L003001029-HTTP漏洞掃描-paros漏洞掃描使用

1、 課程編寫類別內容實驗課題名稱Paros漏洞掃描使用實驗目的與要求學習漏洞掃描技術基本原理，了解其在網絡攻防中的作用，通過上機實驗，學會使用paros對目標網站掃描， 并根據(jù)報告做出相應的防護措施。實驗環(huán)境VPC1(虛擬PC）操作系統(tǒng)類型：windows server 2003和windows XP professional，網絡接口：本地連接VPC1 連接要求PC 網絡接口，本地連接與實驗網絡直連軟件描述Paros實驗環(huán)境描述1、 學生機與實驗室網絡直連；2、 VPC1與實驗室網絡直連；3、 學生機與VPC1物理鏈路連通；預備知識P

2、aros是一種利用純java語言開發(fā)的安全漏洞掃描工具，它主要是為了滿足那些需要對自己的web應用程序進行安全檢測的應用者而設計的。通過Paros的本地代理，所有在客戶端與服務器端之間的http和https數(shù)據(jù)信息，包括cookie和表單信息都將被攔截或者是修改。paros proxy，這是一個對Web 應用程序的漏洞進行評估的代理程序，即一個基于Java的web 代理程序，可以評估Web應用程序的漏洞。它支持動態(tài)地編輯/查看 HTTP/HTTPS,從而改變cookies 和表單字段等項目。它包括一個Web 通信記錄程序，Web 圈套程序(spider)，hash 計算器，還有一個可以測試常見

3、的Web 應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL 注入、跨站點腳本攻擊、目錄遍歷、CRLF - Carriage-Return Line-Feed 回車換行等。實驗內容1. Paros掃描器的使用2. 軟件參數(shù)的設置3. 網站漏洞掃描4. 掃描結果分析實驗步驟l  學生登錄實驗場景的操作1、 學生單擊 “網絡拓撲”進入實驗場景，單擊windows2003中的“打開控制臺”按鈕，進入目標主機。如圖所示：2、學生輸入賬號administrator ,密碼123456，登錄到實驗場景中的Windows server 2003，在該

4、機器上默認已經搭建一個網站，并且能夠正常訪問。如圖所示:3、學生輸入賬號administrator ,密碼123456，登錄到實驗場景中的Windows XP Professional。如圖所示:4、接下來打開目錄D:tools，開始安裝paros，雙擊paros-3.2.13-win.exe后，如下圖：5、選擇“運行”，進入“setup”界面，如下圖：6、點擊“Next”，進入“Lincense Agreement”界面，如下圖：7、選擇“I accept the agreement”，如下圖:8、點擊“Next”后，如下圖：9、出現(xiàn)選擇安裝目錄的界面，一般按照默認即可，選擇“Next”。

5、10、在開始按鈕中建立快捷方式以及名稱，可以選擇默認，直接點擊“Next”后，如下圖：11、創(chuàng)建桌面圖標和快速啟動欄圖標，選擇“Next”后，如下圖：12、點擊“Install”后，出現(xiàn)短暫的安裝界面，接著就安裝完成了。如下圖：13、點擊“Finish”后，雙擊桌面上的paros。如下圖：14、進入“License Agreement”界面，選擇“Accept”，進入程序運行界面，如下圖：15、進入C:WindowsSystem32driversetchosts，將windows 2003上的網站，映射一下。本次示例中2003的ip是33，我們就做如下映射:16、分別在c

6、md和瀏覽器里測試能否正常訪問映射的網站（），如下圖：17、能夠正常訪問后，在IE瀏覽器，需要配置連接代理，代理名稱為localhost,代理端口為：8080，而端口8443是由Paros本身所使用，不是web瀏覽器所用，所以不用設置此代理端口。如下圖：18、設置完后，重啟ie，先打開再次打開ie，訪問，訪問之前要確保paros已經運行，然后會出現(xiàn)如下界面，說明paros已經正常運行了。注意：首先啟動Paros程序，如果在啟動時界面上彈出錯誤提示，說明端口號8080和8443可能被占用，此時我們只需要修改Paros的本地端口號，然后再修改IE瀏覽器上的代理設置，使之相一致就可以了19、Spid

7、er是Paros中一個非常重要的功能，它是用來抓取網站信息，收集URL地址信息，通過Spider這種方式來來逐層分解抓取站點的URL。右鍵單擊“網站，然后選擇“spider”，出現(xiàn)spider界面，選擇“start”，如下圖：當前，它的功能包括如下：1）通過提供的URL地址來抓取HTTP或者HTTPS信息2）支持抓取Cookie信息3）支持設置代理鏈4）自動添加URL地址，并以樹結構分層進行掃描Spider存在的一些缺陷，如下：1）對于具有非法驗證的SSL協(xié)議的站點不能被掃描2）不支持多線程3）對于在HTML中存在異常URL地址的頁面不能被識別4）Javascript生成的URL地址不能被識別

8、注意：對于不能被 識別的URL地址，Paros也可以掃描，需要通過手動添加即可。20、針對“site”欄中的URLS 進行掃描，逐一檢查對URLS 分別進行安全性檢查，驗證是否存在安全漏洞。如果想掃描"site"欄中所有的URLS，單擊anaylse-scanall可以啟動全部掃描。如果只想掃描“site”欄中某一URL，選中該URL，右擊鼠標，選取scan 命令。以為例，如下圖：關于掃描設置，可以對單個頁面進行掃描，也可以對整個站點進行掃描。Scanner可以針對一下幾種情況進行掃描：1）SQL注入2）XSS跨站點腳本攻擊3）目錄遍歷4）CRLF - Carriage-R

9、eturn Line-Feed 回車換行等。注意：Paros掃描是針對每個網站URL地址進行分層掃描，精確到每個一個獨立的URL地址，都需要進行漏洞檢測。21、關于掃描策略的設置如下：1）搜集的信息有如下分類：過期的文件、私有IP的暴露、URL地址中可以改寫的Session ID、過期文件的擴展檢查。2）客戶端瀏覽器有如下分類：表單自動完成密碼的保存、瀏覽過程中保存的安全性文件的緩存信息。3）服務器端安全有如下分類：正在瀏覽的目錄信息、IIS服務的默認文件等各種服務器的默認文件。4）SQL注入有如下分類基本的sql語句構造、目錄上傳、服務器站點注入、跨站腳本注入等。22、Filter過濾器的用

10、途：1）檢測并警告你在HTTP消息中一些預定義發(fā)生的模式，因此你不需要去捕獲每個HTTP消息，而只需要尋求你所需要的模式。2）記錄一些你所感興趣的信息，例如Cookie等。在數(shù)據(jù)傳輸中，過濾器會對每一個HTTP消息進行攔截檢測，如果使用所有過濾將會大大降低Paros的掃描速度，所以通常我們只需要對我們需要的信息進行攔截過濾。當前，有如下過濾器：1）LogCookie記錄所有瀏覽器端到服務器端接收的Cookies信息，并顯示在面板中。2）LogGetQuery記錄所有HTTP（HTTPS）來自瀏覽器端獲取的參數(shù)，并且日志的名稱將以“get.xls”的形式保存在Paros目錄下面。3）LogPostQuery記錄所有HTTP（HTTPS）來自瀏覽器端傳送的參數(shù)，并且日志的名稱將以“post.xls”的形式保存在Paros目錄下面。4）CookieDetectFilter提醒你在返回HTTP消息中嘗試去設置并修改Cookie信息。5）IfModifiedSinceFilter在HTTP請求中刪除“IfModifiedSince”和“IfNoneMatch”這頭信息選項，它將檢索“HTTP 200 OK”，而不是“HTTP 304 not modified”。23、掃描完成后，單擊Report-Last Scan