1     简介

parosproxy，这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序(spider)，hash计算器，还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括：SQL注入、跨站点脚本攻击、目录遍历、CRLF -- Carriage-Return Line-Feed回车换行等。官方网http://www.parosproxy.org/

2     名词解释

l SQL注入：

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．

例如管理员的账号密码都是admin，那么再比如后台的数据库查询语句是

user=request("user")

passwd=request("passwd")

sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''

那么我使用'or 'a'='a来做用户名密码的话，那么查询就变成了

select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'

l 跨站点脚本攻击：

又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。

l 目录遍历攻击：

是Http所存在的一个安全漏洞，它使得攻击者能够访问受限制的目录，并在Web服务器的根目录以外执行命令。

l CRLF -- Carriage-Return Line-Feed回车换行：

是说黑客能够将CRLF命令注入到系统中。它不是系统或服务器软件的漏洞，而是网站应用开发时，有些开发者没有意识到此类攻击存在的可能而造成的。

3     安装

1.     安装JRE

首先确保已安装JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ]。注意：一定要先安装JRE，然后再安装paros proxy，如果先安装paros proxy后安装JRE，paros proxy将无法启动。

如果没有JRE，可以通过以下地址下载并安装：http://java.sun.com/j2se如果找不到JRE，也可以下载相同版本的JDK，JDK会带有JRE.

2.     安装和配置paros proxy应用程序

下载地址：http://sourceforge.net/projects/paros/，安装：如果下载的是WINDOWS版本，安装比较简单。如果下载的是UNIX或其它平台的版本，则需要手动将程序解压到一个新的目录，并单击.JAR文件运行程序。、

配置：paros需要两个端口：8080和8443,其中8080是代理连接端口，8443是SSL端口，所以必须保证这两个端口并未其它程序所占用。（查看端口命令：打开DOS命令窗口，输入netstat查看目前使用的端口）。如果在安装完成,启动应用程序时，出现初始化错误，极大的可能就是因为这个端口被其它程序所占用。配置浏览器属性：打开浏览器（如IE），打开工具－选项－连接－LAN设置－选中proxy server，proxyname为：localhost，port为：8080.

4    操作步骤

1.     打开paros proxy,然后在浏览器（IE）中打开被测试网站。

2.     SPIDER：抓取URL。执行第一步后，系统会自动抓取被测试站点位于URL层次树中第一层的URL，并将这些URL显示在左侧的“site”栏中，然后在site栏中选中某一个URL，右击鼠标选取spider命令或单击analyse菜单－spider命令，系统将抓取该URL层次树中下一层次的URL。

【注意事项】：

1)    由于paros不能抓取一些特定的URL路径，比如一些URL链接需要在合法登录后才能被识别出来，因此在进行URL抓取时，一定先要登录网站。

2)    抓取功能不能处理以下情况：

l 具有非法验证的SSL站点的URL是不能被抓取的；

l 不支持多线程；

l 在HTML页中的某些畸形URLS也是不能被识别的；

l 由javascrīpt生成的URLS也是不能被识别的；

l 虽然上述这些URLS不能被自动抓取，但是可以将其手动增加到左侧的“site”栏中，具体的操作方法是：

l 首先要对被测试站点URL的层次树有很好的了解，这样才能知道哪个URL抓取了，哪些还没有被抓取。

l 对于未被抓取的URLS，通过打开paros-工具-manual request editor，输入未被抓取的URLS，然后单击SEND按钮，完成手动加入URLS动作，添加成功后的URLS将显示在左侧的“site”栏中。

3.     SCANNER：针对“site”栏中的URLS进行扫描，逐一检查对URLS分别进行安全性检查，验证是否存在安全漏洞。如果想扫描"site"栏中所有的URLS，单击anaylse-scan all可以启动全部扫描。

4.     如果只想扫描“site”栏中某一URL，选中该URL，右击鼠标，选取scan命令。SCANNER可以对以下几种情况进行检查：

1)    SQL注入

2)    跨站点脚本攻击

3)    目录遍历

4)    CRLF -- Carriage-Return Line-Feed回车换行等。

5.     查看和验证扫描结果：扫描完成后，单击Report-Last Scan report,可查看当前的扫描报告。根据扫描报告，对扫描结果进行验证，比如扫描结果中有一是URL传递的参数中存在SQL注入漏洞，我们将该URL及参数输入到地址栏中，验证结果。

6.     保存抓取、扫描内容。保存时应注意：保存的路径不支持特殊字符，比如汉字等，否则会打不开保存后的文件。