Tech

Extensão do AppSec Flow para Burp Suite

Que a PortSwigger possui produtos fantásticos, isso nós já sabemos. Um dos produtos é o Burp Suite: um software desenvolvido para suportar/apoiar testes de segurança em aplicações Web. Visto os recursos que o Burp Suite nos disponibiliza e o seu objetivo como ferramenta, o mesmo é amplamente utilizado em análises que envolvam requisições HTTP(S), seja através de aplicações exclusivamente Web, ou cenários que envolvam  API’s, como em testes de aplicações mobile, frontends com frameworks de JavaScript, etc. 

Você também pode ouvir a versão em áudio deste texto:

Aí você pode pensar:

“Mas será que é possível melhorá-la e talvez até personalizá-la para as nossas necessidades e demandas?“

A resposta para essa pergunta é sim. Afinal, a PortSwigger permite que sejam desenvolvidas extensões para o mesmo, tornando-o mais versátil e único, pois você poderá personalizá-lo com “a sua cara” e cada extensão pode realizar uma determinada função e com isso suprir uma ou mais necessidades, sejam elas muito particulares ou não. Por exemplo: buscar por uma determinada categoria de vulnerabilidade, componentes vulneráveis em uma aplicação. O limite para as extensões é a sua criatividade e o que você consegue implementar.

AppSec Flow Extension

Ao longo do tempo e de algumas análises na Conviso, principalmente no time de PTaaS (Pentest As a Service), identificamos a necessidade de auxiliar nossos analistas a reportar as vulnerabilidades identificadas para os nossos clientes com mais agilidade. Afinal, um dos nossos diferenciais é que o nosso cliente consiga acompanhar cada uma de suas análises de acordo com o andamento dela através do AppSec Flow, ou seja, assim que uma vulnerabilidade for identificada, ela será reportada e disponibilizada para o cliente no menor tempo possível.

O AppSec Flow é uma plataforma Software as a Service (SaaS) criada pela Conviso que suporta todo o ciclo de segurança em desenvolvimento de software. Ela foi criada com base no  Software Assurance Maturity Model (SAMM) –  um projeto do portfólio da Open Web Application Security Project (OWASP) que define uma série de práticas com o objetivo de  melhorar a segurança de software. 

Uma curiosidade sobre o AppSec Flow é que ele nasceu para suprir uma demanda interna da Conviso. Ao ser implementado, ele foi tão bem sucedido em seu propósito que vimos nele potencial para otimizar a rotina de outras empresas e decidimos comercializá-lo. 

Se você quiser conhecer mais sobre o AppSec Flow, temos um blogpost detalhado sobre isso.

Tendo em vista o nosso processo de submissão de vulnerabilidade e essa demanda interna, resolvemos desenvolver uma extensão para o Burp Suite com o intuito de reduzirmos o tempo de submissão, pois existem informações que já possuímos no Burp Suite e não há necessidade de ser replicada de maneira manual para a nossa plataforma, ou seja, estamos removendo a necessidade do analista utilizar o seu ctrl+c e ctrl+v sempre nos mesmos campos.

Desta forma, utilizamos tais informações disponíveis para o preenchimento automático de alguns campos durante o processo de submissão de uma nova vulnerabilidade/notificação, poupando tempo e fazendo com que o foco seja no que realmente importa: a análise e o resultado entregue para o cliente.

A extensão se encontra disponível no Github, de maneira open-source.

Recursos

Por meio da extensão é possível enviar uma requisição do Burp Suite para o AppSec Flow, preenchendo automaticamente os campos de Método, Protocolo, URI, Parâmetros (caso possua), Requisição e Resposta do formulário de submissão de uma nova vulnerabilidade/notificação:

Assim como em situações onde uma issue acontece em mais de uma URI, ou em que é necessário mais de uma URI para descrevê-la melhor, é possível selecioná-las e enviá-las como evidência automaticamente, pois a aplicação criará arquivos de texto temporários contendo a requisição e a resposta do servidor para tais requisições previamente selecionadas:

Conclusão

Com os pontos aqui ressaltados sobre a extensão integrada ao AppSec Flow, são nítidos os benefícios agregados às análises, pois todas as partes envolvidas adquirem vantagens com o seu uso, por exemplo, a equipe de Pentest ou operação de Red Team terá o seu tempo de submissão de vulnerabilidades reduzido, fazendo com que os mesmos dediquem-se mais ao processo de identificação/exploração, assim como, quem receberá o relatório final, pois com um profissional dedicando-se mais a cada particularidade da aplicação, possui-se mais chances de identificação de pontos e, por consequência uma qualidade superior nos pontos identificados. 

Inscreva-se para não perder nenhuma novidade sobre o AppSecFlow

Gostaríamos que qualquer time/equipe utilize-a, seja o nosso time de PTaaS da Conviso, a sua equipe de AppSec e/ou Red Team, e inclusive o time de seus fornecedores -, pois existem duas coisas que devem ser compartilhadas: conhecimentos e ferramentas. 

Referências

https://portswigger.net/burp

https://portswigger.net/burp/extender

https://portswigger.net/burp/documentation/desktop/tools/extender

https://portswigger.net/about

https://github.com/convisoappsec/Burp-AppSecFlow

Texto: Heitor Gouvêa e Rangel Junior

About author

Articles

Uma equipe de profissionais, altamente conectados com as notícias, técnicas e informações sobre a segurança de aplicações.
Related posts
TechWebinar

Webinar Women in Tech - Equidade de gênero na tecnologia

Segundo o Instituto Brasileiro de Geografia e Estatística (IBGE), no Brasil, apenas 20% das…
Read more
TechWebinar

Webinar: Arquitetura de Segurança de Software

Frequentemente subestimada pelos profissionais inseridos na cultura DevSecOps, a Arquitetura de…
Read more
Tech

O IAM e a segurança do CI/CD

Já sabemos que devemos repensar alguns paradigmas da TI quando olhamos para o mundo de segurança…
Read more

Deixe um comentário