工具简介

　　摘自SourceForge的原文：

　　A Java based HTTP/HTTPS proxy for assessing web application vulnerability. It supports editing/viewing HTTP messages on-the-fly. Other featuers include spiders, client certificate, proxy-chaining, intelligent scanning for XSS and SQL injections etc.

　　大概意思就是说用Java开发的安全扫描工具包含了哪些功能。废话不多说切入正题。

　　使用方法

　　工具界面如下：

　　下载地址: http://sourceforge.net/projects/paros/

　　1、Paros的安装

　　●  安装JDk 1.4以上

　　●  安装Paros

　　2、Paros的使用

　　● 设置IE连接

　　打开 工具 –>选项 –>连接 –>局域网设置

　　设置代理如图所示。

　　● 测试一个链接

　　1> 打开Paros后在IE中输入以下链接：

　　http://search1.taobao.com/browse/0/n-g,gizq—————-40–commend-0-1,2-0.htm?at_topsearch=0

　　2> 查看Paros：

　　3> 选择需要测试的site

　　4> 扫描选择的测试site

　　选择菜单 Analyse->scan

　　5> 生成报告

　　选择菜单 Report->Last scan report 生成Report

　　● 使用Spider对整个站点进行测试

　　重复上述的1，2，3

　　4> 选择菜单 Analyse->spider 爬出下级页面

　　5> Spider结束后选择site中的站点选择Scan（与上述一致）

　　6> 生成报告（与上述一致）

　　预告

　　下篇将介绍如何完善安全测试流程。