`
fighter1945
  • 浏览: 230517 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

免费的web安全评测工具paros

阅读更多

这几天开始接触安全测试的东西,只关心两个,xss和sql injection

 

关于测试工具

     一种是代码分析,像ibm的rational appscan,光看这ibm的牌子和价格就知道狂nb,而且貌似可以直接当plug-in放到eclipse里,在51testing上看见有破解版的下载,没试。如果是asp的话,有微软自己的工具,MSCASI吧,不过只能检测sql注入,对xss好像不起什么作用,。这种代码分析的方法应该是比较完美的。

    第二种是把整个网站当成一个黑盒子来测试。关于这种测试,又分为自动和手动两种。

    自动的,工具会自动分析网站的所有参数,类似于爬虫,爬满整个网站,用过的有Acunetix Web Vulnerability Scanner 6,有破解版,免费版只能支持xss测试。sql injection的有pangolin,现在是2.x版本吧,不过免费版功能太弱,阉割的太厉害,在这里小小的鄙视一下。这种工具的缺点就是碰到需要登录的页面,不是那么灵光,个人感觉,虽然有设置,但是还是比较弱智。asp也有微软自己的东西,忘了名字了。

     手动的,基本做法都是把自己当成一个代理服务器,然后你自己的浏览器通过这个代理服务器来访问需要测试的网站,代理服务器会记录下你的一举一动,并对其中的参数做一些手脚,(就是加上一些xss的语句或者是sql injection的语句),然后对需要测试的网站进行访问。 这方面的工具,xss的有google的ratproxy,全体测试的就是paros。对登录这种东西做的比较好。

 

paros

 

http://www.parosproxy.org/index.shtml

 

设置巨简单,界面巨友好,支持自动和手动两种

 

不过我只喜欢手动

 

第一次打开,tools--opinions--localproxy,改改端口,默认的是8080

修改完毕,关掉。

在ie里设置一下代理服务器

然后第二次打开paros

现在所有的访问都是通过paros这个代理服务器来访问的

然后在测试网站上点几个功能,当然,带输入框的是重点

点击完了之后,因为ie有时候会自己做一些小动作,访问一些不该访问的网站,譬如msn之类,所以在paros左侧的site框里,把被测试网站以外的一些url都删掉就可以了,可以提高一下测试速度。

按顺序来是 analyse- scan policy,制定一下测试规则,从中可以看出常用的sql injection 和xss都在list里面,不过我喜欢全测,呵呵,小网站么,全测也不浪费多少时间。

然后是scan。。。。。。。。。。。paros就开始测了(analyse -spider就是自动模式)

测完了下面有简易的报告,不过要出正式的报告,在report- last scan report里面,paros会生成了一个html,里面有url,错误参数,解决方法(只能参考)。。。。。。。

非常友好。用了5分钟就学会了,太容易上手

 

0
1
分享到:
评论

相关推荐

    抓包工具Paros

    Paros提供了多种网络嗅探和分析功能,是IT专业人员进行网页安全测试的重要工具。 Paros的核心功能包括: 1. **HTTP/HTTPS代理**:Paros作为一个中间人(Man-in-the-Middle, MITM)代理,可以拦截和查看所有通过它...

    paros-3.2.13forwin好用的web安全漏洞扫描工具

    **标题解析:** "Paros-3.2.13 for Win" 是一款专为Windows系统设计的Web安全漏洞扫描...总的来说,Paros是一款集成了多种功能的Web安全测试工具,对于网络安全专业人员和Web开发者来说,它是一款必不可少的辅助工具。

    十大web安全扫描工具

    - **简介**:Watchfire AppScan 是一款商业级别的 Web 安全测试工具,提供全面的安全测试解决方案。 - **特点**: - 支持多种安全测试,包括跨站脚本、HTTP 响应拆分等。 - 整合到软件开发生命周期中,实现早期的...

    paros web漏洞检测工具及使用说明

    总之,Paros是一个强大的Web漏洞检测工具,通过其丰富的功能,安全专家可以有效地评估和保护Web应用的安全性。熟练掌握Paros的使用,对于提升网络安全防护能力至关重要。在实际操作中,应结合具体场景和需求,灵活...

    WEB安全测试工具

    "WEB安全测试工具" WEB安全测试是一种检测和评估Web应用程序和服务器安全性的方法。为了帮助用户造就安全的Web站点,扫描程序可以在黑客“黑”你之前,先测试一下自己系统中的漏洞。下面是10大Web漏洞扫描程序,供...

    十大Web安全扫描工具

    Web 安全扫描工具综述 在 Web 应用程序安全中,扫描工具扮演着至关重要的角色。黑客经常会寻找 Web 页面的漏洞,作为攻击的入口。为了防止这种情况的发生,需要使用扫描工具来检测和修复这些漏洞。下面将对十大 Web...

    paros网络监控工具

    Paros是一款功能强大的网络监控工具,主要用于Web应用的安全测试和HTTP代理服务。它是一个开源的Java应用程序,可以在多种操作系统上运行,包括Windows、Mac OS X和Linux等。Paros的核心功能是作为代理服务器,允许...

    Webscarab安全测试工具

    Webscarab是一款广泛使用的Web安全测试工具,主要用于进行Web应用程序的渗透测试。渗透测试,又称灰盒测试或黑客模拟攻击,是网络安全领域中的一个重要环节,目的是发现并修复潜在的安全漏洞,防止非法入侵者利用...

    paros工具使用手册

    Paros是一款专为Web应用程序安全检测设计的工具,由纯Java语言构建,适用于希望对其Web应用进行全面安全评估的专业人士。它通过代理机制截获并分析客户端与服务器间的所有HTTP/HTTPS通信,包括敏感信息如cookies和...

    mac Paros抓包工具,只能是HTTP的

    Paros是一款专为Mac用户设计的HTTP/HTTPS网络代理服务器和嗅探器,它主要用于Web应用的安全测试和调试。在IT行业中,抓包工具是非常重要的一环,它们可以帮助开发者、安全专家以及网络管理员查看和分析网络流量,...

    Paros工具使用手册

    - **定义**:Paros是一款采用纯Java语言编写的开源安全漏洞扫描工具,主要用于帮助开发者和安全专家对其Web应用程序进行全面的安全性评估。 - **核心功能**:Paros通过其内置的代理服务能够拦截并分析客户端与服务器...

    paros-3.2.13-win.rar

    Paros是一个强大的Web应用安全评估工具,对于从事Web开发、渗透测试或安全审计的专业人士来说,是不可或缺的工具之一。通过使用Paros,用户可以更好地理解和保护他们的Web应用程序,确保其免受恶意攻击。

    PAROS-抓包

    总的来说,PAROS是一个强大而全面的Web应用安全测试工具,它提供了一套综合的工具来帮助专业人员识别和修复潜在的网络安全问题。在使用过程中,理解其功能和限制,以及正确使用方法,对于提升Web应用的安全性至关...

    paros网络工具

    Paros不仅提供了代理服务器的功能,还集成了各种网络扫描器、会话劫持、HTTP消息编辑器、抓包器等多种实用工具,是Web开发人员和安全测试人员不可或缺的助手。 **一、Paros的核心功能** 1. **代理服务器**:Paros...

    Paros+proxy:网页程序漏洞评估代理

    Paros Proxy是一款强大的开源网页应用程序安全测试工具,主要用于代理HTTP和HTTPS流量,帮助网络安全专家、开发者和测试者发现并分析网站应用中的潜在漏洞。这款工具的功能丰富,包括数据包拦截、篡改、重放以及各种...

    抓包paros-1工具

    **标题解析:** "抓包paros-1工具" 指的是Paros Proxy,它是一个基于Java的网络代理服务器,主要用于网络安全测试和Web应用程序的调试。Paros提供了抓包和分析HTTP/HTTPS流量的功能,是开发人员和安全专家常用的工具...

    web安全实践完整版

    - 工具的综合运用,结合编程技巧,可以创建自定义的渗透测试工具,以模拟攻击并评估系统安全性。 7. **Web设计与安全**: - 虽然主要关注安全实践,但理解Web设计原则有助于识别可能的安全风险。良好的设计可以...

    paros安装包

    总的来说,Paros是Web开发者和安全研究人员的得力工具,通过它,我们可以深入了解网络请求的过程,发现潜在的安全问题,或者对应用进行性能优化。了解并掌握Paros的使用方法,对于提升Web开发技能和保障网络安全具有...

    Paros+Proxy

    spider hash 计算器 还有一个可以测试常见的Web应用程序攻击 如SQL注入式攻击和跨站脚本攻击 的扫描器 ">安全测试工具 一个对Web应用程序的漏洞进行评估的代理程序 即一个基于Java的web代理程序 可以评估Web应用程序...

Global site tag (gtag.js) - Google Analytics