qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

Paros proxy:网页程序漏洞评估代理

 Paros Proxy的安装和运行需要预先配置JRE环境变量,安装JRE 1.4或以上版本,在PATH环境变量中输入JRE的安装路径,在CLASSPATH环境变量中输入LIB路径。然后就可以安装Paros Proxy了。windows下照提示安装。然后进行配置。
  首先,paros需要两个端口:8080和8443,其中8080是代理连接端口,8443是SSL端口,所以必须保证这两个端口并未其它程序所占用。(查看端口命令:开始—运行—cmd—netstat,查看目前使用的端口)
  然后配置浏览器属性:打开浏览器(如IE),工具-选项-连接-LAN设置-选中proxy server,proxyname为:localhost,port为:8080。(很显然这之后就不能通过浏览器直接上网了)
  如果你的计算机运行于防火墙之下,只能通过公司的代理服务器访问网络,你还需要修改PAROS的代理设置,具体的方法是:打开paros-工具 -Options-connection,修改”ProxyName” and “ProxyPort”两项为代理服务器的名称和端口。
  现在可以运行paros进行测试
  打开paros之后用浏览器就能上网了,运行你要测试的web应用,paros就会自动抓取其中位于第一层的URL(比如首页的URL),并显示在 左侧的“site”栏中。选中一个URL,右键—spider,就能抓取所选层次下一层的所有URL。这样可以把待测应用的所有URL都抓取出来。
  不过paros并不能识别一些特定的URL路径,比如一些URL链接需要在合法登录后才能被识别出来,因此在进行URL抓取时,一定先要登录网站。 对于未能被识别出来的那些URL,可以手动添加。打开paros—工具—manual request editor,输入未被抓取的URLS,然后单击SEND按钮,完成手动加入URL,添加成功后的URL将显示在左侧的“site”栏中。
  所有URL被抓取出来之后就可以逐一进行扫描了。可以对单一URL进行扫描,也可以对所有URLS进行扫描。扫描的结果会被保存到本地固定目录。
  例如:
  Report generated at Mon, 14 Dec 2009 11:19:21.
  Summary of Alerts
  Paros Scanning Report
  Alert Detail
  然后就可以对扫描结果进行验证了,比如扫描结果中有一是URL传递的参数中存在SQL注入漏洞,那么将该URL及参数输入到地址栏中,验证结果。
English »
 

posted on 2014-11-27 11:55 顺其自然EVO 阅读(323) 评论(0)  编辑  收藏 所属分类: 测试学习专栏


只有注册用户登录后才能发表评论。


网站导航:
 
<2014年11月>
2627282930311
2345678
9101112131415
16171819202122
23242526272829
30123456

导航

统计

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

阅读排行榜

评论排行榜