Paros工具使用操作手册

Paros介绍

Paros是一种利用纯java语言开发的安全漏洞扫描工具，它主要是为了满足那些需要对自己的web应用程序进行安全检测的应用者而设计的。通过Paros的本地代理，所有在客户端与服务器端之间的http和https数据信息，包括cookie和表单信息都将被拦截或者是修改。paros proxy，这是一个对Web 应用程序的漏洞进行评估的代理程序，即一个基于Java的web 代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web 通信记录程序，Web 圈套程序(spider)，hash 计算器，还有一个可以测试常见的Web 应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括：SQL 注入、跨站点脚本攻击、目录遍历、CRLF -- Carriage-Return Line-Feed 回车换行等。

本手册主要是帮助用户熟悉Paros的基本功能和简单应用。

了解更多测试知识访问如下链接:

https://edu.csdn.net/course/detail/22948

https://edu.csdn.net/lecturer/3215

https://edu.csdn.net/course/detail/30898

https://edu.csdn.net/course/detail/25768

安装与配置
1. 安装

在安装Paros工具之前需要安装Java文件，也就是JDK，版本必须在1.4以上。Paros是需要JDK支持的，JDK的下载地址如下：

http://www.oracle.com/technetwork/java/javase/downloads/index.html

接下来，下载Paros，地址为：

http://sourceforge.net/projects/paros/

Paros分别有Windows和Linux版本，当前我们应用在Windows下，需要下载Windows版本。

Paros拥有两个连接端口，分别为8080和8443，8080主要是针对Http建立连接，而8443是针对Https的协议建立连接的端口。

安装之后的Paros如图所示：

开启web浏览器，例如IE浏览器，需要配置连接代理，代理名称为localhost,代理端口为：8080，而端口8443是由Paros本身所使用，不是web浏览器所用，所以不用设置此代理端口。

注意：如果后台正在运行防火墙，而且只能接受设置好的互联网访问入口，此时需要修改Paros代理名称和端口号，如下所示修改者两个标识。

配置

首先启动Paros程序，如果在启动时界面上弹出错误提示，说明端口号8080和8443可能被占用，此时我们只需要修改Paros的本地端口号，然后再修改IE浏览器上的代理设置，使之相一致就可以了。如下图所示：

Paros的设置：

IE的代理设置：

功能介绍

首先来看Paros的界面以及功能分布

Spider抓取

Spider是Paros中一个非常重要的功能，它是用来抓取网站信息，收集URL地址信息，通过Spider这种方式来来逐层分解抓取站点的URL。如图所示：

当前，它的功能包括如下：

1）通过提供的URL地址来抓取HTTP或者HTTPS信息

2）支持抓取Cookie信息

3）支持设置代理链

4）自动添加URL地址，并以树结构分层进行扫描

Spider存在的一些缺陷，如下：

1）对于具有非法验证的SSL协议的站点不能被扫描

2）不支持多线程

3）对于在HTML中存在异常URL地址的页面不能被识别

4）Javascript生成的URL地址不能被识别

注意：对于不能被识别的URL地址，Paros也可以扫描，需要通过手动添加即可。