• 站点扫描工具paros proxy(v3.2.13)安装与使用总结


     技术支持留言:http://www.lcpower.cn

    1、安装  
    (1) 安装JRE

    l         首先确保已安装JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ]

    注意:一定要先安装JRE,然后再安装paros proxy。假设先安装paros proxyr后安装JRE,paros proxy将无法启动。


    l         假设没有JRE。能够通过下面地址下载并安装:http://java.sun.com/j2se 假设找不到JRE。也能够下载同样版本号的JDK,JDK会带有JRE。

    (2) 安装和配置paros proxy应用程序

    l         下载地址:http://sourceforge.net/projects/paros/

    l         安装:

    假设下载的是WINDOWS版本号,安装比較简单。


    假设下载的是UNIX或其他平台的版本号。则须要手动将程序解压到一个新的文件夹,并单击.JAR文件执行程序。


    l         配置:

    paros须要两个port:8080和8443,当中8080是代理连接port,8443是SSLport。所以必须保证这两个port并未其他程序所占用。

    (查看port命令:打开DOS命令窗体,输入 netstat查看眼下使用的port)。假设在安装完毕,启动应用程序时,出现初始化错误,极大的可能就是由于这个port被其他程序所占用。
    配置浏览器属性:打开浏览器(如IE),打开工具-选项-连接-LAN设置-选中proxy server。proxyname为:localhost。port为:8080
    2、操作步骤
    l         第一步:打开paros proxy,然后在浏览器(IE)中打开被測试站点。

    l         第二步--SPIDER:抓取URL。

    Ø     运行第一步后,系统会自己主动抓取被測试网站位于URL层次树中第一层的URL,并将这些URL显示在左側的“site”栏中,然后在site栏中选中某一个URL。右击鼠标选取spider命令或单击analyse菜单-spider命令,系统将抓取该URL层次树中下一层次的URL。

    Ø     注意:因为paros不能抓取一些特定的URL路径。比方一些URL链接须要在合法登录后才干被识别出来。因此在进行URL抓取时,一定先要登录站点。

    Ø     抓取功能不能处理下面情况:

    具有非法验证的SSL网站的URL是不能被抓取的。
    不支持多线程
    在HTML页中的某些畸形URLS也是不能被识别的。
    由javascrīpt生成的URLS也是不能被识别的。
    尽管上述这些URLS不能被自己主动抓取,可是能够将其手动添加到左側的“site”栏中,详细的操作方法是:
    首先要对被測试网站URL的层次树有非常好的了解。这样才干知道哪个URL抓取了,哪还没有被抓取。
    对于未被抓取的URLS。通过打开paros-工具-manual request editor,输入未被抓取的URLS,然后单击SENDbutton。完毕手动加入URLS动作,加入成功后的URLS将显示在左側的“site”栏中。
    l         第三步--SCANNER:针对“site”栏中的URLS进行扫描,逐一检查对URLS分别进行安全性检查,验证是否存在安全漏洞。

    Ø     假设想扫描"site"栏中所有的URLS,单击anaylse-scan all能够启动所有扫描。

    Ø     假设仅仅想扫描“site”栏中某一URL。选中该URL,右击鼠标,选取scan命令。

    Ø     SCANNER能够对下面几种情况进行检查:

    §           SQL注入

    §           跨网站脚本攻击

    §           文件夹遍历

    §           CRLF -- Carriage-Return Line-Feed 回车换行等。

                       注:能够通过anylse-scan policy进行安全检查的设置。

    l         第四步--查看和验证扫描结果:

    Ø     扫描完毕后。单击Report-Last Scan report,可查看当前的扫描报告。

    Ø     依据扫描报告。对扫描结果进行验证,比方扫描结果中有一是URL传递的參数中存在SQL注入漏洞,我们将该URL及參数输入到地址栏中,验证结果。

    l         第五步--保存抓取、扫描内容。

    Ø     保存时应注意:保存的路径不支持特殊字符。比方汉字等,否则会打不开保存后的文件。

  • 相关阅读:
    题目1101:计算表达式
    九度oj 题目1107:搬水果
    [Hihocoder] 字符串排序
    [hzwer] 模拟T
    [Luogu] 宝藏
    [Luogu] 列队
    [Luogu] 奶酪
    [Luogu] 逛公园
    [Luogu] 时间复杂度
    [Luogu] 小凯的疑惑
  • 原文地址:https://www.cnblogs.com/wgwyanfs/p/6795954.html
Copyright © 2020-2023  润新知