- Paros介紹
Paros是一種利用純java語言開發的安全漏洞掃描工具,它主要是爲了滿足那些需要對自己的web應用程序進行安全檢測的應用者而設計的。通過Paros的本地代理,所有在客戶端與服務器端之間的http和https數據信息,包括cookie和表單信息都將被攔截或者是修改。paros proxy,這是一個對Web 應用程序的漏洞進行評估的代理程序,即一個基於Java的web 代理程序,可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies 和表單字段等項目。它包括一個Web 通信記錄程序,Web 圈套程序(spider),hash 計算器,還有一個可以測試常見的Web 應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括:SQL 注入、跨站點腳本攻擊、目錄遍歷、CRLF -- Carriage-Return Line-Feed 回車換行等。
更多學習資料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
本手冊主要是幫助用戶熟悉Paros的基本功能和簡單應用。
- 安裝與配置
- 安裝
在安裝Paros工具之前需要安裝Java文件,也就是JDK,版本必須在1.4以上。Paros是需要JDK支持的,JDK的下載地址如下:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
接下來,下載Paros,地址爲:
http://sourceforge.net/projects/paros/
Paros分別有Windows和Linux版本,當前我們應用在Windows下,需要下載Windows版本。
Paros擁有兩個連接端口,分別爲8080和8443,8080主要是針對Http建立連接,而8443是針對Https的協議建立連接的端口。
安裝之後的Paros如圖所示:
開啓web瀏覽器,例如IE瀏覽器,需要配置連接代理,代理名稱爲localhost,代理端口爲:8080,而端口8443是由Paros本身所使用,不是web瀏覽器所用,所以不用設置此代理端口。
注意:如果後臺正在運行防火牆,而且只能接受設置好的互聯網訪問入口,此時需要修改Paros代理名稱和端口號,如下所示修改者兩個標識。
更多學習資料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
配置
首先啓動Paros程序,如果在啓動時界面上彈出錯誤提示,說明端口號8080和8443可能被佔用,此時我們只需要修改Paros的本地端口號,然後再修改IE瀏覽器上的代理設置,使之相一致就可以了。如下圖所示:
Paros的設置:
IE的代理設置:
首先來看Paros的界面以及功能分佈
Spider抓取
Spider是Paros中一個非常重要的功能,它是用來抓取網站信息,收集URL地址信息,通過Spider這種方式來來逐層分解抓取站點的URL。如圖所示:
當前,它的功能包括如下:
1)通過提供的URL地址來抓取HTTP或者HTTPS信息
2)支持抓取Cookie信息
3)支持設置代理鏈
4)自動添加URL地址,並以樹結構分層進行掃描
Spider存在的一些缺陷,如下:
1)對於具有非法驗證的SSL協議的站點不能被掃描
2)不支持多線程
3)對於在HTML中存在異常URL地址的頁面不能被識別
4)Javascript生成的URL地址不能被識別
注意:對於不能被 識別的URL地址,Paros也可以掃描,需要通過手動添加即可。
更多學習資料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
Scanner掃描
針對“site”欄中的URLS 進行掃描,逐一檢查對URLS 分別進行安全性檢查,驗證是否存在安全漏洞。如果想掃描"site"欄中所有的URLS,單擊anaylse-scanall可以啓動全部掃描。如果只想掃描“site”欄中某一URL,選中該URL,右擊鼠標,選取scan 命令。如下圖所示:
關於掃描設置,可以對單個頁面進行掃描,也可以對整個站點進行掃描。
Scanner可以針對一下幾種情況進行掃描:
1)SQL注入
2)XSS跨站點腳本攻擊
3)目錄遍歷
4)CRLF -- Carriage-Return Line-Feed 回車換行等。
注意:Paros掃描是針對每個網站URL地址進行分層掃描,精確到每個一個獨立的URL地址,都需要進行漏洞檢測。
更多學習資料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
1)蒐集的信息有如下分類:
過期的文件、私有IP的暴露、URL地址中可以改寫的Session ID、過期文件的擴展檢查。
2)客戶端瀏覽器有如下分類:
表單自動完成密碼的保存、瀏覽過程中保存的安全性文件的緩存信息。
3)服務器端安全有如下分類:
正在瀏覽的目錄信息、IIS服務的默認文件等各種服務器的默認文件。
4)SQL注入有如下分類
基本的sql語句構造、目錄上傳、服務器站點注入、跨站腳本注入等。
-
- Filter過濾器
過濾器的用途:
1)檢測並警告你在HTTP消息中一些預定義發生的模式,因此你不需要去捕獲每個HTTP消息,而只需要尋求你所需要的模式。
2)記錄一些你所感興趣的信息,例如Cookie等。
在數據傳輸中,過濾器會對每一個HTTP消息進行攔截檢測,如果使用所有過濾將會大大降低Paros的掃描速度,所以通常我們只需要對我們需要的信息進行攔截過濾。
當前,有如下過濾器:
1)LogCookie
記錄所有瀏覽器端到服務器端接收的Cookies信息,並顯示在面板中。
2)LogGetQuery
記錄所有HTTP(HTTPS)來自瀏覽器端獲取的參數,並且日誌的名稱將以“get.xls”的形式保存在Paros目錄下面。
3)LogPostQuery
記錄所有HTTP(HTTPS)來自瀏覽器端傳送的參數,並且日誌的名稱將以“post.xls”的形式保存在Paros目錄下面。
4)CookieDetectFilter
提醒你在返回HTTP消息中嘗試去設置並修改Cookie信息。
5)IfModifiedSinceFilter
在HTTP請求中刪除“If−Modified−Since”和“If−None−Match”這頭信息選項,它將檢索“HTTP 200 OK”,而不是“HTTP 304 not modified”。
-
- Traping Http Requests and Responses
Paros能手動捕獲和修改HTTP(HTTPS)的請求和響應信息,所有的HTTP和HTTPS數據通過Paros都能被捕獲,並且可以按照我們需要的方式進行修改。
只要選中複選框“Trap Request”和“Trap Response”,就表示捕獲所有的請求和響應信息,然後點擊“Continue”就可以繼續操作。具體操作如圖所示:
首先,啓動Paros工具,並啓動頁面;
其次,勾選Trap頁面的Trap Request和TrapResponse選項;
通過一個簡單的Http web站點來演示Paros的基本功能。
1、啓動Paros工具,進入Option設置Local Proxy,分別設置代理名稱爲:Localhost,代理端口爲:8081;接着設置IE瀏覽器的網絡連接代理,與Paros代理信息一致。
- 漏洞類型
漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。是受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。然而,常見的web安全漏洞有以下幾種。
-
- SQL注入
所謂SQL 注入,就是通過把SQL 命令插入到Web 表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL 命令. 比如先前的很多影視網站泄露VIP 會員密碼大多就是通過WEB 表單遞交查詢字符暴出的,這類表單特別容易受到SQL 注入式攻擊.
例如管理員的賬號密碼都是admin,那麼再比如後臺的數據庫查詢語句是
user=request("user")
passwd=request("passwd")
sql='select admin from adminbate where user='&'''&user&'''&' and
passwd='&'''&passwd&'''
那麼我使用'or 'a'='a 來做用戶名密碼的話,那麼查詢就變成了
select admin from adminbate where user= ''or 'a'='a' and passwd= ''or 'a'='a'
如何防止SQL注入,歸納一下,主要有以下幾點:
1)永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和雙"-"進行轉換等。
2)永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3)永遠不要使用管理員權限的數據庫連接,爲每個應用使用單獨的權限有限的數據庫連接。
4)不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。
5)應用的異常信息應該給出儘可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝。
6)sql注入的檢測方法一般採取輔助軟件或網站平臺來檢測。
-
- XSS攻擊
XSS又叫CSS (Cross Site Script) ,跨站點腳本攻擊。它指的是惡意攻擊者向Web 頁面裏插入惡意html 代碼,當用戶瀏覽該頁之時,嵌入其中Web 裏面的html 代碼會被執行,從而達到惡意攻擊用戶的特殊目的。
-
- 目錄遍歷
目錄遍歷攻擊是Http所存在的一個安全漏洞,它使得攻擊者能夠訪問受限制的目錄,並在Web服務器的根目錄以外執行命令。
-
- CRLF回車換行
CRLF是說黑客能夠將CRLF 命令注入到系統中。它不是系統或服務器軟件的漏洞,而是網站應用開發時,有些開發者沒有意識到此類攻擊存在的可能而造成的。
更多學習資料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948