日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
Parosproxy:網頁程序漏洞評估代理

Paros Proxy的安裝和運行需要預先配置JRE環(huán)境變量,安裝JRE 1.4或以上版本,在PATH環(huán)境變量中輸入JRE的安裝路徑,在CLASSPATH環(huán)境變量中輸入LIB路徑。然后就可以安裝Paros Proxy了。windows下照提示安裝。然后進行配置。

下載鏈接:http://down./data/146321

>>去網絡安全工具百寶箱看看其它安全工具

首先,paros需要兩個端口:8080和8443,其中8080是代理連接端口,8443是SSL端口,所以必須保證這兩個端口并未其它程序所占用。(查看端口命令:開始—運行—cmd—netstat,查看目前使用的端口)

然后配置瀏覽器屬性:打開瀏覽器(如IE),工具-選項-連接-LAN設置-選中proxy server,proxyname為:localhost,port為:8080。(很顯然這之后就不能通過瀏覽器直接上網了)

如果你的計算機運行于防火墻之下,只能通過公司的代理服務器訪問網絡,你還需要修改PAROS的代理設置,具體的方法是:打開paros-工具-Options-connection,修改”ProxyName” and “ProxyPort”兩項為代理服務器的名稱和端口。

現(xiàn)在可以運行paros進行測試。

打開paros之后用瀏覽器就能上網了,運行你要測試的web應用,paros就會自動抓取其中位于***層的URL(比如首頁的URL),并顯示在左側的“site”欄中。選中一個URL,右鍵—spider,就能抓取所選層次下一層的所有URL。這樣可以把待測應用的所有URL都抓取出來。

不過paros并不能識別一些特定的URL路徑,比如一些URL鏈接需要在合法登錄后才能被識別出來,因此在進行URL抓取時,一定先要登錄網站。對于未能被識別出來的那些URL,可以手動添加。打開paros—工具—manual request editor,輸入未被抓取的URLS,然后單擊SEND按鈕,完成手動加入URL,添加成功后的URL將顯示在左側的“site”欄中。

所有URL被抓取出來之后就可以逐一進行掃描了。可以對單一URL進行掃描,也可以對所有URLS進行掃描。掃描的結果會被保存到本地固定目錄。

例如:

Report generated at Mon, 14 Dec 2009 11:19:21.

Summary of Alerts

Paros Scanning Report

Risk LevelNumber of Alerts
High0
Medium2
Low0
Informational0

Alert Detail

Medium (Warning)Password Autocomplete in browser
Description

AUTOCOMPLETE attribute is not disabled in HTML FORM/INPUT element containing password type input. Passwords may be stored in browsers and retrieved.

URL

http://******.com/index.php

Other information

Solution 

Turn off AUTOCOMPLETE attribute in form or individual input elements containing password by using AUTOCOMPLETE=’OFF’ 

Reference 

http://msdn.microsoft.com/library/default.asp?url=/workshop/author/forms/autocomplete_ovr.asp

Medium (Suspicious)Lotus Domino default files
Description  

 Lotus Domino default files found.

 

URL

http://******.com/?OpenServer
 

URL

http://******.com/?Open
 
Solution

 Remove default files. 

Reference  

然后就可以對掃描結果進行驗證了,比如掃描結果中有一是URL傳遞的參數(shù)中存在SQL注入漏洞,那么將該URL及參數(shù)輸入到地址欄中,驗證結果。

這個工具并不能對web應用進行全面安全測試,今后還會研究一些其它的工具,結合起來,完善測試。


分享題目:Parosproxy:網頁程序漏洞評估代理
瀏覽地址:http://m.5511xx.com/article/codsode.html