Actualización de la hoja de ruta de Burp Suite: enero de 2023 | Blog

Lo creas o no, es enero otra vez. Y eso solo puede significar una cosa: es hora de informarle sobre los cambios que esperamos. Suite de eructos durante los próximos seis meses.

Pero esta edición de la hoja de ruta de Burp también viene con una pequeña advertencia, porque no podemos confirmar ni negar que puede haber algunas sorpresas en nuestras mangas colectivas este año. Mira este espacio permanecer en las noticias.

Escáner de eructos

Escáner de eructos Utilizado en Burp Suite Enterprise Edition, Burp Suite Professional y ahora (en una medida un poco más limitada) en nuestro producto gratuito de CI/CD, Cobardemente. Permite a decenas de miles de usuarios escanear la web moderna de manera eficiente y efectiva.

Pero PortSwigger no es exactamente conocido por su éxito, y la primera mitad de 2023 se ve bien para los usuarios de Burp Scanner en términos de lanzamientos. Durante los próximos seis meses, verá que Burp Scanner obtiene más capacidades automatizadas y una nueva y emocionante forma de personalizar sus escaneos.

Se acabó Compatibilidad con ventanas emergentes en secuencias de inicio de sesión grabadas – La versión 2022.12.4 agregó soporte adicional para secuencias de entrada grabadas que abren nuevas ventanas o pestañas. Esto le permite escapar escaneos verificados En sitios web con mecanismos de inicio de sesión que requieren que interactúes con ventanas emergentes, como los servicios SSO de Microsoft y Amazon.

Se acabó Escaneo ejecutándose con un navegador actualizado – La versión 2022.12.4 cambió esto radicalmente Burp Scanner navega usando su navegador incorporado. Esto mejora el análisis de aplicaciones que utilizan mucho JavaScript del lado del cliente para la navegación y proporciona una base sólida para el desarrollo de análisis en el futuro.

trabajo en curso Comprobaciones de exploración declarativas – Un nuevo marco está en progreso para agregar controles de escaneo a Burp Scanner usando un lenguaje simplificado que creamos específicamente para este propósito. Esto le permitirá crear comprobaciones de escaneo personalizadas más fácilmente (sin escribir una extensión BApp).

trabajo en curso Trabajando con la forma de reacción – Se está trabajando para mejorar la forma en que Burp Scanner maneja los formularios al escanear aplicaciones de una sola página (SPA) creadas en React. En particular, esto mejorará el manejo de Burp Scanner de los elementos de entrada que no tienen una etiqueta de formulario adicional.

Agregado Escaneo mejorado de marcos de JavaScript – Además de las mejoras que ya hemos realizado en la cobertura de aplicaciones creadas con la biblioteca React de Burp Scanner, seguiremos ampliando nuestras capacidades en esta área e incluiremos aplicaciones creadas con Angular, Vue.js y otros marcos.

Agregado Escaneo de semillas desde la definición de API descargada – Permitiremos que Burp Scanner acepte una definición de API como parte de su proceso de inicialización. Utilizará esta definición de API para escanear, ampliando la capacidad de Burp Suite Escanear API y microservicios.

Agregado Comprueba el escaneo de GraphQL – Habilitaremos Burp Scanner para verificar una serie de vulnerabilidades de seguridad relacionadas con las API que utilizan el lenguaje GraphQL.

Agregado Verificaciones de escaneo de control de acceso – Habilitamos Burp Scanner para verificar una serie de vulnerabilidades de seguridad control de acceso.

Tenga en cuenta que Burp Suite Enterprise Edition y Burp Suite Professional tienen Burp Scanner y se beneficiarán de su hoja de ruta.

Edición empresarial de Burp Suite

Mientras escribo, Edición empresarial de Burp Suite Actualmente tiene más de 1000 suscriptores. Pero al igual que los usuarios, Enterprise Edition en 2022 obtuvo algunas características nuevas y poderosas: la capacidad de reproducir secuencias de inicio de sesión grabadas. Y con los planes descritos en esta hoja de ruta, 2023 será otro crack.

Este año, verá algunas formas nuevas y eficientes de escanear todo su portafolio web. Más mejoras a Burp Suite Enterprise Edition ahora disponibles motor de escaneo líder en su clase llevará el escaneado web moderno al siguiente nivel.

Se acabó Exportar resultados de escaneo en XML – La versión 2022.11 agregó la capacidad de exportar resultados de escaneo de Burp Suite Enterprise Edition en formato XML, lo que permite una integración más fácil con sistemas como Defect Dojo y otras herramientas de administración de vulnerabilidades.

Se acabó Una repetición de la secuencia de entrada grabada – La versión 2022.10 agregó soporte adicional para repeticiones de inicio de sesión grabadas en Burp Suite Enterprise Edition. Esto le permite estar seguro Escáner de eructos puede iniciar sesión con éxito mientras se ejecuta escaneos verificados.

Se acabó Cambiar la clave de licencia – La versión 2022.10 trajo actualizaciones de clave de licencia que se implementaron en Burp Suite Enterprise Edition. Si renueva su licencia antes de que caduque, ahora actualizamos automáticamente la información de su clave de licencia.

Se acabó Mejora de la participación del usuario – La versión 2022.9 trajo una serie de mejoras al proceso de incorporación, incluida la capacidad de configurar rápidamente un escaneo Sitio web intencionalmente vulnerable de PortSwiggerpara ver un ejemplo de los resultados del escaneo.

trabajo en curso Cálculo horario – Se está trabajando para permitir que los usuarios de Burp Suite Enterprise Edition paguen por los escaneos a medida que los usan, lo que simplifica aún más el proceso de escaneo de carteras web a escala.

trabajo en curso Inversión de control CI/CD – Se está trabajando para permitir que los usuarios de Burp Suite Enterprise Edition ejecuten un motor de escaneo en un contenedor (por ejemplo, administrado por un sistema CI). Esto permitirá que Enterprise Edition se ejecute en cualquier entorno de CI/CD, al igual que nuestro producto de CI/CD gratuito lanzado recientemente, Cobardemente.

Agregado Mejorar la configuración del sitio – Facilitaremos la creación de sitios en Burp Suite Enterprise Edition. Esto le permitirá definir más fácilmente el alcance del análisis.

Agregado Imágenes de Amazon Machine (AMI) prediseñadas – Proporcionaremos AMI preconstruidas para Burp Suite Enterprise Edition, lo que le permitirá crear automáticamente una instancia EC2 adecuada. Esto facilitará la ejecución de Burp Suite Enterprise Edition en AWS.

Agregado Niveles de la cadena de suministro para artefactos de software (SLSA) Nivel 2 – Burp Suite Enterprise Edition tendrá la certificación SLSA Nivel 2, cumpliendo con los requisitos del cliente.

Tenga en cuenta que, Hoja de ruta del escáner de eructos lo anterior también se aplica a Burp Suite Enterprise Edition.

Burp Suite Profesional

Los últimos 12 meses han sido enormes Burp Suite Profesional. Ahora tiene una API completamente nueva, lo que abre nuevas formas de personalizarla según sus necesidades, así como algunos cambios simples en la interfaz de usuario para permitir pruebas más eficientes.

2023 nos verá desarrollar estos temas aún más, brindándoles muchas nuevas opciones de interfaz de usuario y personalización. Y no se puede mencionar Hoja de ruta del escáner de eructos – que (como de costumbre) incluye una serie de nuevas funciones para escanear la web moderna.

Se acabó Nueva API – La versión 2022.9.5 introdujo una nueva API Montoya, reemplaza la API de Wiener en Burp Suite Professional y Burp Suite Community Edition. Montoya aporta un diseño más moderno a la extensión Burp y habilitará capacidades más ricas en el futuro (ver “Funcionalidad API adicional” a continuación).

Se acabó cliente colaborativo – La versión 2022.9.5 también trajo mejoras importantes al cliente de Burp Collaborator. Además de obtener su propia insignia premium, el cliente ahora usa una interfaz con pestañas y almacena interacciones en archivos de proyecto, entre otras mejoras.

Se acabó Opciones de usuario y proyecto – En la versión 2022.11, las opciones de proyecto y de usuario de Burp se movieron a un nuevo cuadro de diálogo de Configuración al que se puede acceder desde un botón en la barra de herramientas principal o mediante una tecla de acceso directo configurable. Este cuadro de diálogo es más fácil de usar que los antiguos menús de selección e incluye una función de búsqueda.

trabajo en curso Funcionalidad API adicional – Continuaremos desarrollando la nueva API Montoya de Burp, incluida la compatibilidad mejorada con WebSockets y agregando funcionalidad en torno a los archivos del proyecto, extensiones que permiten el almacenamiento de datos.

Agregado Payloads de colaboradores en ataques de agresores – Presentaremos la capacidad de crear e inyectar cargas útiles de Burp Collaborator como parte de un ataque de Burp Intruder. Cualquier interacción detectada por Burp Collaborator se incluirá en los resultados de su ataque Burp Intruder.

Agregado Flujo de trabajo de prueba – Presentamos una nueva herramienta para ayudarlo a organizar su flujo de trabajo de prueba y realizar un seguimiento de los eventos pendientes.

Agregado Interfaz mejorada del escáner de eructos – Ajustaremos la interfaz de Burp Scanner dentro de Burp Suite Pro: información de superficie para mejorar la visualización de la actividad de escaneo en las fases de escaneo y auditoría. Esto le permitirá comprender más fácilmente la cobertura lograda por una configuración de escaneo particular y cómo los problemas detectados encajan en la estructura de navegación del objetivo.

Agregado Interfaz de usuario – personalización – Le permitiremos cambiar y personalizar en gran medida el diseño de su espacio de trabajo de Burp. Adapte las herramientas avanzadas de Burp Suite a las especificaciones de su flujo de trabajo.

Agregado Soporte ARM 64 – Burp Suite Professional y Burp Suite Community Edition admitirán máquinas que ejecutan Linux en un procesador basado en ARM64.

Tenga en cuenta que, Hoja de ruta del escáner de eructos la descripción anterior también se aplica a Burp Suite Professional.

Y por supuesto, no olvides Síganos en Twitter – Manténgase al día con todo lo relacionado con Burp Suite.