跳至正文
首页 » Blog » 使用 Burp Suite 解锁增强型 API 扫描

使用 Burp Suite 解锁增强型 API 扫描

更全面的扫描。发现了更多漏洞。节省更多时间。使用 Burp Suite 增强 API 扫描。

随着 Web 产品组合的多样化,API 已成为现代 Web 应用程序日益重要的功能。根据 ESG 的《保护 API 攻击面》报告,绝大多数组织报告称他们现在每个应用程序平均有 26 个 API

尽管如此,扫描 API 是否存在漏洞通常具有挑战性,许多组织都依赖变通办法。在最好的情况下,这个解决方案是繁琐且耗时的,在最坏的情况下,会让您的应用程序容易受到攻击,并影响您扩展测试的能力。

API 是我们目前测试中最大的差距。我们已经进行了少量扫描,但是进行 Burp API 扫描将会很棒。

Burp Suite 企业版客户

我们一直致力于通过增强现有的API 扫描功能来解决这一挑战,并使用专为轻松、可扩展的 API 扫描而设计的增强型内置功能。

我们改进的 API 扫描功能允许用户:

  • 无需托管定义文件即可测试漏洞
  • 轻松识别任何可供攻击者访问的托管 API
  • 测试更广泛的 OpenAPI 规范 (OAS) 端点
  • 扫描需要端点身份验证的 API

这些功能现在可供 Burp Suite 企业版和Burp Suite 专业版用户使用。

以前在 Burp 中是如何扫描 API 的?

Burp Suite 的用户已经能够扫描 API 一段时间了。然而,到目前为止,API 端点已作为更广泛的 Web 应用程序爬行和审核的一部分进行扫描。

然而,这种方法提出了一些挑战。

首先,对于渗透测试人员来说,这种方法意味着您无法在扫描中专门针对 API。随着 API 组合的增加,这项任务已从生活质量问题变成了有效工作流程的主要障碍。

对于AppSec 团队来说,将 API 作为更广泛的 Web 应用程序的一部分进行扫描意味着您必须运行更彻底且耗时的扫描,从而降低了扩展操作的能力。

当我们着眼于现代化 Web 应用程序并将一切都作为 API 发展时,所有数据都可以在该 API 后面访问。我们正在努力加强主动发现 API 级漏洞的能力。

Burp Suite 企业版客户

仅以这种方式扫描 API 已不再适合目的。我们需要一个内置的 API 扫描解决方案。

了解我们改进的 API 扫描功能

我们发布了 4 个 API 扫描功能,允许 Burp 用户与 Web 应用程序一起扫描他们的 API,也可以作为独立的应用程序。这些可以在 Burp Suite Professional 和 Burp Suite Enterprise Edition 中访问:

1. 无需托管定义文件即可测试漏洞

您现在可以将 OAS 定义文件直接上传到 Burp Suite。此更新使用户能够选择是否要提供现有 URL,或直接将文件上传到 Burp。这意味着更快、更轻松的扫描,并且可以轻松扩展。

2. 轻松识别任何可供攻击者访问的托管 API

Burp 现在会检查您是否留下了任何可能被攻击者访问的托管 OAS 定义。这有助于标记任何潜在的安全威胁 – 特别是当您不再需要通过自己托管 API 来扫描 API 时。

3. 测试更广泛的 OpenAPI 规范 (OAS) 端点

抓取 API 时,您现在可以包含 HTTP 标头,从而允许您扫描更广泛的 OAS 端点。更全面的扫描。发现了更多漏洞。

4. 扫描需要端点认证的API

最后,对于 Burp Suite 企业版用户,您现在可以扫描需要身份验证的 API。以前,爬网程序被拒绝进入经过身份验证的端点,但此更新允许扫描程序绕过某些身份验证点,而无需暂停扫描。

查看这些功能的实际应用。观看 Burp Suite 企业版中的 API 扫描演示。

Burp Suite 中的 API 扫描的下一步是什么?

Burp Suite Professional 和 Burp Suite Enterprise Edition 的用户现在可以访问上述所有四个功能。

我们还计划进行以下关键更新,这些更新将构成 API 扫描功能的下一版本:

Burp Suite 企业版

端点配置

上传 API 定义时,Burp Suite 很快就能解析文件并为您显示端点。然后,您将能够搜索端点,并取消选中不想包含在扫描中的端点。

这将有助于排除破坏性端点,并提供批量包含和排除特定方法的功能 – 例如发布或删除。

批量上传API定义文件

在端点配置之后,下一次更新将允许用户通过 URL 或定义文件上传批量导入 API 目标。此更新将减少一次导入一个 API 的负载,从而节省大量时间 – 特别是在加入 API 时。

Burp Suite 企业版和专业版即将推出

支持扫描 SOAP API

第一个版本仅支持扫描开放 API,但是,我们将在下一个版本中支持 Burp Suite 中的 SOAP。这将使客户能够使用 SOAP 执行上述 API 扫描功能。

这些并不是唯一计划的更新 – 我们将在未来的每个版本中扩展 API 扫描器的功能。

标签:

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注