Burp Suite Dast ile tanışın: Sorularınız Cevaplandı | Blog

   Mayıs 29, 2025  Posted in Mix


Andrzej Matykiewicz 29 Mayıs 2025, 09:29 UTC

Burp Suite Dast ile tanışınKısa bir süre önce, herhangi bir ölçekte modern APPSEC ekipleri için Burp Suite Enterprise Edition’ın yeni adı, sınıfının en iyisi, otomatik web uygulaması ve API güvenlik tarama çözümü olan Burp Suite Dast’ı tanıtmak için bir web semineri barındırdık.

APPSEC endüstrisinden binlerce katılımcıdan yüksek düzeyde katılım ve anlayışlı sorular görmekten heyecan duyduk. Bu yazıda, web seminerinden en sık sorulan sorulardan bazılarına cevap vereceğiz.

Adını neden Burp Suite Dast olarak değiştirdiniz?

“Burp Suite Enterprise Edition” dan “Burp Suite Dast” a geçiş, ürünün amacını iletmede netlik ve hassasiyet ihtiyacı nedeniyle yönlendirildi. Önceki isim genellikle karışıklığa yol açtı, bazıları sadece Burp Suite Professional’ın çok kullanıcı bir versiyonu olduğunu varsaydı. Sonuç olarak, bazı kuruluşlar, Burp Suite Professional’ın yanında oturmak için farklı, ancak tamamlayıcı bir DAST çözüm sunduğumuzun farkında değildi ve yıllardır gereksiz yere subpar dast tarayıcılara katlanıyorlardı.

“Burp Suite Dast” adını benimseyerek, bu karışıklığı hafifletmeyi ve ürünün temel değerini daha net bir şekilde ifade etmeyi amaçlıyoruz: ekibinizin, Burp Suite Professional dahil zaten kullandığı araçlarla sorunsuz bir şekilde entegre olan dinamik uygulama güvenlik testi için ölçeklenebilir, otomatik bir çözüm. Bu değişiklik, potansiyel kullanıcıların, özellikle daha geniş güvenlik stratejilerini geliştirmek veya otomatik güvenlik testlerini CI/CD boru hatlarına entegre etmek için DASS çözümlerini değerlendirirken, ürünün güvenlik yığınlarındaki rolünü hemen tanımasını sağlar.

Burp Suite Dast, SAP, Microsoft ve MasterCard dahil olmak üzere 17.000’den fazla kuruluşun güvendiği sektör lideri tarama motoru tarafından desteklenmeye devam ediyor ve herhangi bir ölçekte kuruluşlar için çözümümüzü daha da optimize etmek için iddialı planlarımız var.

Burp Suite Dast Tamamlayıcı Burp Suite Professional?

Burp Suite Dast ve Burp Suite Professional, birlikte çalışmak için inşa edilmiştir. Burp Suite Dast, otomatik, planlanmış taramayı ölçeklendirerek, ekiplerin web sitelerinde potansiyel güvenlik açıklarını belirlemelerine yardımcı olur. Güvenlik ekipleri daha sonra daha derine dalmak, sorunları doğrulamak, yanlış pozitifleri ortadan kaldırmak ve ayrıntılı iyileştirme tavsiyesi hazırlamak için Burp Suite Professional’ı kullanabilir. Bu iş akışı, zaman ve kaynakların verimli kullanılmasını sağlar.

Başka hiçbir Dast satıcısı tamamlayıcı bir manuel test araç seti sunmuyor ve manuel test cihazlarınız neredeyse kesinlikle Burp Suite Professional’ı kullanıyor. Bu nedenle, Burp Suite Dast’a aşina değilseniz, şimdi otomasyon ve manuel test arasındaki boşluğu doldurarak uygulamanızı nasıl yükseltebileceğinizi görmek için mükemmel bir zaman.

Burp Suite Dast, yüzlerce uygulama içeren daha büyük web siteleriyle nasıl performans gösterir?

Büyük web siteleri olan kuruluşlar için, Burp Suite Dast Binlerce uygulamayı taramak için sorunsuz bir şekilde ölçekler. Büyük web sitelerini desteklemek, son altı ay boyunca önemli bir odak noktası olmuştur ve yüzlerce uygulamayı tarayan müşteriler için gelişmiş performansı açıkça hedefleyen bir dizi iyileştirme. Bunlar şunları içerir:

  • Taramaların toplu planlanması
  • API’lerin toplu yönetimi
  • Optimize edilmiş CI/CD entegrasyonu
  • Akıllı denetim öğesi önceliklendirmesi ve paralel tarama ve denetim aşamalarıyla daha hızlı tarama verimi

Bu özellikler, güvenliği devsecops süreçlerine entegre etmek isteyen işletmeler için idealdir.

Burp Suite Dast API’lerimi tarayabilir mi?

Evet. API güvenliğinin her yerde APPSEC ekipleri için en önemli öncelik olduğunu biliyoruz ve bu, mühendislik ekiplerimiz için bir başka temel odak alanı. Burp Suite Dast, API’leri daha geniş bir web uygulaması taramasının bir parçası olarak veya izole olarak tarayabilir.

Şu anda API hedefleri için aşağıdaki biçimleri desteklemektedir:

  • Postacı Koleksiyonu
  • Openapi
  • SABUN
  • GraphQL

Burp Suite Dast, API’lerin kimliği doğrulanmış taramasını güvenilir bir şekilde işleyebilir. Karmaşık ortamlar için esneklik sunarak hem statik hem de dinamik yenileme token akışları yoluyla kimlik doğrulamasını destekliyoruz.

Ekosistemimizi ekiplerinizin zaten kullandığı araçlarla sorunsuz bir şekilde entegre etmek için genişlettik. Bir dizi yerel entegrasyonun yanı sıra kuruluşunuzun şu anda kullandığı araçlarla özel entegrasyonlar için güçlü bir GraphQL API’sını sunuyoruz. Bunlar şunları içerir:

  • Jira, Trello, Gitlab gibi bilet platformları
  • Armorcode gibi ASPM’ler
  • Splunk gibi VM’ler ve SIEM platformları
  • Slack gibi işbirliği araçları
  • LDAP, SCIM, SAML ve daha fazlası aracılığıyla kimlik ve erişim yönetimi çözümleri

Bu entegrasyonlar raporlama, triyaj ve iyileştirme iş akışlarını kolaylaştırır.

CI/CD boru hattımdan güvenlik açığı taramalarını çalıştırmak için Burp Suite Dast’ı kullanabilir miyim?

Kesinlikle. Uygulamalarınızın ve API’larınızın yinelenen taramalarını planlamanın yanı sıra, hangi platformu kullanırsanız kullanın, taramaları mevcut CI/CD boru hatlarınıza kolayca entegre edebilirsiniz.

CI güdümlü tarama ve son derece ayrıntılı özelleştirme seçenekleri için optimize edilmiş yerleşik konfigürasyonlar ile, çekirdek dallarınıza girmeden önce güvenlik açıklarını kesmenizi sağlayarak, sorun sayısı, şiddet ve güven seviyelerine göre yapımınızı başarısız olmak için taramalarınızı ayarlayabilirsiniz.

Platform-agnostik CI/CD entegrasyonumuz, tarama sonuçlarını doğrudan boru hattında, normal taramalarınızla aynı gösterge tablosundan veya mevcut güvenlik açığı yönetim platformunuz aracılığıyla tüketmenizi sağlar.

Web Güvenlik Akademisi, CAPEC ve CWES’ten ayrıntılı iyileştirme tavsiyesi ve referans materyali ile Burp Suite Dast, geliştiricilerinize kendileri için temel sorunları çözmeleri için güç verir ve uzman manuel testçilerinizi uzmanlıklarını gerektiren karmaşık sorunlara odaklanmak için serbest bırakır.

CI/CD entegrasyonunu kapsayan özel bir web seminerine ev sahipliği yapıyoruz. Daha fazla bilgi için şimdi kaydolun.

Burp Suite Dast ek yeteneklerle geliyor mu?

Burp Suite Dast, Burp Suite Enterprise Edition için sadece yeni, daha net bir isimdir. Bununla birlikte, daha önce Burp Suite Enterprise Edition’ı değerlendirmiş olsanız bile, geçen yıl boyunca, aşağıdaki önemli temalara dayanan birkaç büyük yükseltme ekledik:

  • Geliştirilmiş ölçeklenebilirlik: Toplu planlama ve özelleştirilmiş CI/CD taramaları ile geniş mülkleri kullanın.
  • Daha hızlı güvenlik açığı tespiti: Paralel tarama ve denetim aşamaları ve denetim öğelerinin akıllıca önceliklendirilmesi yoluyla geliştirilmiş tarama motoru performansı.
  • Yerel API taraması: Postacı koleksiyonları, openapi, sabun ve GraphQL’i, taranması gereken dinamik jetonlara dayananlar da dahil olmak üzere en yaygın kimlik doğrulama yöntemleri için yerel destekle tarayın.
  • Genişletilmiş entegrasyonlar: Jira, Splunk ve daha fazlası gibi araçlarla daha iyi görünürlük, sorun yönetimi ve gelişmiş bağlantılar.

Burp Suite Dast için yol haritasında neler var?

2025 yılına baktığımızda, yol haritamız, modern APPSEC ekiplerinin iş akışlarını kolaylaştırmak için daha da optimize etmek için tasarlanmış bir sayı geliştirmeleri içeriyor. Bunlar şunları içerir:

  • Varlık Etiketleme
  • Dondurucu pencereleri tarama
  • Geliştirilmiş kimlik doğrulama
  • Basitleştirilmiş Kapsam Kontrolü
  • Tam Sorun Geçmişi ve Geliştirilmiş Sorun Yönetimi Özellikleri

Bu özellikler, iyileştirme konularında daha fazla kontrol, görünürlük ve verimlilik kazanmanıza yardımcı olmak için tasarlanmıştır.

Hangi yerleşik ve destek mevcuttur?

Hem standart hem de premium yerleşik paketler sunuyoruz:

  • Standart: Özel bir Müşteri Başarı Yöneticisi (CSM), işbirlikçi yerleşik çalışma alanı ve hedefe yönelik sunum planlaması içerir.
  • Premium: Ismarlama katılım, modül tabanlı eğitim ve esnek check-in kadansları ekler. Bu seçenekler, kuruluşunuzun ihtiyaçlarına göre uyarlanmış Burp Suite Dast’tan en fazla değeri almanızı sağlar.

Burp Suite Dast’taki Burp Suite Professional’dan mevcut uzantılarımı kullanabilir miyim?

Evet – Burp Suite Dast ve Burp Suite Professional, aynı temel tarama motoru üzerine inşa edilmiştir. Bu, mevcut tarama yapılandırmalarınızı, özel tarama kontrollerinizi ve tarama uzantılarınızı Burp Suite Professional’dan yeniden kullanabileceğiniz anlamına gelir.

Sırada ne var?

Web semineri için bize katılan herkese teşekkürler. Uygulama güvenlik testinizi Burp Suite Dast ile ölçeklendirmenize yardımcı olmaktan heyecan duyuyoruz.

Daha fazla sorunuz mu var veya bunu eylemde görmek mi istiyorsunuz? Yaklaşan CI/CD odaklı web seminerimiz için kişiselleştirilmiş bir çağrı veya kaydolun.

Web Seminerinin tamamını izleyin

Canlı oturumu özledin mi? Tüm tescil ettirenler e -posta yoluyla tam bir kayıt alacak ve bunu herkes için kısa süre içinde web sitesine yükleyeceğiz.

Onurlu söz

Kesinlikle bir soru değil, ama bir katılımcıdan bu öneriyi çok takdir ettik:

Sunucu sakalını penser bir şekilde okşarken iç.

Hızlı bir araştırma artışından sonra, uygulama güvenliğine bu yeni yaklaşımın etkinliğini doğrulayamadık ve ilk veriler umut verici görünmüyor. Bunu gelecekte tekrar inceleyebiliriz, ancak şimdilik bu alanda daha fazla Ar -Ge rafa kaldırıldı.

Başka önerileriniz varsa veya sadece Portswigger araştırmacıları, geliştiriciler ve en büyük APPSEC profesyonelleri ve meraklıları topluluğuyla takılmak istiyorsanız, Portswigger Discord Server’a katılın.

Andrzej Matykiewicz



Source link