Asistente de IA para Burp Suite para respaldar las pruebas de penetración

Inteligencia artificial en seguridad informática
BurpGPT ayuda en las pruebas de penetración

Con BurpGPT, Burp Suite se puede ampliar para incluir un asistente de inteligencia artificial que ayude a los usuarios de la herramienta de seguridad en su trabajo diario. Analizamos más de cerca la herramienta como parte de nuestra serie sobre IA en la seguridad de TI.

el ala de eructo Desde PortSwigger, ambos en uno Edición comunitaria gratuitaY también en pago profesional- respectivamente Ediciones empresariales Es un software de seguridad que se puede utilizar para realizar pruebas de penetración en aplicaciones web. La suite incluye varios componentes diferentes, como un robot de indexación (Burp Spider), un escáner de vulnerabilidades (Burp Scanner), un repetidor HTTP (Burp Repeater), una herramienta de ataque (Burp Intruder) y un servidor proxy (Burp Proxy). . La solución tiene como objetivo acelerar y automatizar las pruebas de seguridad de las aplicaciones.

Burp Scanner es capaz de escanear varias aplicaciones web, como aplicaciones de página única (SPA) y API. Además, también puede manejar secuencias de autenticación complejas. Todos los pasos realizados usando el grupo se pueden grabar y luego buscar usando la función de búsqueda. Burp Suite es una herramienta interesante y Community Edition proporciona un buen punto de entrada para aquellos interesados. Sin embargo, BurpGPT solo funciona con Burp Suite Pro pago, debido a las diferentes capacidades de la comunidad y la versión Pro.

Para tener una idea del alcance de las capacidades de BurpGPT, entrevistamos al desarrollador de la solución, Alexandre Teyar, quien también nos presentó el conjunto de funciones del Asistente de IA durante la entrevista. Según Tayyar, los profesionales de seguridad de aplicaciones utilizan BurpGPT. La herramienta de inteligencia artificial es especialmente popular entre los usuarios de consultoría, finanzas, comercio minorista y similares. Esto se aplica tanto a usuarios de países en desarrollo que tienen poca experiencia como a usuarios profesionales de países industrializados que quieren mejorar sus procesos de trabajo y cubrir puntos débiles.

BurpGPT establece una conexión operativa entre Burp Suite y la API de OpenAI y luego utiliza los servicios proporcionados, como GPT-4, para analizar los datos recopilados en las pruebas de penetración utilizando Burp Suite. Alternativamente, la solución también puede funcionar con la integración de Azure Open AI. En este caso, los datos permanecen en el entorno corporativo. Esta opción tiene sentido si existen requisitos especiales de seguridad de datos. Es posible que se agreguen proveedores adicionales en el futuro.

En la práctica, los usuarios tienen la opción de especificar condiciones marco como la duración de las indicaciones y el uso de marcadores de posición como “(solicitud)” y “(respuesta)” (más sobre esto más adelante) en la entrada. De esta forma tienen un control integral sobre el uso de la aplicación. La flexibilidad y versatilidad de la solución es realmente excelente en el uso práctico, lo que significa que los usuarios pueden preguntar básicamente cualquier cosa.

Para gestionar de manera eficiente los reclamos creados por los empleados o la comunidad, BurpGPT proporciona una biblioteca de reclamos central. Las indicaciones se pueden exportar aquí y compartir con otros usuarios.

Otra característica interesante del AI Assistant es la capacidad de utilizar modelos de lenguaje grande (LLM) locales en lugar de proveedores externos como ChatGPT. Esta opción está pensada para aplicaciones en las que los requisitos de privacidad son especialmente altos, ya que con la certificación LLM local, en principio ya no es necesario que los datos relacionados con las pruebas salgan del dispositivo. Sin embargo, todavía no se recomienda un LLM local para trabajos de producción. Aunque la función es lo suficientemente funcional para la mayoría de las configuraciones, la estabilidad de los LLM locales no puede considerarse lo suficientemente sólida. La característica todavía se considera un trabajo en progreso. Actualmente hay más de 11.000 modelos entrenados disponibles en la biblioteca Hugging Face, un centro para modelos de código abierto, que BurpGPT puede utilizar.

Uso práctico

Para trabajar con BurpGPT, los usuarios primero realizan una solicitud. Por ejemplo, esto podría leer: “Analice la siguiente solicitud HTTP y la respuesta asociada para detectar posibles vulnerabilidades. Preste especial atención a las 10 vulnerabilidades principales en OWASP, como la inyección SQL. Luego, BurpGPT utiliza el LLM conectado para el análisis. Los elementos se reemplazan. Marcadores de posición como “(solicitud)” y “(respuesta)” en el mensaje con las solicitudes enviadas por Burp Suite o las respuestas recibidas devolverán un informe completo de los datos solicitados y, como parte de la respuesta, el sistema también emitirá una advertencia.

Actualmente, BurpGPT admite todos los casos de uso imaginables y puede ser una ayuda importante para los usuarios cuando se trata de ahorrar tiempo o aprender sobre el tema. “BurpGPT es imprescindible tanto para los profesionales de seguridad de TI como para los principiantes, ya que la herramienta proporciona una manera perfecta de aprovechar el poder de los LLM en su flujo de trabajo a través de la integración con Burp Suite”, dijo el Sr. Tayar. Sin embargo, es importante tener en cuenta que, aunque BurpGPT amplía las capacidades de prueba, no pretende reemplazar las pruebas de penetración en profundidad. Todavía se recomienda la verificación manual de los resultados para evaluaciones de seguridad integrales.

Así como los proveedores de LLM como OpenAI o el servicio Azure OpenAI se integran a través de sus API públicas, los LLM se pueden aprovechar en las instalaciones para realizar análisis basados ​​en el tráfico y escaneo de vulnerabilidades mejorado. Los usuarios pueden probar el programa Hugging Face LLM o capacitar el suyo propio, lo que puede mejorar los resultados y al mismo tiempo garantizar la privacidad. Además, BurpGPT se puede utilizar para detectar vulnerabilidades de día cero, evaluar la integridad criptográfica de bibliotecas y mucho más.

Conclusión

BurpGPT es un buen ejemplo de IA adaptada a un producto específico. Abre muchas posibilidades nuevas. Dado que ha evolucionado a partir de un proyecto de prueba de concepto y todavía está prácticamente en su infancia, todavía hay mucho que esperar de la herramienta en el futuro.

(ID:50011116)