Burp Suite的最新版本引入了一种新工具,称为Burp渗透器

Burp Suite渗透器

BURP渗透器是用于启动目标Web应用程序的工具,以便于使用beplay体育能用吗打扫扫描仪。BURP渗透器修改了目标应用程序,以便BURP可以检测其输入传递给服务器端上可能不安全的API的情况。在行业术语中,这种功能被称为iAST(互动应用程序安全测试)。

Burp Impltrator目前支持使用Java或其他基于JVM的语言(例如Groovy)编写的应用程序。支持4个及以上的Java版本。将来,BURP渗透器将支持其他平台,例如.NET。

Burp渗透器如何工作

  1. Burp用户通过“ Burp”菜单从Burp中出口Burp渗透器安装程序。
  2. 应用程序开发人员或管理员通过在包含应用程序字节码的计算机上运行BURP渗透器。
  3. Burp渗透器对应用程序字节码进行补丁,以在调用可能不安全的API的位置注入仪器钩。
  4. 该应用程序以正常方式启动,运行修补字节码。
  5. Burp用户以正常方式对应用程序进行扫描。
  6. 当应用程序调用潜在的不安全API时,仪器钩检查了与API的相关参数。任何包含BURP合作者域的BURP有效载荷都是根据其独特结构来指纹的。
  7. 仪器钩将检测到的BURP合作域突变,以合并所谓的API标识符。
  8. 仪器钩执行了突变的BURP合作者域的DNS查找。
  9. 选择,根据配置选项,仪器挂钩向突变的BURP合作者域提出了HTTP/S请求,包括相关参数的全部值和应用程序调用堆栈。
  10. Burp以正常方式对合作服务器进行调查,以检索由于扫描有效负载而发生的任何合作者交互的详细信息。Burp渗透器仪器进行的任何互动的详细信息都将返回到BURP。
  11. BURP向用户报告说,相关的输入项目正在应用程序传递给潜在的不安全API,并生成相关漏洞类型的信息扫描问题。如果发现了其他有关同一问题的证据(基于波段行为或其他合作者互动),则将这些证据汇总为一个问题。

Burp渗透者报告的问题

BURP渗透器允许Burp扫描仪报告可能构成安全漏洞的潜在危险服务器端API的用法。它还允许Burp将漏洞(例如特定URL和参数)与漏洞发生的后端代码相关联。

在下面的示例中,Burp扫描仪已确定XML注入漏洞基于Burp的现有扫描技术,还报告了导致服务器端应用程序中漏洞的不安全API调用:

Burp渗透器使Burp能够报告:

  • 被称为的潜在不安全的API。
  • 该API相关参数的全部值。
  • 调用API时申请调用堆栈。

此信息可能对众多目的非常有益:

  • 它提供了其他证据来证实使用常规动态扫描技术报告的推定漏洞。
  • 它允许开发人员确切查看其代码中的漏洞发生的位置,包括代码文件和行号的名称。
  • 它允许安全测试人员确切查看哪些数据已通过提交的输入,促进许多漏洞的手动开发,例如SQL注入进入复杂的嵌套查询。

重要的考虑因素

在使用BURP渗透器之前,请仔细注意以下几点:

  • 您应该阅读所有文档关于Burp渗透器在使用之前或诱导其他任何人使用它。您只能将Burp渗透器充分了解其性质及其利用中固有的风险。
  • 您可以使用BURP渗透器使用私人BURP合作服务器,前提是使用域名配置合作者服务器,而不是通过IP地址进行配置。
  • 您可以在目标应用程序中以非交互方式安装BURP渗透器,以用于CI管道和其他自动用例中。
  • 在安装BURP渗透器期间,您可以配置是否应报告完整的参数值和呼叫堆栈,以及其他各种配置选项。

有关更多详细信息,包括分步说明,请参阅BURP渗透器文档