Burp Suite 是一款領先的Web應用程序安全測試工具。它被廣泛用于識別和修復Web應用程序中的漏洞。

隨著 Web 產品組合的多樣化，API 已成為現代 Web 應用程序中越來越重要的功能。根據 ESG 的《保護 API 攻擊面》報告，絕大多數組織報告稱，他們現在平均每個應用程序有 26 個 API。

盡管如此，掃描 API 中的漏洞通常很困難，許多組織都依賴于變通方法。這種解決方案最好的情況下很繁瑣且耗時，最壞的情況下，會使您的應用程序容易受到攻擊，并影響您擴展測試的能力。

Burp Suite 最新版下載

API 是我們目前測試中最大的缺口。我們做了少量掃描，但如果有 Burp API 掃描就太棒了。Burp Suite企業版客戶

我們一直在努力解決這一難題，通過增強現有的API 掃描能力以及專為簡單、可擴展的 API 掃描而設計的增強內置功能來增強這一能力。

• 無需托管定義文件即可測試漏洞
• 輕松識別任何可供攻擊者訪問的托管 API
• 測試更廣泛的 OpenAPI 規范 (OAS) 端點
• 掃描需要端點身份驗證的 API

這些功能現在可供 Burp Suite 企業版和Burp Suite 專業版用戶使用。

以前 Burp 中是如何掃描 API 的？

Burp Suite 的用戶已經能夠掃描 API 一段時間了。然而，到目前為止，API 端點已經作為更廣泛的 Web 應用程序抓取和審計的一部分進行掃描。

首先，對于滲透測試人員來說，這種方法意味著您無法在掃描中專門針對 API。隨著 API 組合的增加，這項任務已從生活質量問題變成了有效工作流程的主要障礙。

對于AppSec 團隊來說，將 API 作為更廣泛的 Web 應用程序的一部分進行掃描意味著您必須運行更徹底、更耗時的掃描，從而降低擴展操作的能力。

當我們著眼于現代化 Web 應用程序并將所有內容都作為 API 時，所有數據都可以通過該 API 訪問。我們正努力在主動發現 API 級漏洞方面加強我們的能力。Burp Suite 企業版客戶

僅以這種方式掃描 API 已不再適合目的。我們需要一個內置的 API 掃描解決方案。

了解改進的 API 掃描功能

我們發布了 4 個 API 掃描功能，允許 Burp 用戶掃描他們的 API 以及他們的 Web 應用程序，也可以單獨掃描。這些功能可以在 Burp Suite Professional 和 Burp Suite Enterprise Edition 中訪問：

1. 無需托管定義文件即可測試漏洞

現在，您可以將 OAS 定義文件直接上傳到 Burp Suite。此更新使用戶可以選擇是否要提供現有 URL，或將文件直接上傳到 Burp。這意味著更快、更輕松的掃描，并且可以輕松擴展。

2. 輕松識別任何可供攻擊者訪問的托管 API

Burp 現在會檢查您是否留下了任何可能被攻擊者訪問的托管 OAS 定義。這有助于標記任何潛在的安全威脅 - 尤其是當您不再需要通過自己托管 API 來掃描 API 時。

3. 測試更廣泛的 OpenAPI 規范 (OAS) 端點

在抓取 API 時，您現在可以包含 HTTP 標頭，從而可以掃描更廣泛的 OAS 端點。掃描更全面。識別出更多漏洞。

4. 掃描需要端點身份驗證的 API

最后，對于 Burp Suite 企業版用戶，您現在可以掃描需要身份驗證的 API。以前，爬蟲程序被拒絕進入經過身份驗證的端點，但此更新允許掃描程序繞過一些身份驗證點，而無需暫停掃描。

Burp Suite 中的 API 掃描下一步是什么？

Burp Suite Professional 和 Burp Suite Enterprise Edition 的用戶現在可以使用上述所有四個功能。

Burp Suite 企業版

端點配置

上傳 API 定義后，Burp Suite 很快就能解析文件并為您顯示端點。然后，您將能夠搜索端點，并取消選中您不想包含在掃描中的端點。

這將有助于排除破壞性端點，并提供批量包含和排除特定方法的能力 - 例如發布或刪除。

批量上傳 API 定義文件

在端點配置之后，下一次更新將允許用戶通過 URL 或定義文件上傳批量導入 API 目標。此更新將減少一次導入一個 API 的負載，從而節省大量時間 - 尤其是在引入 API 時。

 以上邊是關于使用 Burp Suite 解鎖增強的 API 掃描的相關介紹，免費試用，歡迎咨詢在線客服了解喲~

如果您有任何問題需了解詳情，請聯系