Paros工具使用手冊

1. Paros介紹

Paros是一種利用純java語言開發的安全漏洞掃描工具，它主要是爲了滿足那些需要對自己的web應用程序進行安全檢測的應用者而設計的。通過Paros的本地代理，所有在客戶端與服務器端之間的http和https數據信息，包括cookie和表單信息都將被攔截或者是修改。paros proxy，這是一個對Web 應用程序的漏洞進行評估的代理程序，即一個基於Java的web 代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies 和表單字段等項目。它包括一個Web 通信記錄程序，Web 圈套程序(spider)，hash 計算器，還有一個可以測試常見的Web 應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL 注入、跨站點腳本攻擊、目錄遍歷、CRLF -- Carriage-Return Line-Feed 回車換行等。

更多學習資料

https://edu.csdn.net/course/detail/25768
 https://edu.csdn.net/course/detail/22948

本手冊主要是幫助用戶熟悉Paros的基本功能和簡單應用。

1. 安裝與配置
   1. 安裝

在安裝Paros工具之前需要安裝Java文件，也就是JDK，版本必須在1.4以上。Paros是需要JDK支持的，JDK的下載地址如下：

http://www.oracle.com/technetwork/java/javase/downloads/index.html

接下來，下載Paros，地址爲：

http://sourceforge.net/projects/paros/

Paros分別有Windows和Linux版本，當前我們應用在Windows下，需要下載Windows版本。

Paros擁有兩個連接端口，分別爲8080和8443，8080主要是針對Http建立連接，而8443是針對Https的協議建立連接的端口。

安裝之後的Paros如圖所示：

 

開啓web瀏覽器，例如IE瀏覽器，需要配置連接代理，代理名稱爲localhost,代理端口爲：8080，而端口8443是由Paros本身所使用，不是web瀏覽器所用，所以不用設置此代理端口。

注意：如果後臺正在運行防火牆，而且只能接受設置好的互聯網訪問入口，此時需要修改Paros代理名稱和端口號，如下所示修改者兩個標識。

更多學習資料

https://edu.csdn.net/course/detail/25768
 https://edu.csdn.net/course/detail/22948​​​​​​​

 

配置

首先啓動Paros程序，如果在啓動時界面上彈出錯誤提示，說明端口號8080和8443可能被佔用，此時我們只需要修改Paros的本地端口號，然後再修改IE瀏覽器上的代理設置，使之相一致就可以了。如下圖所示：

Paros的設置：

IE的代理設置：

 

首先來看Paros的界面以及功能分佈

 

Spider抓取

Spider是Paros中一個非常重要的功能，它是用來抓取網站信息，收集URL地址信息，通過Spider這種方式來來逐層分解抓取站點的URL。如圖所示：

當前，它的功能包括如下：

1）通過提供的URL地址來抓取HTTP或者HTTPS信息

2）支持抓取Cookie信息

3）支持設置代理鏈

4）自動添加URL地址，並以樹結構分層進行掃描

Spider存在的一些缺陷，如下：

1）對於具有非法驗證的SSL協議的站點不能被掃描

2）不支持多線程

3）對於在HTML中存在異常URL地址的頁面不能被識別

4）Javascript生成的URL地址不能被識別

注意：對於不能被 識別的URL地址，Paros也可以掃描，需要通過手動添加即可。

更多學習資料

https://edu.csdn.net/course/detail/25768
 https://edu.csdn.net/course/detail/22948​​​​​​​

 

 

Scanner掃描

針對“site”欄中的URLS 進行掃描，逐一檢查對URLS 分別進行安全性檢查，驗證是否存在安全漏洞。如果想掃描"site"欄中所有的URLS，單擊anaylse-scanall可以啓動全部掃描。如果只想掃描“site”欄中某一URL，選中該URL，右擊鼠標，選取scan 命令。如下圖所示：

關於掃描設置，可以對單個頁面進行掃描，也可以對整個站點進行掃描。

Scanner可以針對一下幾種情況進行掃描：

1）SQL注入

2）XSS跨站點腳本攻擊

3）目錄遍歷

4）CRLF -- Carriage-Return Line-Feed 回車換行等。

注意：Paros掃描是針對每個網站URL地址進行分層掃描，精確到每個一個獨立的URL地址，都需要進行漏洞檢測。

更多學習資料

https://edu.csdn.net/course/detail/25768
 https://edu.csdn.net/course/detail/22948​​​​​​​

1）蒐集的信息有如下分類：

過期的文件、私有IP的暴露、URL地址中可以改寫的Session ID、過期文件的擴展檢查。

2）客戶端瀏覽器有如下分類：

表單自動完成密碼的保存、瀏覽過程中保存的安全性文件的緩存信息。

3）服務器端安全有如下分類：

正在瀏覽的目錄信息、IIS服務的默認文件等各種服務器的默認文件。

4）SQL注入有如下分類

基本的sql語句構造、目錄上傳、服務器站點注入、跨站腳本注入等。

1. 1. Filter過濾器

過濾器的用途：

1）檢測並警告你在HTTP消息中一些預定義發生的模式，因此你不需要去捕獲每個HTTP消息，而只需要尋求你所需要的模式。

2）記錄一些你所感興趣的信息，例如Cookie等。

在數據傳輸中，過濾器會對每一個HTTP消息進行攔截檢測，如果使用所有過濾將會大大降低Paros的掃描速度，所以通常我們只需要對我們需要的信息進行攔截過濾。

當前，有如下過濾器：

1）LogCookie

記錄所有瀏覽器端到服務器端接收的Cookies信息，並顯示在面板中。

2）LogGetQuery

記錄所有HTTP（HTTPS）來自瀏覽器端獲取的參數，並且日誌的名稱將以“get.xls”的形式保存在Paros目錄下面。

3）LogPostQuery

記錄所有HTTP（HTTPS）來自瀏覽器端傳送的參數，並且日誌的名稱將以“post.xls”的形式保存在Paros目錄下面。

4）CookieDetectFilter

提醒你在返回HTTP消息中嘗試去設置並修改Cookie信息。

5）IfModifiedSinceFilter

在HTTP請求中刪除“If−Modified−Since”和“If−None−Match”這頭信息選項，它將檢索“HTTP 200 OK”，而不是“HTTP 304 not modified”。

1. 1. Traping Http Requests and Responses

Paros能手動捕獲和修改HTTP（HTTPS）的請求和響應信息，所有的HTTP和HTTPS數據通過Paros都能被捕獲，並且可以按照我們需要的方式進行修改。

只要選中複選框“Trap Request”和“Trap Response”，就表示捕獲所有的請求和響應信息，然後點擊“Continue”就可以繼續操作。具體操作如圖所示：

首先，啓動Paros工具，並啓動頁面；

其次，勾選Trap頁面的Trap Request和TrapResponse選項；

 

通過一個簡單的Http web站點來演示Paros的基本功能。

1、啓動Paros工具，進入Option設置Local Proxy，分別設置代理名稱爲：Localhost，代理端口爲：8081；接着設置IE瀏覽器的網絡連接代理，與Paros代理信息一致。

1. 漏洞類型

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。是受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。然而，常見的web安全漏洞有以下幾種。

1. 1. SQL注入

所謂SQL 注入，就是通過把SQL 命令插入到Web 表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL 命令. 比如先前的很多影視網站泄露VIP 會員密碼大多就是通過WEB 表單遞交查詢字符暴出的，這類表單特別容易受到SQL 注入式攻擊．

例如管理員的賬號密碼都是admin，那麼再比如後臺的數據庫查詢語句是

user=request("user")

passwd=request("passwd")

sql='select admin from adminbate where user='&'''&user&'''&' and

passwd='&'''&passwd&'''

那麼我使用'or 'a'='a 來做用戶名密碼的話，那麼查詢就變成了

select admin from adminbate where user= ''or 'a'='a' and passwd= ''or 'a'='a'

如何防止SQL注入，歸納一下，主要有以下幾點：

1）永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙"-"進行轉換等。 　　

2）永遠不要使用動態拼裝sql，可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。 　　

3）永遠不要使用管理員權限的數據庫連接，爲每個應用使用單獨的權限有限的數據庫連接。 　　

4）不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。 　　

5）應用的異常信息應該給出儘可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝。

6）sql注入的檢測方法一般採取輔助軟件或網站平臺來檢測。

1. 1. XSS攻擊

XSS又叫CSS (Cross Site Script) ，跨站點腳本攻擊。它指的是惡意攻擊者向Web 頁面裏插入惡意html 代碼，當用戶瀏覽該頁之時，嵌入其中Web 裏面的html 代碼會被執行，從而達到惡意攻擊用戶的特殊目的。

1. 1. 目錄遍歷

目錄遍歷攻擊是Http所存在的一個安全漏洞，它使得攻擊者能夠訪問受限制的目錄，並在Web服務器的根目錄以外執行命令。

1. 1. CRLF回車換行

CRLF是說黑客能夠將CRLF 命令注入到系統中。它不是系統或服務器軟件的漏洞，而是網站應用開發時，有些開發者沒有意識到此類攻擊存在的可能而造成的。

更多學習資料

https://edu.csdn.net/course/detail/25768
 https://edu.csdn.net/course/detail/22948