注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

北漂的小羊

Java编程,开发者,程序员,软件开发,编程,代码。新浪微博号:IT国子监

 
 
 

日志

 
 
关于我

在这里是面向程序员的高品质IT技术学习社区,是程序员学习成长的地方。让我们更好地用技术改变世界。请关注新浪微博号: IT国子监(http://weibo.com/itguozijian)

网易考拉推荐

网站扫描工具paros proxy(v3.2.13)安装与使用总结(转)  

2011-08-24 16:07:41|  分类: 软件开发 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

新浪微博:IT国子监(记得关注噢) http://weibo.com/itguozijian

1、安装  
(1) 安装JRE

        首先确保已安装JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ]

注意:一定要先安装JRE,然后再安装paros proxy,如果先安装paros proxyr后安装JRE,paros proxy将无法启动。
        如果没有JRE,可以通过以下地址下载并安装:http://java.sun.com/j2se 如果找不到JRE,也可以下载相同版本的JDK,JDK会带有JRE。

(2) 安装和配置paros proxy应用程序

        下载地址:http://sourceforge.net/projects/paros/

        安装:

如果下载的是WINDOWS版本,安装比较简单。
如果下载的是UNIX或其它平台的版本,则需要手动将程序解压到一个新的目录,并单击.JAR文件运行程序。
        配置:

paros需要两个端口:8080和8443,其中8080是代理连接端口,8443是SSL端口,所以必须保证这两个端口并未其它程序所占用。(查看端口命令:打开DOS命令窗口,输入 netstat查看目前使用的端口)。如果在安装完成,启动应用程序时,出现初始化错误,极大的可能就是因为这个端口被其它程序所占用。
配置浏览器属性:打开浏览器(如IE),打开工具-选项-连接-LAN设置-选中proxy server,proxyname为:localhost,port为:8080
2、操作步骤
        第一步:打开paros proxy,然后在浏览器(IE)中打开被测试网站。

        第二步--SPIDER:抓取URL。

    执行第一步后,系统会自动抓取被测试站点位于URL层次树中第一层的URL,并将这些URL显示在左侧的“site”栏中,然后在site栏中选中某一个URL,右击鼠标选取spider命令或单击analyse菜单-spider命令,系统将抓取该URL层次树中下一层次的URL。

    注意:由于paros不能抓取一些特定的URL路径,比如一些URL链接需要在合法登录后才能被识别出来,因此在进行URL抓取时,一定先要登录网站。

    抓取功能不能处理以下情况:

具有非法验证的SSL站点的URL是不能被抓取的。
不支持多线程
在HTML页中的某些畸形URLS也是不能被识别的。
由javascrīpt生成的URLS也是不能被识别的。
虽然上述这些URLS不能被自动抓取,但是可以将其手动增加到左侧的“site”栏中,具体的操作方法是:
首先要对被测试站点URL的层次树有很好的了解,这样才能知道哪个URL抓取了,哪还没有被抓取。
对于未被抓取的URLS,通过打开paros-工具-manual request editor,输入未被抓取的URLS,然后单击SEND按钮,完成手动加入URLS动作,添加成功后的URLS将显示在左侧的“site”栏中。
        第三步--SCANNER:针对“site”栏中的URLS进行扫描,逐一检查对URLS分别进行安全性检查,验证是否存在安全漏洞。

    如果想扫描"site"栏中所有的URLS,单击anaylse-scan all可以启动全部扫描。

    如果只想扫描“site”栏中某一URL,选中该URL,右击鼠标,选取scan命令。

    SCANNER可以对以下几种情况进行检查:

§           SQL注入

§           跨站点脚本攻击

§           目录遍历

§           CRLF -- Carriage-Return Line-Feed 回车换行等。

                   注:可以通过anylse-scan policy进行安全检查的设置。

        第四步--查看和验证扫描结果:

    扫描完成后,单击Report-Last Scan report,可查看当前的扫描报告。

    根据扫描报告,对扫描结果进行验证,比如扫描结果中有一是URL传递的参数中存在SQL注入漏洞,我们将该URL及参数输入到地址栏中,验证结果。

        第五步--保存抓取、扫描内容。

    保存时应注意:保存的路径不支持特殊字符,比如汉字等,否则会打不开保存后的文件。

新浪微博:IT国子监(记得关注噢) http://weibo.com/itguozijian
  评论这张
 
阅读(1796)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016