Paros工具使用手册-图文介绍适合Andiparos.docVIP

Paros工具使用手册 目 录 1 Paros介绍 1 2 安装与配置 2 2.1 安装 2 2.2 配置 3 3 功能介绍 5 3.1 Spider抓取 5 3.2 Scanner扫描 7 3.3 Filter过滤器 8 3.4 Traping Http Requests and Responses 9 3.5 Last Scan Report 12 4 应用 14 5 漏洞类型 18 5.1 SQL注入 18 5.2 XSS攻击 19 5.3 目录遍历 19 5.4 CRLF回车换行 19 6 注意事项 20 Paros介绍 Paros是一种利用纯java语言开发的安全漏洞扫描工具，它主要是为了满足那些需要对自己的web应用程序进行安全检测的应用者而设计的。通过Paros的本地代理，所有在客户端与服务器端之间的http和https数据信息，包括cookie和表单信息都将被拦截或者是修改。paros proxy，这是一个对Web 应用程序的漏洞进行评估的代理程序，即一个基于Java的web 代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web 通信记录程序，Web 圈套程序(spider)，hash 计算器，还有一个可以测试常见的Web 应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括：SQL 注入、跨站点脚本攻击、目录遍历、CRLF -- Carriage-Return Line-Feed 回车换行等。 本手册主要是帮助用户熟悉Paros的基本功能和简单应用。 安装与配置 安装 在安装Paros工具之前需要安装Java文件，也就是JDK，版本必须在1.4以上。Paros是需要JDK支持的，JDK的下载地址如下： /technetwork/java/javase/downloads/index.html 接下来，下载Paros，地址为： /projects/paros/ Paros分别有Windows和Linux版本，当前我们应用在Windows下，需要下载Windows版本。 Paros拥有两个连接端口，分别为8080和8443，8080主要是针对Http建立连接，而8443是针对Https的协议建立连接的端口。 安装之后的Paros如图所示： 开启web浏览器，例如IE浏览器，需要配置连接代理，代理名称为localhost,代理端口为：8080，而端口8443是由Paros本身所使用，不是web浏览器所用，所以不用设置此代理端口。 注意：如果后台正在运行防火墙，而且只能接受设置好的互联网访问入口，此时需要修改Paros代理名称和端口号，如下所示修改者两个标识。 配置 首先启动Paros程序，如果在启动时界面上弹出错误提示，说明端口号8080和8443可能被占用，此时我们只需要修改Paros的本地端口号，然后再修改IE浏览器上的代理设置，使之相一致就可以了。如下图所示： Paros的设置： IE的代理设置： 功能介绍 首先来看Paros的界面以及功能分布 Spider抓取 Spider是Paros中一个非常重要的功能，它是用来抓取网站信息，收集URL地址信息，通过Spider这种方式来来逐层分解抓取站点的URL。如图所示： 当前，它的功能包括如下： 1）通过提供的URL地址来抓取HTTP或者HTTPS信息 2）支持抓取Cookie信息 3）支持设置代理链 4）自动添加URL地址，并以树结构分层进行扫描 Spider存在的一些缺陷，如下： 1）对于具有非法验证的SSL协议的站点不能被扫描 2）不支持多线程 3）对于在HTML中存在异常URL地址的页面不能被识别 4）Javascript生成的URL地址不能被识别 注意：对于不能被 识别的URL地址，Paros也可以扫描，需要通过手动添加即可。 Scanner扫描 针对“site”栏中的URLS 进行扫描，逐一检查对URLS 分别进行安全性检查，验证是否存在安全漏洞。如果想扫描site栏中所有的URLS，单击anaylse-scanall可以启动全部扫描。如果只想扫描“site”栏中某一URL，选中该URL，右击鼠标，选取scan 命令。如下图所示： 关于扫描设置，可以对单个页面进行扫描，也可以对整个站点进行扫描。 Scanner可以针对一下几种情况进行扫描： 1）SQL注入 2）XSS跨站点脚本攻击 3）目录遍历 4）CRLF -- Carriage-Return Line-Feed 回车换行等。 注意：Paros扫描是针对每个网站URL地址进行分层扫描，精确到每个一个独立的URL地址，都需要进行漏洞检测。 关于扫描策略的设置如下： 1）搜集的