網站掃描工具paros proxy（v3.2.13）安裝與使用總結

標籤：安全性漏洞   proxy server   漏洞   移動端網路抓包   

1、安裝  
(1) 安裝JRE

l         首先確保已安裝JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ]

注意：一定要先安裝JRE，然後再安裝paros proxy，如果先安裝paros proxyr後安裝JRE，paros proxy將無法啟動。
l         如果沒有JRE，可以通過以下地址下載並安裝：http://java.sun.com/j2se 如果找不到JRE，也可以下載相同版本的JDK，JDK會帶有JRE。

(2) 安裝和配置paros proxy應用程式

l         ：http://sourceforge.net/projects/paros/

l         安裝：

如果下載的是WINDOWS版本，安裝比較簡單。
如果下載的是UNIX或其它平台的版本，則需要手動將程式解壓到一個新的目錄，並單擊.JAR檔案運行程式。
l         配置：

paros需要兩個連接埠：8080和8443,其中8080是代理串連連接埠，8443是SSL連接埠，所以必須保證這兩個連接埠並未其它程式所佔用。（查看連接埠命令：開啟DOS命令視窗，輸入 netstat查看目前使用的連接埠）。如果在安裝完成,啟動應用程式時，出現初始化錯誤，極大的可能就是因為這個連接埠被其它程式所佔用。
配置瀏覽器屬性：開啟瀏覽器（如IE），開啟工具－選項－串連－LAN設定－選中proxy server，proxyname為：localhost，port為：8080
2、操作步驟
l         第一步：開啟paros proxy,然後在瀏覽器（IE）中開啟被測試網站。

l         第二步－－SPIDER：抓取URL。

?     執行第一步後，系統會自動抓取被測試網站位於URL層次樹中第一層的URL，並將這些URL顯示在左側的“site”欄中，然後在site欄中選中某一個URL，右擊滑鼠選取spider命令或單擊analyse菜單－spider命令，系統將抓取該URL層次樹中下一層次的URL。

?     注意：由於paros不能抓取一些特定的URL路徑，比如一些URL連結需要在合法登入後才能被識別出來，因此在進行URL抓取時，一定先要登入網站。

?     抓取功能不能處理以下情況：

具有非法驗證的SSL網站的URL是不能被抓取的。
不支援多線程
在HTML頁中的某些畸形URLS也是不能被識別的。
由javascrīpt產生的URLS也是不能被識別的。
雖然上述這些URLS不能被自動抓取，但是可以將其手動增加到左側的“site”欄中，具體的操作方法是：
首先要對被測試網站URL的層次樹有很好的瞭解，這樣才能知道哪個URL抓取了，哪還沒有被抓取。
對於未被抓取的URLS，通過開啟paros-工具-manual request editor，輸入未被抓取的URLS，然後單擊SEND按鈕，完成手動加入URLS動作，添加成功後的URLS將顯示在左側的“site”欄中。
l         第三步－－SCANNER：針對“site”欄中的URLS進行掃描，逐一檢查對URLS分別進行安全性檢查，驗證是否存在安全性漏洞。

?     如果想掃描"site"欄中所有的URLS，單擊anaylse-scan all可以啟動全部掃描。

?     如果只想掃描“site”欄中某一URL，選中該URL，右擊滑鼠，選取scan命令。

?     SCANNER可以對以下幾種情況進行檢查：

§           SQL注入

§           跨網站指令碼攻擊

§           目錄遍曆

§           CRLF -- Carriage-Return Line-Feed 斷行符號換行等。

                   註：可以通過anylse-scan policy進行安全檢查的設定。

l         第四步－－查看和驗證掃描結果：

?     掃描完成後，單擊Report-Last Scan report,可查看當前的掃描報告。

?     根據掃描報告，對掃描結果進行驗證，比如掃描結果中有一是URL傳遞的參數中存在SQL注入漏洞，我們將該URL及參數輸入到地址欄中，驗證結果。

l         第五步－－儲存抓取、掃描內容。

?     儲存時應注意：儲存的路徑不支援特殊字元，比如漢字等，否則會打不開儲存後的檔案。