工具简介
摘自SourceForge的原文:
A Java based HTTP/HTTPS proxy for assessing web application vulnerability. It supports editing/viewing HTTP messages on-the-fly. Other featuers include spiders, client certificate, proxy-chaining, intelligent scanning for XSS and SQL injections etc.
大概意思就是说用Java开发的安全扫描工具包含了哪些功能。废话不多说切入正题。
使用方法
工具界面如下:
下载地址: http://sourceforge.net/projects/paros/
1、Paros的安装
● 安装JDk 1.4以上
● 安装Paros
2、Paros的使用
● 设置IE连接
打开 工具 –>选项 –>连接 –>局域网设置
设置代理如图所示。
● 测试一个链接
1> 打开Paros后在IE中输入以下链接:
http://search1.taobao.com/browse/0/n-g,gizq—————-40–commend-0-1,2-0.htm?at_topsearch=0
2> 查看Paros:
3> 选择需要测试的site
4> 扫描选择的测试site
选择菜单 Analyse->scan
5> 生成报告
选择菜单 Report->Last scan report 生成Report
● 使用Spider对整个站点进行测试
重复上述的1,2,3
4> 选择菜单 Analyse->spider 爬出下级页面
5> Spider结束后选择site中的站点选择Scan(与上述一致)
6> 生成报告(与上述一致)
预告
下篇将介绍如何完善安全测试流程。
