Paros proxy:網頁程序漏洞評估代理
Paros Proxy的安裝和運行需要預先配置JRE環境變量,安裝JRE 1.4或以上版本,在PATH環境變量中輸入JRE的安裝路徑,在CLASSPATH環境變量中輸入LIB路徑。然后就可以安裝Paros Proxy了。windows下照提示安裝。然后進行配置。
下載鏈接:http://down.51cto.com/data/146321
首先,paros需要兩個端口:8080和8443,其中8080是代理連接端口,8443是SSL端口,所以必須保證這兩個端口并未其它程序所占用。(查看端口命令:開始—運行—cmd—netstat,查看目前使用的端口)
然后配置瀏覽器屬性:打開瀏覽器(如IE),工具-選項-連接-LAN設置-選中proxy server,proxyname為:localhost,port為:8080。(很顯然這之后就不能通過瀏覽器直接上網了)
如果你的計算機運行于防火墻之下,只能通過公司的代理服務器訪問網絡,你還需要修改PAROS的代理設置,具體的方法是:打開paros-工具-Options-connection,修改”ProxyName” and “ProxyPort”兩項為代理服務器的名稱和端口。
現在可以運行paros進行測試。
打開paros之后用瀏覽器就能上網了,運行你要測試的web應用,paros就會自動抓取其中位于***層的URL(比如首頁的URL),并顯示在左側的“site”欄中。選中一個URL,右鍵—spider,就能抓取所選層次下一層的所有URL。這樣可以把待測應用的所有URL都抓取出來。
不過paros并不能識別一些特定的URL路徑,比如一些URL鏈接需要在合法登錄后才能被識別出來,因此在進行URL抓取時,一定先要登錄網站。對于未能被識別出來的那些URL,可以手動添加。打開paros—工具—manual request editor,輸入未被抓取的URLS,然后單擊SEND按鈕,完成手動加入URL,添加成功后的URL將顯示在左側的“site”欄中。
所有URL被抓取出來之后就可以逐一進行掃描了。可以對單一URL進行掃描,也可以對所有URLS進行掃描。掃描的結果會被保存到本地固定目錄。
例如:
Report generated at Mon, 14 Dec 2009 11:19:21.
Summary of Alerts
Paros Scanning Report
| Risk Level | Number of Alerts |
| High | 0 |
| Medium | 2 |
| Low | 0 |
| Informational | 0 |
Alert Detail
| Medium (Warning) | Password Autocomplete in browser |
| Description |
AUTOCOMPLETE attribute is not disabled in HTML FORM/INPUT element containing password type input. Passwords may be stored in browsers and retrieved. |
|
http://******.com/index.php |
|
<input type=”password” name=”pword” id=”pword”/> |
| Solution |
Turn off AUTOCOMPLETE attribute in form or individual input elements containing password by using AUTOCOMPLETE=’OFF’ |
| Reference |
http://msdn.microsoft.com/library/default.asp?url=/workshop/author/forms/autocomplete_ovr.asp |
| Medium (Suspicious) | Lotus Domino default files |
| Description |
Lotus Domino default files found. |
|
http://******.com/?OpenServer |
|
http://******.com/?Open |
| Solution |
Remove default files. |
| Reference | |
然后就可以對掃描結果進行驗證了,比如掃描結果中有一是URL傳遞的參數中存在SQL注入漏洞,那么將該URL及參數輸入到地址欄中,驗證結果。
這個工具并不能對web應用進行全面安全測試,今后還會研究一些其它的工具,結合起來,完善測試。
