Paros應用使用與常見漏洞和注意事項

應用

通過一個簡單的Http?web站點來演示Paros的基本功能。?

1. 啟動Paros工具，進入Option設置Local?Proxy，分別設置代理名稱為：Localhost，代理端口為：8081；接著設置IE瀏覽器的網絡連接代理，與Paros代理信息一致。
2. 啟動IE，輸入地址為：http://localhost:8080/********，，此時Paros收集了站點的URL信息
3. 接下需要抓取深一層的URL地址信息，需要選擇Spider功能，點擊Spider然后在點擊Start然后抓取URl地址
4. 選擇Scan?All
5. 選擇Test Report獲取報告，報告中對于每一個級別的漏洞都做詳細說明，并提供相關的解決方案。

漏洞類型

SQL注入

所謂SQL?注入，就是通過把SQL?命令插入到Web?表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL?命令.?比如先前的很多影視網站泄露VIP?會員密碼大多就是通過WEB?表單遞交查詢字符暴出的，這類表單特別容易受到SQL?注入式攻擊．?例如管理員的賬號密碼都是admin，那么再比如后臺的數據庫查詢語句是?user=request(\"user\")?passwd=request(\"passwd\")?sql=\'select?admin?from?adminbate?where?user=\'&\'\'\'&user&\'\'\'&\'?and?passwd=\'&\'\''&passwd&\'\''那么我使用\'or?\'a'=\'a?來做用戶名密碼的話，那么查詢就變成了?select?admin?from?adminbate?where?user=?\''or?\'a\'=\'a\'?and?passwd=?\''or?\'a\'=\'a\'?如何防止SQL注入，歸納一下，主要有以下幾點：?

1. 永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙”-“進行轉換等。
2. 永遠不要使用動態拼裝sql，可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3. 永遠不要使用管理員權限的數據庫連接，為每個應用使用單獨的權限有限的數據庫連接。
4. 不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。
5. 應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝。
6. sql注入的檢測方法一般采取輔助軟件或網站平臺來檢測。

XSS攻擊

XSS又叫CSS?(Cross?Site?Script)?，跨站點腳本攻擊。它指的是惡意攻擊者向Web?頁面里插入惡意html?代碼，當用戶瀏覽該頁之時，嵌入其中Web?里面的html?代碼會被執行，從而達到惡意攻擊用戶的特殊目的。?

目錄遍歷

目錄遍歷攻擊是Http所存在的一個安全漏洞，它使得攻擊者能夠訪問受限制的目錄，并在Web服務器的根目錄以外執行命令。

CRLF回車換行

CRLF是說黑客能夠將CRLF?命令注入到系統中。它不是系統或服務器軟件的漏洞，而是網站應用開發時，有些開發者沒有意識到此類攻擊存在的可能而造成的。

注意事項

在學習和使用Paros工具時，也發現了Paros存在一些缺陷，具體如下：

1. Paros官方沒有提供比較全面的幫助文檔，不利于快速熟悉并使用該款工具，導致部分功能不能理解和使用。
2. 在保存抓取、掃描內容時，保存路徑不支持特殊字符，例如漢字，否則就不能Open保存的文件。
3. 對于為提交請求的表單頁面進行掃描時不能分析出頁面存在的漏洞信息，必須在提交請求之后方能進行掃描并輸出結果。這將導致在測試大型網站時遺漏太多請求的頁面，必須通過手動添加來重新掃描，嚴重降低工作效率。