L003001029-HTTP漏洞掃描-paros漏洞掃描使用

1、 課程編寫(xiě)類(lèi)別內(nèi)容實(shí)驗(yàn)課題名稱(chēng)Paros漏洞掃描使用實(shí)驗(yàn)?zāi)康呐c要求學(xué)習(xí)漏洞掃描技術(shù)基本原理，了解其在網(wǎng)絡(luò)攻防中的作用，通過(guò)上機(jī)實(shí)驗(yàn)，學(xué)會(huì)使用paros對(duì)目標(biāo)網(wǎng)站掃描， 并根據(jù)報(bào)告做出相應(yīng)的防護(hù)措施。實(shí)驗(yàn)環(huán)境VPC1(虛擬PC）操作系統(tǒng)類(lèi)型：windows server 2003和windows XP professional，網(wǎng)絡(luò)接口：本地連接VPC1 連接要求PC 網(wǎng)絡(luò)接口，本地連接與實(shí)驗(yàn)網(wǎng)絡(luò)直連軟件描述Paros實(shí)驗(yàn)環(huán)境描述1、 學(xué)生機(jī)與實(shí)驗(yàn)室網(wǎng)絡(luò)直連；2、 VPC1與實(shí)驗(yàn)室網(wǎng)絡(luò)直連；3、 學(xué)生機(jī)與VPC1物理鏈路連通；預(yù)備知識(shí)P

2、aros是一種利用純java語(yǔ)言開(kāi)發(fā)的安全漏洞掃描工具，它主要是為了滿(mǎn)足那些需要對(duì)自己的web應(yīng)用程序進(jìn)行安全檢測(cè)的應(yīng)用者而設(shè)計(jì)的。通過(guò)Paros的本地代理，所有在客戶(hù)端與服務(wù)器端之間的http和https數(shù)據(jù)信息，包括cookie和表單信息都將被攔截或者是修改。paros proxy，這是一個(gè)對(duì)Web 應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序，即一個(gè)基于Java的web 代理程序，可以評(píng)估Web應(yīng)用程序的漏洞。它支持動(dòng)態(tài)地編輯/查看 HTTP/HTTPS,從而改變cookies 和表單字段等項(xiàng)目。它包括一個(gè)Web 通信記錄程序，Web 圈套程序(spider)，hash 計(jì)算器，還有一個(gè)可以測(cè)試常見(jiàn)

3、的Web 應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL 注入、跨站點(diǎn)腳本攻擊、目錄遍歷、CRLF - Carriage-Return Line-Feed 回車(chē)換行等。實(shí)驗(yàn)內(nèi)容1. Paros掃描器的使用2. 軟件參數(shù)的設(shè)置3. 網(wǎng)站漏洞掃描4. 掃描結(jié)果分析實(shí)驗(yàn)步驟l  學(xué)生登錄實(shí)驗(yàn)場(chǎng)景的操作1、 學(xué)生單擊 “網(wǎng)絡(luò)拓?fù)洹边M(jìn)入實(shí)驗(yàn)場(chǎng)景，單擊windows2003中的“打開(kāi)控制臺(tái)”按鈕，進(jìn)入目標(biāo)主機(jī)。如圖所示：2、學(xué)生輸入賬號(hào)administrator ,密碼123456，登錄到實(shí)驗(yàn)場(chǎng)景中的Windows server 2003，在該

4、機(jī)器上默認(rèn)已經(jīng)搭建一個(gè)網(wǎng)站，并且能夠正常訪問(wèn)。如圖所示:3、學(xué)生輸入賬號(hào)administrator ,密碼123456，登錄到實(shí)驗(yàn)場(chǎng)景中的Windows XP Professional。如圖所示:4、接下來(lái)打開(kāi)目錄D:tools，開(kāi)始安裝paros，雙擊paros-3.2.13-win.exe后，如下圖：5、選擇“運(yùn)行”，進(jìn)入“setup”界面，如下圖：6、點(diǎn)擊“Next”，進(jìn)入“Lincense Agreement”界面，如下圖：7、選擇“I accept the agreement”，如下圖:8、點(diǎn)擊“Next”后，如下圖：9、出現(xiàn)選擇安裝目錄的界面，一般按照默認(rèn)即可，選擇“Next”。

5、10、在開(kāi)始按鈕中建立快捷方式以及名稱(chēng)，可以選擇默認(rèn)，直接點(diǎn)擊“Next”后，如下圖：11、創(chuàng)建桌面圖標(biāo)和快速啟動(dòng)欄圖標(biāo)，選擇“Next”后，如下圖：12、點(diǎn)擊“Install”后，出現(xiàn)短暫的安裝界面，接著就安裝完成了。如下圖：13、點(diǎn)擊“Finish”后，雙擊桌面上的paros。如下圖：14、進(jìn)入“License Agreement”界面，選擇“Accept”，進(jìn)入程序運(yùn)行界面，如下圖：15、進(jìn)入C:WindowsSystem32driversetchosts，將windows 2003上的網(wǎng)站，映射一下。本次示例中2003的ip是33，我們就做如下映射:16、分別在c

6、md和瀏覽器里測(cè)試能否正常訪問(wèn)映射的網(wǎng)站（），如下圖：17、能夠正常訪問(wèn)后，在IE瀏覽器，需要配置連接代理，代理名稱(chēng)為localhost,代理端口為：8080，而端口8443是由Paros本身所使用，不是web瀏覽器所用，所以不用設(shè)置此代理端口。如下圖：18、設(shè)置完后，重啟ie，先打開(kāi)再次打開(kāi)ie，訪問(wèn)，訪問(wèn)之前要確保paros已經(jīng)運(yùn)行，然后會(huì)出現(xiàn)如下界面，說(shuō)明paros已經(jīng)正常運(yùn)行了。注意：首先啟動(dòng)Paros程序，如果在啟動(dòng)時(shí)界面上彈出錯(cuò)誤提示，說(shuō)明端口號(hào)8080和8443可能被占用，此時(shí)我們只需要修改Paros的本地端口號(hào)，然后再修改IE瀏覽器上的代理設(shè)置，使之相一致就可以了19、Spid

7、er是Paros中一個(gè)非常重要的功能，它是用來(lái)抓取網(wǎng)站信息，收集URL地址信息，通過(guò)Spider這種方式來(lái)來(lái)逐層分解抓取站點(diǎn)的URL。右鍵單擊“網(wǎng)站，然后選擇“spider”，出現(xiàn)spider界面，選擇“start”，如下圖：當(dāng)前，它的功能包括如下：1）通過(guò)提供的URL地址來(lái)抓取HTTP或者HTTPS信息2）支持抓取Cookie信息3）支持設(shè)置代理鏈4）自動(dòng)添加URL地址，并以樹(shù)結(jié)構(gòu)分層進(jìn)行掃描Spider存在的一些缺陷，如下：1）對(duì)于具有非法驗(yàn)證的SSL協(xié)議的站點(diǎn)不能被掃描2）不支持多線程3）對(duì)于在HTML中存在異常URL地址的頁(yè)面不能被識(shí)別4）Javascript生成的URL地址不能被識(shí)別

8、注意：對(duì)于不能被 識(shí)別的URL地址，Paros也可以?huà)呙?，需要通過(guò)手動(dòng)添加即可。20、針對(duì)“site”欄中的URLS 進(jìn)行掃描，逐一檢查對(duì)URLS 分別進(jìn)行安全性檢查，驗(yàn)證是否存在安全漏洞。如果想掃描"site"欄中所有的URLS，單擊anaylse-scanall可以啟動(dòng)全部掃描。如果只想掃描“site”欄中某一URL，選中該URL，右擊鼠標(biāo)，選取scan 命令。以為例，如下圖：關(guān)于掃描設(shè)置，可以對(duì)單個(gè)頁(yè)面進(jìn)行掃描，也可以對(duì)整個(gè)站點(diǎn)進(jìn)行掃描。Scanner可以針對(duì)一下幾種情況進(jìn)行掃描：1）SQL注入2）XSS跨站點(diǎn)腳本攻擊3）目錄遍歷4）CRLF - Carriage-R

9、eturn Line-Feed 回車(chē)換行等。注意：Paros掃描是針對(duì)每個(gè)網(wǎng)站URL地址進(jìn)行分層掃描，精確到每個(gè)一個(gè)獨(dú)立的URL地址，都需要進(jìn)行漏洞檢測(cè)。21、關(guān)于掃描策略的設(shè)置如下：1）搜集的信息有如下分類(lèi)：過(guò)期的文件、私有IP的暴露、URL地址中可以改寫(xiě)的Session ID、過(guò)期文件的擴(kuò)展檢查。2）客戶(hù)端瀏覽器有如下分類(lèi)：表單自動(dòng)完成密碼的保存、瀏覽過(guò)程中保存的安全性文件的緩存信息。3）服務(wù)器端安全有如下分類(lèi)：正在瀏覽的目錄信息、IIS服務(wù)的默認(rèn)文件等各種服務(wù)器的默認(rèn)文件。4）SQL注入有如下分類(lèi)基本的sql語(yǔ)句構(gòu)造、目錄上傳、服務(wù)器站點(diǎn)注入、跨站腳本注入等。22、Filter過(guò)濾器的用

10、途：1）檢測(cè)并警告你在HTTP消息中一些預(yù)定義發(fā)生的模式，因此你不需要去捕獲每個(gè)HTTP消息，而只需要尋求你所需要的模式。2）記錄一些你所感興趣的信息，例如Cookie等。在數(shù)據(jù)傳輸中，過(guò)濾器會(huì)對(duì)每一個(gè)HTTP消息進(jìn)行攔截檢測(cè)，如果使用所有過(guò)濾將會(huì)大大降低Paros的掃描速度，所以通常我們只需要對(duì)我們需要的信息進(jìn)行攔截過(guò)濾。當(dāng)前，有如下過(guò)濾器：1）LogCookie記錄所有瀏覽器端到服務(wù)器端接收的Cookies信息，并顯示在面板中。2）LogGetQuery記錄所有HTTP（HTTPS）來(lái)自瀏覽器端獲取的參數(shù)，并且日志的名稱(chēng)將以“get.xls”的形式保存在Paros目錄下面。3）LogPostQuery記錄所有HTTP（HTTPS）來(lái)自瀏覽器端傳送的參數(shù)，并且日志的名稱(chēng)將以“post.xls”的形式保存在Paros目錄下面。4）CookieDetectFilter提醒你在返回HTTP消息中嘗試去設(shè)置并修改Cookie信息。5）IfModifiedSinceFilter在HTTP請(qǐng)求中刪除“IfModifiedSince”和“IfNoneMatch”這頭信息選項(xiàng)，它將檢索“HTTP 200 OK”，而不是“HTTP 304 not modified”。23、掃描完成后，單擊Report-Last Scan