Que a PortSwigger possui produtos fantásticos, isso nós já sabemos. Um dos produtos é o Burp Suite: um software desenvolvido para suportar/apoiar testes de segurança em aplicações Web. Visto os recursos que o Burp Suite nos disponibiliza e o seu objetivo como ferramenta, o mesmo é amplamente utilizado em análises que envolvam requisições HTTP(S), seja através de aplicações exclusivamente Web, ou cenários que envolvam API’s, como em testes de aplicações mobile, frontends com frameworks de JavaScript, etc.
Aí você pode pensar:
“Mas será que é possível melhorá-la e talvez até personalizá-la para as nossas necessidades e demandas?“
A resposta para essa pergunta é sim. Afinal, a PortSwigger permite que sejam desenvolvidas extensões para o mesmo, tornando-o mais versátil e único, pois você poderá personalizá-lo com “a sua cara” e cada extensão pode realizar uma determinada função e com isso suprir uma ou mais necessidades, sejam elas muito particulares ou não. Por exemplo: buscar por uma determinada categoria de vulnerabilidade, componentes vulneráveis em uma aplicação. O limite para as extensões é a sua criatividade e o que você consegue implementar.
Conviso Platform Extension
Ao longo do tempo e de algumas análises na Conviso, principalmente no time de PTaaS (Pentest As a Service), identificamos a necessidade de auxiliar nossos analistas a reportar as vulnerabilidades identificadas para os nossos clientes com mais agilidade. Afinal, um dos nossos diferenciais é que o nosso cliente consiga acompanhar cada uma de suas análises de acordo com o andamento dela através da Conviso Platform, ou seja, assim que uma vulnerabilidade for identificada, ela será reportada e disponibilizada para o cliente no menor tempo possível.
A Conviso Platform é uma plataforma Software as a Service (SaaS) criada pela Conviso que suporta todo o ciclo de segurança em desenvolvimento de software. Ela foi criada com base no Software Assurance Maturity Model (SAMM) – um projeto do portfólio da Open Web Application Security Project (OWASP) que define uma série de práticas com o objetivo de melhorar a segurança de software.
Uma curiosidade sobre a Conviso Platform é que ele nasceu para suprir uma demanda interna da Conviso. Ao ser implementado, ele foi tão bem sucedido em seu propósito que vimos nele potencial para otimizar a rotina de outras empresas e decidimos comercializá-lo.
Se você quiser conhecer mais sobre a Conviso Platform, temos um blogpost detalhado sobre isso.
Tendo em vista o nosso processo de submissão de vulnerabilidade e essa demanda interna, resolvemos desenvolver uma extensão para o Burp Suite com o intuito de reduzirmos o tempo de submissão, pois existem informações que já possuímos no Burp Suite e não há necessidade de ser replicada de maneira manual para a nossa plataforma, ou seja, estamos removendo a necessidade do analista utilizar o seu ctrl+c e ctrl+v sempre nos mesmos campos.
Desta forma, utilizamos tais informações disponíveis para o preenchimento automático de alguns campos durante o processo de submissão de uma nova vulnerabilidade/notificação, poupando tempo e fazendo com que o foco seja no que realmente importa: a análise e o resultado entregue para o cliente.
A extensão se encontra disponível no Github, de maneira open-source.
Recursos
Por meio da extensão é possível enviar uma requisição do Burp Suite para a Conviso Platform, preenchendo automaticamente os campos de Método, Protocolo, URI, Parâmetros (caso possua), Requisição e Resposta do formulário de submissão de uma nova vulnerabilidade/notificação:
Assim como em situações onde uma issue acontece em mais de uma URI, ou em que é necessário mais de uma URI para descrevê-la melhor, é possível selecioná-las e enviá-las como evidência automaticamente, pois a aplicação criará arquivos de texto temporários contendo a requisição e a resposta do servidor para tais requisições previamente selecionadas:
Conclusão
Com os pontos aqui ressaltados sobre a extensão integrada a Conviso Platform, são nítidos os benefícios agregados às análises, pois todas as partes envolvidas adquirem vantagens com o seu uso, por exemplo, a equipe de Pentest ou operação de Red Team terá o seu tempo de submissão de vulnerabilidades reduzido, fazendo com que os mesmos dediquem-se mais ao processo de identificação/exploração, assim como, quem receberá o relatório final, pois com um profissional dedicando-se mais a cada particularidade da aplicação, possui-se mais chances de identificação de pontos e, por consequência uma qualidade superior nos pontos identificados.
Inscreva-se para não perder nenhuma novidade sobre o AppSecFlow
Gostaríamos que qualquer time/equipe utilize-a, seja o nosso time de PTaaS da Conviso, a sua equipe de AppSec e/ou Red Team, e inclusive o time de seus fornecedores -, pois existem duas coisas que devem ser compartilhadas: conhecimentos e ferramentas.
Referências
- Burp Suite is the choice of security professionals worldwide
- Extensibility
- Burp Extender
- PortSwigger is a web security company on a mission to enable the world to secure the web.
- GitHub Burp Conviso Platform
Texto: Heitor Gouvêa e Rangel Junior
