Paros proxy：網(wǎng)頁程序漏洞評估代理

首先，paros需要兩個端口：8080和8443,其中8080是代理連接端口，8443是SSL端口，所以必須保證這兩個端口并未其它程序所占用。（查看端口命令：開始—運行—cmd—netstat，查看目前使用的端口）

然后配置瀏覽器屬性：打開瀏覽器（如IE），工具－選項－連接－LAN設置－選中proxy server,proxyname為：localhost,port為：8080。（很顯然這之后就不能通過瀏覽器直接上網(wǎng)了）

如果你的計算機運行于防火墻之下，只能通過公司的代理億恩科技服務器訪問網(wǎng)絡，你還需要修改PAROS的代理設置，具體的方法是：打開paros-工具－Options-connection，修改”ProxyName” and “ProxyPort”兩項為代理億恩科技服務器的名稱和端口。

現(xiàn)在可以運行paros進行測試。

打開paros之后用瀏覽器就能上網(wǎng)了，運行你要測試的web應用，paros就會自動抓取其中位于第一層的URL（比如首頁的URL），并顯示在左側(cè)的“site”欄中。選中一個URL，右鍵—spider，就能抓取所選層次下一層的所有URL。這樣可以把待測應用的所有URL都抓取出來。

不過paros并不能識別一些特定的URL路徑，比如一些URL鏈接需要在合法登錄后才能被識別出來，因此在進行URL抓取時，一定先要登錄網(wǎng)站。對于未能被識別出來的那些URL，可以手動添加。打開paros—工具—manual request editor，輸入未被抓取的URLS，然后單擊SEND按鈕，完成手動加入URL，添加成功后的URL將顯示在左側(cè)的“site”欄中。

所有URL被抓取出來之后就可以逐一進行掃描了�？梢詫�單一URL進行掃描，也可以對所有URLS進行掃描。掃描的結果會被保存到本地固定目錄。

例如：

Report generated at Mon, 14 Dec 2009 11:19:21.

Summary of Alerts

Paros Scanning Report

Alert Detail

然后就可以對掃描結果進行驗證了，比如掃描結果中有一是URL傳遞的參數(shù)中存在SQL注入漏洞，那么將該URL及參數(shù)輸入到地址欄中，驗證結果。

這個工具并不能對web應用進行全面安全測試，今后還會研究一些其它的工具，結合起來，完善測試。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]