Paros中文使用教程功能介紹
功能介紹
Spider抓取
Spider抓取?Spider是Paros中一個非常重要的功能,它是用來抓取網站信息,收集URL地址信息,通過Spider這種方式來來逐層分解抓取站點的URLParos工具使用理解文檔
當前,它的功能包括如下:
- 通過提供的URL地址來抓取HTTP或者HTTPS信息? 2. 支持抓取Cookie信息
- 支持設置代理鏈?
- 自動添加URL地址,并以樹結構分層進行掃描? Spider存在的一些缺陷,如下:
- 對于具有非法驗證的SSL協議的站點不能被掃描? 2. 不支持多線程
- 對于在HTML中存在異常URL地址的頁面不能被識別 4. Javascript生成的URL地址不能被識別?注意:對于不能被?識別的URL地址,Paros也可 以掃描,需要通過手動添加即可。
Scanner掃描
針對“site”欄中的URLS?進行掃描,逐一檢查對URLS?分別進行安全性檢查,驗證是否存在安全漏洞。如果想掃描”site”欄中所有的URLS,單擊anaylse-scanall可以啟動全部掃描。如果只想掃描“site”欄中某一URL,選中該URL,右擊鼠標,選取scan?命令 關于掃描設置,可以對單個頁面進行掃描,也可以對整個站點進行掃描。
Scanner可以針對一下幾種情況進行掃描:
1. SQL注入?
2. XSS跨站點腳本攻擊?
3. 目錄遍歷?
4. CRLF?–?Carriage-Return?Line-Feed?回車換行。
(注意:Paros掃描是針對每個網站URL地址進行分層掃描,精確到每個一個獨立的URL地址,都需要進行漏洞檢測。)
行漏洞檢測。?關于掃描策略的設置如下:
- 搜集的信息有如下分類:?過期的文件、私有IP的暴露、URL地址中可以改寫的Session?ID、過期文件的擴展檢查。
- 客戶端瀏覽器有如下分類:?表單自動完成密碼的保存、瀏覽過程中保存的安全性文件的緩存信息。
- 服務器端安全有如下分類:?正在瀏覽的目錄信息、IIS服務的默認文件等各種服務器的默認文件。
- SQL注入有如下分類?基本的sql語句構造、目錄上傳、服務器站點注入、跨站腳本注入等。
Filter過濾器
過濾器的用途:
- 檢測并警告你在HTTP消息中一些預定義發生的模式,因此你不需要去捕獲每個HTTP消息,而只需要尋求你所需要的模式。
- 記錄一些你所感興趣的信息,例如Cookie等。 在數據傳輸中,過濾器會對每一個HTTP消息進行攔截檢測,如果使用所有過濾將會大大降低Paros的掃描速度,所以通常我們只需要對我們需要的信息進行攔截過濾。
當前,有如下過濾器: - LogCookie?記錄所有瀏覽器端到服務器端接收的Cookies信息,并顯示在面板中。
- LogGetQuery?記錄所有HTTP(HTTPS)來自瀏覽器端獲取的參數,并且日志的名稱將以“get.xls”的形式保存在Paros目錄下面。
- LogPostQuery?記錄所有HTTP(HTTPS)來自瀏覽器端傳送的參數,并且日志的名稱將以“post.xls”的形式保存在Paros目錄下面。? 4.CookieDetectFilter?提醒你在返回HTTP消息中嘗試去設置并修改Cookie信息。? 5.IfModifiedSinceFilter?在HTTP請求中刪除“If?Modified?Since”和“If?None?Match”這頭信息選項,它將檢索“HTTP?200?OK”,而不是“HTTP?304?not?modified”。
Traping?Http?Requests?and?Responses
Paros能手動捕獲和修改HTTP(HTTPS)的請求和響應信息,所有的HTTP和HTTPS數據通過Paros都能被捕獲,并且可以按照我們需要的方式進行修改。 只要選中復選框“Trap?Request”和“Trap?Response”,就表示捕獲所有的請求和響應信息,然后點擊“Continue”就可以繼續操作。
具體操作如圖所示:
- 啟動Paros工具,并啟動頁面;
- 勾選Trap頁面的Trap?Request和TrapResponse選項;?
- 在http頁面輸入請求數據 注意:如果在阻截過程中需要停止劫獲,需要點擊Drop按鈕
Last?Scan?Report
掃描完成后,單擊Report-Last?Scan?report,可查看當前的掃描報告。根據掃描報告,對掃描結果進行驗證,比如掃描結果中有一項是URL?傳遞的參數中存在SQL注入漏洞,我們將該URL及參數輸入到地址欄中,驗證結果。掃描結束給掃描用時,并提示獲取測試報告在Report菜單下面,報告中主要給報告生成時間、漏洞的等級以及漏洞的具體描述信息。
推薦文章: