สำหรับนักพัฒนา API แล้วคงจะสามารถพูดได้ว่า ไม่มีใคร ไม่รู้จัก Burp Suite ทั้งนี้เพราะว่า มันถูกใช้มาอย่างยาวนานในเรื่องการทดสอบความปลอดภัย และ การค้นหาข้อบกพร่องของ API Server (Backend Server) โดยมันเรียกได้ว่าเป็น เครื่องมือแบบองค์รวม ที่มีฟีเจอร์สำคัญๆ ที่ขาดไม่ได้เลย สำหรับนักพัฒนา API
งั้นเราไปดูกันเลยว่ามันมีฟีเจอร์ อะไรที่น่าสนใจบ้าง
Manual Penetration testing features
- log, ตรวจจับ https และ WebSocket traffic เพื่อนำมาวิเคราะห์ด้วย built-in ไปยัง browser และ proxy
- ตรวจจับช่องโหว่ที่มองไม่เห็น ด้วยเครื่องมือที่เรียกว่า out-of-band testing (OAST)
- เทียบการจู่โจมกับ crawler ชั้นนำ
- ทดสอบ DOM ด้วย DOM invader
- ทดสอบ access token
- ทำงานร่วมกับ binary HTTP/2
- ทดสอบ dynamic URL
Burp Proxy Intercept View
Intercept View ก็คือ การขัดจังหวะ การส่งข้อมูล ซึ่งหมายถึง เราเข้าไปตรวจสอบข้อมูลระหว่างที่ web browser สื่อสารกับ Web Server (API Server)
Advanced / Custom Automated attacks
- ทดสอบการทำ brute-force ด้วยลำดับการใช้งาน HTTP และ การตั้งค่า payload
- สแกน browser และทำการสแกนแต่ละ URL
- สร้าง CSRP proof-of-concept
- จับ กรอง และ ค้นหาการจู่โจม
Automated scanning for Vulnerabilities
- ทำการ scan application ของคุณเพื่อค้นหาช่องโหว่ จาก Burp Browser เอง และ ค้นหา JavaScript ที่ซับซ้อน รวมถึง การเรียก SPA เช่นเดียวกับผู้ใช้งานจริง
- ทำการ scan ในส่วนที่ปกติต้องใช้การตรวจสอบสิทธิ์ว่ามีช่องโหว่หรือไม่
- ทำการ scan OpenAPI, GraphGL และ SOAP API
- ตั้งค่าการสแกนเพื่อทำการ audit
- ทำการ BChecks
ที่กล่าวมานั้นเป็นเพียงบางส่วนของฟีเจอร์เด็ดที่ทาง Burp Suite (PortSwigger) มีให้ สำหรับผู้ที่ต้องการซื้อ ทาง AVESTA เป็นตัวแทนจำหน่ายอย่างเป็นทางการ ท่านสามารถติดต่อเราเพื่อสอบถามราคา หรือ ข้อมูลเพิ่มเติมได้ทางอีเมล์ [email protected] หรือพูดคุยทันทีผ่าน Line OA : @avesta.co.th
