1、安裝
(1) 安裝JRE
l 首先確定已安裝JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ]
注意:一定要先安裝JRE,然後再安裝paros proxy,如果先安裝paros proxyr後安裝JRE,paros proxy将無法啟動。
l 如果沒有JRE,可以通過以下位址下載下傳并安裝: 如果找不到JRE,也可以下載下傳相同版本的JDK,JDK會帶有JRE。
(2) 安裝和配置paros proxy應用程式
l 下載下傳位址:
l 安裝:
如果下載下傳的是WINDOWS版本,安裝比較簡單。
如果下載下傳的是UNIX或其它平台的版本,則需要手動将程式解壓到一個新的目錄,并單擊.JAR檔案運作程式。
l 配置:
paros需要兩個端口:8080和8443,其中8080是代理連接配接端口,8443是SSL端口,是以必須保證這兩個端口并未其它程式所占用。(檢視端口指令:打開DOS指令視窗,輸入 netstat檢視目前使用的端口)。如果在安裝完成,啟動應用程式時,出現初始化錯誤,極大的可能就是因為這個端口被其它程式所占用。
配置浏覽器屬性:打開浏覽器(如IE),打開工具-選項-連接配接-LAN設定-選中proxy server,proxyname為:localhost,port為:8080
2、操作步驟
l 第一步:打開paros proxy,然後在浏覽器(IE)中打開被測試網站。
l 第二步--SPIDER:抓取URL。
? 執行第一步後,系統會自動抓取被測試站點位于URL層次樹中第一層的URL,并将這些URL顯示在左側的“site”欄中,然後在site欄中選中某一個URL,右擊滑鼠選取spider指令或單擊analyse菜單-spider指令,系統将抓取該URL層次樹中下一層次的URL。
? 注意:由于paros不能抓取一些特定的URL路徑,比如一些URL連結需要在合法登入後才能被識别出來,是以在進行URL抓取時,一定先要登入網站。
? 抓取功能不能處理以下情況:
具有非法驗證的SSL站點的URL是不能被抓取的。
不支援多線程
在HTML頁中的某些畸形URLS也是不能被識别的。
由javascrīpt生成的URLS也是不能被識别的。
雖然上述這些URLS不能被自動抓取,但是可以将其手動增加到左側的“site”欄中,具體的操作方法是:
首先要對被測試站點URL的層次樹有很好的了解,這樣才能知道哪個URL抓取了,哪還沒有被抓取。
對于未被抓取的URLS,通過打開paros-工具-manual request editor,輸入未被抓取的URLS,然後單擊SEND按鈕,完成手動加入URLS動作,添加成功後的URLS将顯示在左側的“site”欄中。
l 第三步--SCANNER:針對“site”欄中的URLS進行掃描,逐一檢查對URLS分别進行安全性檢查,驗證是否存在安全漏洞。
? 如果想掃描"site"欄中所有的URLS,單擊anaylse-scan all可以啟動全部掃描。
? 如果隻想掃描“site”欄中某一URL,選中該URL,右擊滑鼠,選取scan指令。
? SCANNER可以對以下幾種情況進行檢查:
§ SQL注入
§ 跨站點腳本攻擊
§ 目錄周遊
§ CRLF -- Carriage-Return Line-Feed 回車換行等。
注:可以通過anylse-scan policy進行安全檢查的設定。
l 第四步--檢視和驗證掃描結果:
? 掃描完成後,單擊Report-Last Scan report,可檢視目前的掃描報告。
? 根據掃描報告,對掃描結果進行驗證,比如掃描結果中有一是URL傳遞的參數中存在SQL注入漏洞,我們将該URL及參數輸入到位址欄中,驗證結果。
l 第五步--儲存抓取、掃描内容。
? 儲存時應注意:儲存的路徑不支援特殊字元,比如漢字等,否則會打不開儲存後的檔案。
![Web漏洞掃描工具:AWVS下載下傳[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)