Paros Proxy的安裝和運行需要預先配置JRE環境變量,安裝JRE 1.4或以上版本,在PATH環境變量中輸入JRE的安裝路徑,在CLASSPATH環境變量中輸入LIB路徑。然后就可以安裝Paros Proxy了。windows下照提示安裝。然后進行配置。
首先,paros需要兩個端口:8080和8443,其中8080是代理連接端口,8443是SSL端口,所以必須保證這兩個端口并未其它程序所占用。(查看端口命令:開始—運行—cmd—netstat,查看目前使用的端口)
然后配置瀏覽器屬性:打開瀏覽器(如IE),工具-選項-連接-LAN設置-選中proxy
server,proxyname為:localhost,port為:8080。(很顯然這之后就不能通過瀏覽器直接上網了)
如果你的計算機運行于防火墻之下,只能通過公司的代理服務器訪問網絡,你還需要修改PAROS的代理設置,具體的方法是:打開paros-工具 -Options-connection,修改”ProxyName” and “ProxyPort”兩項為代理服務器的名稱和端口。
打開paros之后用瀏覽器就能上網了,運行你要測試的
web應用,paros就會自動抓取其中位于第一層的URL(比如首頁的URL),并顯示在 左側的“site”欄中。選中一個URL,右鍵—spider,就能抓取所選層次下一層的所有URL。這樣可以把待測應用的所有URL都抓取出來。
不過paros并不能識別一些特定的URL路徑,比如一些URL鏈接需要在合法登錄后才能被識別出來,因此在進行URL抓取時,一定先要登錄網站。 對于未能被識別出來的那些URL,可以手動添加。打開paros—工具—manual request editor,輸入未被抓取的URLS,然后單擊SEND按鈕,完成手動加入URL,添加成功后的URL將顯示在左側的“site”欄中。
所有URL被抓取出來之后就可以逐一進行掃描了。可以對單一URL進行掃描,也可以對所有URLS進行掃描。掃描的結果會被保存到本地固定目錄。
例如:
Report generated at Mon, 14 Dec 2009 11:19:21.
Summary of Alerts
Paros Scanning Report
Alert Detail
然后就可以對掃描結果進行驗證了,比如掃描結果中有一是URL傳遞的參數中存在
SQL注入漏洞,那么將該URL及參數輸入到地址欄中,驗證結果。
English » | | | | | | | | |
English » | | | | | | | | |
Text-to-speech function is limited to 100 characters