安全测试（三）——安全测试工具paros proxy

       先给出两篇文章，都是介绍和比较现在常用的一些安全测试工具的：
        中文：http://networking.ctocio.com.cn/tips/463/7703463.shtml
        英文：http://sectools.org/web-scanners.html

        从中挑选一个，我选的是Paros Proxy。这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序(spider)，hash 计算器，还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。

        Paros Proxy的安装和运行需要预先配置JRE环境变量，安装JRE 1.4或以上版本，在PATH环境变量中输入JRE的安装路径，在CLASSPATH环境变量中输入LIB路径。然后就可以安装Paros Proxy了。

    Paros Proxy下载地址：http://sourceforge.net/projects/paros/，windows下照提示安装。然后进行配置。
    首先，paros需要两个端口：8080和8443,其中8080是代理连接端口，8443是SSL端口，所以必须保证这两个端口并未其它程序所占用。（查看端口命令：开始—运行—cmd—netstat，查看目前使用的端口）
    然后配置浏览器属性：打开浏览器（如IE），工具－选项－连接－LAN设置－选中proxy server,proxyname为：localhost,port为：8080。（很显然这之后就不能通过浏览器直接上网了）
    如果你的计算机运行于防火墙之下，只能通过公司的代理服务器访问网络，你还需要修改PAROS的代理设置，具体的方法是：打开paros-工具－Options-connection，修改”ProxyName” and “ProxyPort”两项为代理服务器的名称和端口。

    现在可以运行paros进行测试。
    打开paros之后用浏览器就能上网了，运行你要测试的web应用，paros就会自动抓取其中位于第一层的URL（比如首页的URL），并显示在左侧的“site”栏中。选中一个URL，右键—spider，就能抓取所选层次下一层的所有URL。这样可以把待测应用的所有URL都抓取出来。
    不过paros并不能识别一些特定的URL路径，比如一些URL链接需要在合法登录后才能被识别出来，因此在进行URL抓取时，一定先要登录网站。对于未能被识别出来的那些URL，可以手动添加。打开paros—工具—manual request editor，输入未被抓取的URLS，然后单击SEND按钮，完成手动加入URL，添加成功后的URL将显示在左侧的“site”栏中。
    所有URL被抓取出来之后就可以逐一进行扫描了。可以对单一URL进行扫描，也可以对所有URLS进行扫描。扫描的结果会被保存到本地固定目录。
    例如：

Paros Scanning Report

Report generated at Mon, 14 Dec 2009 11:19:21.

Summary of Alerts

Risk Level	Number of Alerts
High	0
Medium	2
Low	0
Informational	0

 

 

Alert Detail

 

Medium (Warning)	Password Autocomplete in browser
Description	AUTOCOMPLETE attribute is not disabled in HTML FORM/INPUT element containing password type input. Passwords may be stored in browsers and retrieved.
URL	http://******.com/index.php
Other information	<input type=”password” name=”pword” id=”pword”/>
Solution	Turn off AUTOCOMPLETE attribute in form. or individual input elements containing password by using AUTOCOMPLETE=’OFF’
Reference	http://msdn.microsoft.com/library/default.asp?url=/workshop/author/forms/autocomplete_ovr.asp

 

Medium (Suspicious)	Lotus Domino default files
Description	Lotus Domino default files found.
URL	http://******.com/?OpenServer
URL	http://******.com/?Open
Solution	Remove default files.
Reference

    然后就可以对扫描结果进行验证了，比如扫描结果中有一是URL传递的参数中存在SQL注入漏洞，那么将该URL及参数输入到地址栏中，验证结果。

    这个工具并不能对web应用进行全面安全测试，今后还会研究一些其它的工具，结合起来，完善测试。