我们了解 AppSec 团队面临的独特挑战——从快速发展到全面覆盖新漏洞。这就是为什么我们的最新更新不仅专注于提高Burp Suite 企业版的自动化测试功能,而且还致力于简化和增强您和您的团队的工作流程。
以下是我们最近在 Burp Suite 企业版中发布的内容……
一目了然:
- 云中的 Burp Suite 企业版
- 自定义扫描检查
- CI 驱动的扫描
- 扫描性能改进
- ISO 27001 2022
- 即将于 2024 年推出
Burp Suite – 现已在云端提供
Burp Suite 企业版现已在 PortSwigger 的安全云中提供。
您的团队现在可以通过自动、预定的DAST扫描来扩展扫描工作,而无需托管和维护自己的基础设施。
这个基于云的新版本使您能够:
- 像真正的攻击者一样扫描您的应用程序。
- 在几分钟内设置定期的定期扫描。
- 与您的所有团队轻松共享访问权限和报告。
能够扫描无限的站点是非常慷慨的。当我们尝试其他产品时,我习惯于最多收到 5 或 6 个应用程序。无限真的很不错!
英国一所主要大学
想要在云端免费试用 Burp Suite 企业版吗?
自定义扫描检查
基于Burp Suite Professional添加的可扩展性,您现在可以将 Burp Suite Professional 中创建的自定义扫描检查导入到 Burp Suite Enterprise Edition 中。
自定义扫描检查 – BChecks – 使您能够以快速简单的方式扩展Burp Scanner 。根据您自己的应用程序框架定制扫描,并实现对新漏洞的有针对性的覆盖。
当我们遇到 [BChecks] 时,我们就想,嘿,这就是一个具有强大功能的小金块,我们可以立即开始了解如何大规模使用这样的东西。
尼古拉斯·阿纳斯塔西 (Nicholas Anastasi),Sprocket Security
查看我们社区创建的扫描检查的广泛GitHub 存储库,该存储库也可以导入到 Burp Suite 企业版中。
CI 驱动的扫描
防止易受攻击的应用程序影响生产环境是 AppSec 面临的最大挑战之一 – 我们的目标是通过 CI 驱动的扫描使这一过程变得更加容易。
现在可以快速轻松地将自动化、预定的 DAST 扫描与任何CI/CD平台集成。这使您能够向 Web 开发人员快速获得安全反馈 – 节省时间和成本,同时保持您的 Web 资产更加安全。
您可以选择在我们的集中式仪表板中消化结果,或使用我们的 GraphQL API 将结果导入到您的漏洞管理平台中。
在我们的文档中了解更多信息。
扫描性能改进
最近扫描性能也得到了改进,包括:
- 减少 Burp Scanner 在审核阶段创建的浏览器数量,从而提高扫描的内存效率。
- 进一步改进浏览器扫描的内存使用情况。
- 改进了 Burp 在扫描期间识别并忽略应用程序不同区域中重复项目的能力。
这些改进都是为了使 Burp Scanner 比以往更快、更高效、更准确。
ISO 27001 2022
我们很高兴地宣布,我们最近获得了 ISO 27001 2022 合规认证。
遵守这些国际标准证明了 PortSwigger 始终致力于确保信息安全处于我们组织的最前沿。
即将于 2024 年推出
改进的API测试能力
Burp Suite 企业版将能够提取 API 定义,以从上传的 API 进行种子扫描。这将允许您正确扫描缺少托管定义的 API,并扫描特定 API – 忽略其附加的应用程序的其余部分。
您还可以通过身份验证上传和扫描 API 规范,从而提高扫描的整体深度。
WebSocket 支持
Burp Suite 企业版正在扩展其扫描功能以支持依赖于 WebSockets 的应用程序。这将确保在识别使用 WebSockets 通信运行的应用程序中的漏洞时实时全面覆盖。
扫描仪性能持续改进
扫描性能将进一步改进。我们的目标是使扫描达到更大的覆盖范围,并优先在扫描中尽早发现重要漏洞,以便您能够更快地看到对您重要的信息。
扫描网络缓存欺骗漏洞
Burp Scanner 将添加一个新的扫描检查,允许您测试 Web 缓存欺骗漏洞,而无需编写扩展或进行手动探索。这将帮助您确保攻击者无法从您的网络缓存访问任何敏感信息。
我们计划将来继续向 Burp Scanner 添加新的扫描检查。
多重身份验证
为了帮助您满足合规性要求,Burp Suite 企业版将很快支持多重身份验证。使用身份验证应用程序进一步加强您对 MFA 的访问。
增强 Burp Suite Professional 和 Burp Suite Enterprise Edition 之间的集成
随着最近推出的 BChecks,您现在可以在 Burp Suite Professional 中创建特定的扫描检查,并使用 Burp Suite Enterprise Edition 扫描您的整个 Web 应用程序组合。但我们才刚刚开始了解如何无缝集成我们的工具。
您可以期待看到我们的两个工具之间的更多工作流程改进 – 关注这个空间!