Paros工具使用操作手册
- Paros介绍
Paros是一种利用纯java语言开发的安全漏洞扫描工具,它主要是为了满足那些需要对自己的web应用程序进行安全检测的应用者而设计的。通过Paros的本地代理,所有在客户端与服务器端之间的http和https数据信息,包括cookie和表单信息都将被拦截或者是修改。paros proxy,这是一个对Web 应用程序的漏洞进行评估的代理程序,即一个基于Java的web 代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web 通信记录程序,Web 圈套程序(spider),hash 计算器,还有一个可以测试常见的Web 应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括:SQL 注入、跨站点脚本攻击、目录遍历、CRLF -- Carriage-Return Line-Feed 回车换行等。
本手册主要是帮助用户熟悉Paros的基本功能和简单应用。
了解更多测试知识访问如下链接:
https://edu.csdn.net/course/detail/22948
https://edu.csdn.net/lecturer/3215
https://edu.csdn.net/course/detail/30898
https://edu.csdn.net/course/detail/25768
-
安装与配置
- 安装
在安装Paros工具之前需要安装Java文件,也就是JDK,版本必须在1.4以上。Paros是需要JDK支持的,JDK的下载地址如下:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
接下来,下载Paros,地址为:
http://sourceforge.net/projects/paros/
Paros分别有Windows和Linux版本,当前我们应用在Windows下,需要下载Windows版本。
Paros拥有两个连接端口,分别为8080和8443,8080主要是针对Http建立连接,而8443是针对Https的协议建立连接的端口。
安装之后的Paros如图所示:
开启web浏览器,例如IE浏览器,需要配置连接代理,代理名称为localhost,代理端口为:8080,而端口8443是由Paros本身所使用,不是web浏览器所用,所以不用设置此代理端口。
注意:如果后台正在运行防火墙,而且只能接受设置好的互联网访问入口,此时需要修改Paros代理名称和端口号,如下所示修改者两个标识。
-
- 配置
首先启动Paros程序,如果在启动时界面上弹出错误提示,说明端口号8080和8443可能被占用,此时我们只需要修改Paros的本地端口号,然后再修改IE浏览器上的代理设置,使之相一致就可以了。如下图所示:
Paros的设置:
IE的代理设置:
- 功能介绍
首先来看Paros的界面以及功能分布
-
- Spider抓取
Spider是Paros中一个非常重要的功能,它是用来抓取网站信息,收集URL地址信息,通过Spider这种方式来来逐层分解抓取站点的URL。如图所示:
当前,它的功能包括如下:
1)通过提供的URL地址来抓取HTTP或者HTTPS信息
2)支持抓取Cookie信息
3)支持设置代理链
4)自动添加URL地址,并以树结构分层进行扫描
Spider存在的一些缺陷,如下:
1)对于具有非法验证的SSL协议的站点不能被扫描
2)不支持多线程
3)对于在HTML中存在异常URL地址的页面不能被识别
4)Javascript生成的URL地址不能被识别
注意:对于不能被 识别的URL地址,Paros也可以扫描,需要通过手动添加即可。
了解更多测试知识访问如下链接:
https://edu.csdn.net/course/detail/22948
https://edu.csdn.net/lecturer/3215