Tutoriales

Analizar documentos OpenAPI en Burp Suite para la automatización

Swurg es una extensión de Burp Suite diseñada para pruebas de OpenAPI.

La especificación OpenAPI (OAS) define una descripción de interfaz estándar e independiente del lenguaje de programación para las API REST, que permite que tanto humanos como computadoras descubran y comprendan las capacidades de un servicio sin necesidad de acceder al código fuente, documentación adicional o inspección del tráfico de red. Cuando se define correctamente a través de OpenAPI, un consumidor puede comprender e interactuar con el servicio remoto con una cantidad mínima de lógica de implementación. De manera similar a lo que han hecho las descripciones de interfaz para la programación de nivel inferior, la especificación OpenAPI elimina las conjeturas al llamar a un servicio.

Los casos de uso para documentos de definición de API legibles por máquina incluyen, entre otros: documentación interactiva, generación de código para documentación, clientes y servidores, y automatización de casos de prueba. Los documentos OpenAPI describen los servicios de una API y se representan en YAML o JSON. Estos documentos pueden producirse y servirse estáticamente o generarse dinámicamente desde una aplicación.

– Iniciativa OpenAPI

Realizar una evaluación de seguridad de las API basadas en OpenAPI puede ser una tarea tediosa debido a que Burp Suite (estándar de la industria) carece de capacidades nativas de análisis de OpenAPI. Una solución a esta situación es utilizar herramientas de terceros (por ejemplo, SOAP-UI) o para implementar scripts personalizados (a menudo por compromiso) para manejar el análisis de documentos OpenAPI e integrar/encadenar los resultados a Burp Suite para usar sus capacidades de escaneo de primera clase.

Swurg es un analizador de OpenAPI que tiene como objetivo optimizar todo este proceso al permitir que los profesionales de la seguridad utilicen Burp Suite como una herramienta independiente para la evaluación de la seguridad de las API basadas en OpenAPI.


Funciones admitidas


Instalación

Compilacion

Windows y Unix

$ git clonar https://github.com/ares31/swurg
$ cd .\swurg\

Crea el jar independiente:

$ gradle fatJar

Cargando la extensión en Burp Suite

En Burp Suite, bajo el Extender/Options pestaña, haga clic en el Add botón y cargar el swurg-all archivo jar ubicado en el .\build\libs carpeta.

Alternativamente, ahora puede instalar/cargar directamente esta extensión desde el BApp Store.

Nota: La versión distribuida en el BApp Store podría estar detrás de la versión disponible en este repositorio.


Posibles Mejoras

LEER  Las 7 mejores aplicaciones de calendario para escritorio Linux en 2023

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba