterprise Edition ahora pueden escanear las API que requieren autenticación. Anteriormente, a los rastreadores se les negaba el acceso a los puntos finales autenticados, pero esta actualización permite que el escáner omita algunos puntos de autenticación sin tener que pausar los escaneos.
Obtenga más información sobre la autenticación de puntos finales .
¿Qué sigue para el escaneo de API en Burp Suite?
Los usuarios de Burp Suite Professional y Burp Suite Enterprise Edition ahora tienen acceso a las cuatro funciones mencionadas anteriormente.
También estamos planeando las siguientes actualizaciones clave que formarán la próxima versión de la funcionalidad de escaneo de API:
Burp Suite Edición Empresarial
Configuración de punto final
Al cargar una definición de API, Burp Suite pronto podrá analizar el archivo y mostrar los puntos finales. Luego podrá buscar puntos finales y desmarcar aquellos que no desee incluir en el análisis.
Esto ayudará a excluir puntos finales destructivos y brindará la capacidad de incluir y excluir de forma masiva métodos específicos (por ejemplo, publicar o eliminar).
Carga masiva de archivos de definición de API
Después de la configuración del punto final, la próxima actualización permitirá a los usuarios importar en masa los objetivos de API a través de una URL o de la carga de un archivo de definición. Esta actualización reducirá la carga de importar una API a la vez, lo que permitirá ahorrar tiempo de manera significativa, en particular al incorporar API.
Próximamente en Burp Suite Enterprise Edition y Professional
Escaneo de API SOAP compatible
Esta primera versión permite únicamente el escaneo de API abiertas; sin embargo, en una de nuestras próximas versiones, admitiremos SOAP en Burp Suite. Esto permitirá que los clientes que utilicen SOAP realicen las funciones de escaneo de API mencionadas anteriormente.
Fuente: portswigger
NORTH NETWORKS es Distribuidor Oficial y brinda licencias nuevas, renovaciones y servicios profesionales de las herramientas mas importantes.
Pongase en contacto y le ayudaremos a analizar sus requerimientos para poder brindarle la herramienta que mejor se ajuste a sus proyectos.
Si te ha gustado, ¡compártelo con tus amigos!
