Paros工具使用手冊(cè)

1、Paros工具使用手冊(cè) 目 錄1Paros介紹12安裝與配置22.1安裝22.2配置33功能介紹53.1Spider抓取53.2Scanner掃描73.3Filter過(guò)濾器83.4Traping Http Requests and Responses93.5Last Scan Report124應(yīng)用145漏洞類(lèi)型185.1SQL注入185.2XSS攻擊195.3目錄遍歷195.4CRLF回車(chē)換行196注意事項(xiàng)201 Paros介紹Paros是一種利用純java語(yǔ)言開(kāi)發(fā)的安全漏洞掃描工具，它主要是為了滿(mǎn)足那些需要對(duì)自己的web應(yīng)用程序進(jìn)行安全檢測(cè)的應(yīng)用者而設(shè)計(jì)的。通過(guò)Paros的本地代理，所有在

2、客戶(hù)端與服務(wù)器端之間的http和https數(shù)據(jù)信息，包括cookie和表單信息都將被攔截或者是修改。paros proxy，這是一個(gè)對(duì)Web 應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序，即一個(gè)基于Java的web 代理程序，可以評(píng)估Web應(yīng)用程序的漏洞。它支持動(dòng)態(tài)地編輯/查看 HTTP/HTTPS,從而改變cookies 和表單字段等項(xiàng)目。它包括一個(gè)Web 通信記錄程序，Web 圈套程序(spider)，hash 計(jì)算器，還有一個(gè)可以測(cè)試常見(jiàn)的Web 應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL 注入、跨站點(diǎn)腳本攻擊、目錄遍歷、CRLF - Carriage-

3、Return Line-Feed 回車(chē)換行等。本手冊(cè)主要是幫助用戶(hù)熟悉Paros的基本功能和簡(jiǎn)單應(yīng)用。2 安裝與配置2.1 安裝在安裝Paros工具之前需要安裝Java文件，也就是JDK，版本必須在1.4以上。Paros是需要JDK支持的，JDK的下載地址如下：/technetwork/java/javase/downloads/index.html接下來(lái)，下載Paros，地址為：/projects/paros/Paros分別有Windows和Linux版本，當(dāng)前我們應(yīng)用在Windows下，需要下載Windows

4、版本。Paros擁有兩個(gè)連接端口，分別為8080和8443，8080主要是針對(duì)Http建立連接，而8443是針對(duì)Https的協(xié)議建立連接的端口。安裝之后的Paros如圖所示：開(kāi)啟web瀏覽器，例如IE瀏覽器，需要配置連接代理，代理名稱(chēng)為localhost,代理端口為：8080，而端口8443是由Paros本身所使用，不是web瀏覽器所用，所以不用設(shè)置此代理端口。注意：如果后臺(tái)正在運(yùn)行防火墻，而且只能接受設(shè)置好的互聯(lián)網(wǎng)訪(fǎng)問(wèn)入口，此時(shí)需要修改Paros代理名稱(chēng)和端口號(hào)，如下所示修改者兩個(gè)標(biāo)識(shí)。2.2 配置首先啟動(dòng)Paros程序，如果在啟動(dòng)時(shí)界面上彈出錯(cuò)誤提示，說(shuō)明端口號(hào)8080和8443可能被占用

5、，此時(shí)我們只需要修改Paros的本地端口號(hào)，然后再修改IE瀏覽器上的代理設(shè)置，使之相一致就可以了。如下圖所示：Paros的設(shè)置：IE的代理設(shè)置：3 功能介紹首先來(lái)看Paros的界面以及功能分布3.1 Spider抓取Spider是Paros中一個(gè)非常重要的功能，它是用來(lái)抓取網(wǎng)站信息，收集URL地址信息，通過(guò)Spider這種方式來(lái)來(lái)逐層分解抓取站點(diǎn)的URL。如圖所示：當(dāng)前，它的功能包括如下：1）通過(guò)提供的URL地址來(lái)抓取HTTP或者HTTPS信息2）支持抓取Cookie信息3）支持設(shè)置代理鏈4）自動(dòng)添加URL地址，并以樹(shù)結(jié)構(gòu)分層進(jìn)行掃描Spider存在的一些缺陷，如下：1）對(duì)于具有非法驗(yàn)證的SS

6、L協(xié)議的站點(diǎn)不能被掃描2）不支持多線(xiàn)程3）對(duì)于在HTML中存在異常URL地址的頁(yè)面不能被識(shí)別4）Javascript生成的URL地址不能被識(shí)別注意：對(duì)于不能被 識(shí)別的URL地址，Paros也可以?huà)呙瑁枰ㄟ^(guò)手動(dòng)添加即可。3.2 Scanner掃描針對(duì)“site”欄中的URLS 進(jìn)行掃描，逐一檢查對(duì)URLS 分別進(jìn)行安全性檢查，驗(yàn)證是否存在安全漏洞。如果想掃描site欄中所有的URLS，單擊anaylse-scanall可以啟動(dòng)全部掃描。如果只想掃描“site”欄中某一URL，選中該URL，右擊鼠標(biāo)，選取scan 命令。如下圖所示：關(guān)于掃描設(shè)置，可以對(duì)單個(gè)頁(yè)面進(jìn)行掃描，也可以對(duì)整個(gè)站點(diǎn)進(jìn)行掃描

7、。Scanner可以針對(duì)一下幾種情況進(jìn)行掃描：1）SQL注入2）XSS跨站點(diǎn)腳本攻擊3）目錄遍歷4）CRLF - Carriage-Return Line-Feed 回車(chē)換行等。注意：Paros掃描是針對(duì)每個(gè)網(wǎng)站URL地址進(jìn)行分層掃描，精確到每個(gè)一個(gè)獨(dú)立的URL地址，都需要進(jìn)行漏洞檢測(cè)。關(guān)于掃描策略的設(shè)置如下：1）搜集的信息有如下分類(lèi)：過(guò)期的文件、私有IP的暴露、URL地址中可以改寫(xiě)的Session ID、過(guò)期文件的擴(kuò)展檢查。2）客戶(hù)端瀏覽器有如下分類(lèi)：表單自動(dòng)完成密碼的保存、瀏覽過(guò)程中保存的安全性文件的緩存信息。3）服務(wù)器端安全有如下分類(lèi)：正在瀏覽的目錄信息、IIS服務(wù)的默認(rèn)文件等各種服務(wù)器

8、的默認(rèn)文件。4）SQL注入有如下分類(lèi)基本的sql語(yǔ)句構(gòu)造、目錄上傳、服務(wù)器站點(diǎn)注入、跨站腳本注入等。3.3 Filter過(guò)濾器過(guò)濾器的用途：1）檢測(cè)并警告你在HTTP消息中一些預(yù)定義發(fā)生的模式，因此你不需要去捕獲每個(gè)HTTP消息，而只需要尋求你所需要的模式。2）記錄一些你所感興趣的信息，例如Cookie等。在數(shù)據(jù)傳輸中，過(guò)濾器會(huì)對(duì)每一個(gè)HTTP消息進(jìn)行攔截檢測(cè)，如果使用所有過(guò)濾將會(huì)大大降低Paros的掃描速度，所以通常我們只需要對(duì)我們需要的信息進(jìn)行攔截過(guò)濾。當(dāng)前，有如下過(guò)濾器：1）LogCookie記錄所有瀏覽器端到服務(wù)器端接收的Cookies信息，并顯示在面板中。2）LogGetQuery記

9、錄所有HTTP（HTTPS）來(lái)自瀏覽器端獲取的參數(shù)，并且日志的名稱(chēng)將以“get.xls”的形式保存在Paros目錄下面。3）LogPostQuery記錄所有HTTP（HTTPS）來(lái)自瀏覽器端傳送的參數(shù)，并且日志的名稱(chēng)將以“post.xls”的形式保存在Paros目錄下面。4）CookieDetectFilter提醒你在返回HTTP消息中嘗試去設(shè)置并修改Cookie信息。5）IfModifiedSinceFilter在HTTP請(qǐng)求中刪除“IfModifiedSince”和“IfNoneMatch”這頭信息選項(xiàng)，它將檢索“HTTP 200 OK”，而不是“HTTP 304 not modified

10、”。3.4 Traping Http Requests and ResponsesParos能手動(dòng)捕獲和修改HTTP（HTTPS）的請(qǐng)求和響應(yīng)信息，所有的HTTP和HTTPS數(shù)據(jù)通過(guò)Paros都能被捕獲，并且可以按照我們需要的方式進(jìn)行修改。只要選中復(fù)選框“Trap Request”和“Trap Response”，就表示捕獲所有的請(qǐng)求和響應(yīng)信息，然后點(diǎn)擊“Continue”就可以繼續(xù)操作。具體操作如圖所示：首先，啟動(dòng)Paros工具，并啟動(dòng)頁(yè)面；其次，勾選Trap頁(yè)面的Trap Request和TrapResponse選項(xiàng)；第三，在http頁(yè)面輸入請(qǐng)求數(shù)據(jù)，如下圖所示：此時(shí)，Trap劫獲的信息如

11、下圖：如上圖紅色區(qū)域的信息就是Trap劫獲的信息，并且是可以修改的，點(diǎn)擊Continue繼續(xù)執(zhí)行的，如下圖：如上圖紅色區(qū)域顯示的是系統(tǒng)返回的信息，也就是Http響應(yīng)頁(yè)面的信息。此時(shí)該請(qǐng)求過(guò)程結(jié)束。注意：如果在阻截過(guò)程中需要停止劫獲，需要點(diǎn)擊Drop按鈕。3.5 Last Scan Report掃描完成后，單擊Report-Last Scan report,可查看當(dāng)前的掃描報(bào)告。根據(jù)掃描報(bào)告，對(duì)掃描結(jié)果進(jìn)行驗(yàn)證，比如掃描結(jié)果中有一項(xiàng)是URL 傳遞的參數(shù)中存在SQL注入漏洞，我們將該URL及參數(shù)輸入到地址欄中，驗(yàn)證結(jié)果。具體如圖所示：掃描結(jié)束給掃描用時(shí)，并提示獲取測(cè)試報(bào)告在Report菜單下面，報(bào)

12、告如下：報(bào)告中主要給報(bào)告生成時(shí)間、漏洞的等級(jí)以及漏洞的具體描述信息。4 應(yīng)用通過(guò)一個(gè)簡(jiǎn)單的Http web站點(diǎn)來(lái)演示Paros的基本功能。1、啟動(dòng)Paros工具，進(jìn)入Option設(shè)置Local Proxy，分別設(shè)置代理名稱(chēng)為：Localhost，代理端口為：8081；接著設(shè)置IE瀏覽器的網(wǎng)絡(luò)連接代理，與Paros代理信息一致。2、啟動(dòng)IE，輸入地址為：http:/localhost:8080/ssh2，此時(shí)Paros收集了站點(diǎn)的URL信息，如下圖所示：3、接下需要抓取深一層的URL地址信息，需要選擇Spider功能，如下圖：點(diǎn)擊Spider，如下所示：點(diǎn)擊Start按鈕，完成后抓取如下URL地

13、址：4、選擇Scan All，如下圖所示：5、Test Report，報(bào)告如下：報(bào)告中對(duì)于每一個(gè)級(jí)別的漏洞都做詳細(xì)說(shuō)明，并提供相關(guān)的解決方案等。5 漏洞類(lèi)型漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪(fǎng)問(wèn)或破壞系統(tǒng)。是受限制的計(jì)算機(jī)、組件、應(yīng)用程序或其他聯(lián)機(jī)資源的無(wú)意中留下的不受保護(hù)的入口點(diǎn)。然而，常見(jiàn)的web安全漏洞有以下幾種。5.1 SQL注入所謂SQL 注入，就是通過(guò)把SQL 命令插入到Web 表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL 命令. 比如先前的很多影視網(wǎng)站泄露VIP 會(huì)員密碼大多就是通過(guò)W

14、EB 表單遞交查詢(xún)字符暴出的，這類(lèi)表單特別容易受到SQL 注入式攻擊例如管理員的賬號(hào)密碼都是admin，那么再比如后臺(tái)的數(shù)據(jù)庫(kù)查詢(xún)語(yǔ)句是user=request(user)passwd=request(passwd)sql=select admin from adminbate where user=&user& andpasswd=&passwd&那么我使用or a=a 來(lái)做用戶(hù)名密碼的話(huà)，那么查詢(xún)就變成了select admin from adminbate where user= or a=a and passwd= or a=a如何防止SQL注入，歸納一下，主要有以下幾點(diǎn)：1）永遠(yuǎn)不要

15、信任用戶(hù)的輸入。對(duì)用戶(hù)的輸入進(jìn)行校驗(yàn)，可以通過(guò)正則表達(dá)式，或限制長(zhǎng)度；對(duì)單引號(hào)和雙-進(jìn)行轉(zhuǎn)換等。 2）永遠(yuǎn)不要使用動(dòng)態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲(chǔ)過(guò)程進(jìn)行數(shù)據(jù)查詢(xún)存取。 3）永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫(kù)連接，為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫(kù)連接。 4）不要把機(jī)密信息直接存放，加密或者h(yuǎn)ash掉密碼和敏感的信息。 5）應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯(cuò)誤信息對(duì)原始錯(cuò)誤信息進(jìn)行包裝。6）sql注入的檢測(cè)方法一般采取輔助軟件或網(wǎng)站平臺(tái)來(lái)檢測(cè)。5.2 XSS攻擊XSS又叫CSS (Cross Site Script) ，跨站點(diǎn)腳本攻擊。它指的是惡意攻擊者向Web 頁(yè)面里插入惡意html 代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中Web 里面的html 代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶(hù)的特殊目的。5.3 目錄遍歷目錄遍歷攻擊是Http所存在的一個(gè)安全漏洞，它使得攻擊者能夠訪(fǎng)問(wèn)受限制的目錄，并在Web服務(wù)器的根目錄以外執(zhí)行命令。5.4 CRLF回車(chē)換行CRLF是說(shuō)黑客能夠?qū)RLF 命令注入到系統(tǒng)中。它不是系統(tǒng)或服務(wù)器軟件的漏洞，而是網(wǎng)站應(yīng)用開(kāi)發(fā)時(shí)，有些開(kāi)發(fā)者沒(méi)有意識(shí)到此類(lèi)攻擊存在