Web 应用程序安全性：测试漏洞 -3 Paros Proxy

look_w

Paros            Proxy另一个有用的安全测试工具是 Paros Proxy。跟 WebScarab 一样，Paros 捕获浏览器和服务器之间的会话，以进行分析。也可以使用它来测试站点上的漏洞。要运行 Paros，必须更改浏览器代理设置中使用的端口号。对于 WebScarab，使用的是 8008；在运行 Paros 之前将该端口更改为 8080，否则该工具不能工作。对于本练习，例子中使用了 WebGoat，这是出自 OWASP 的另一个工具（参见 ）。跟 Hacme Casino 一样，WebGoat 运行使用 Tomcat 服务器作为本地主机。对于本文的目的，WebGoat 在 Paros 扫描中显示的漏洞比 Hacme Casino 中的多。
使用多个扫面程序每个测试自己站点的人都应该由此知道，不同的扫描程序扫描相同的站点可能显示的结果不同。正因为如此，专业 pen-tester 在工作时使用多个工具。

更改端口之后，打开 Paros。然后执行以下步骤：

• 在 WebGoat 文件夹中，双击 WebGoat.ba 启动 Tomcat。
• 打开浏览器，然后输入 http://localhost/WebGoat/attack。
• 用户名和密码都输入 guest。
• 单击 Start WebGoat。

现在，回到 Paros 并启动 WebGoat 站点的扫描。当然，您也可以使用自己的站点，在地址栏输入站点的 URL。
在 Paros 中，展开 Sites 文件夹，在目录树中看到 http://localhost。展开该文件夹，出现 WebGoat。突出显示 WebGoat，然后单击 Analyse Scan。这将马上开始站点扫描。大站点可能要花点时间，但是本例站点应该只要几秒钟。一旦开始扫描，底部窗格自动更改为 Alerts 选项卡（参见 ）。扫描完成时，单击弹出窗口中的 OK，该窗口告诉您去哪里找到报告。
图 7. 查看警告可以展开警告，以显示更详细的信息。也可以查看报告，报告中提供了更多信息。但是，首先保存扫描结果，方法是单击 File > Save As，为扫描选择一个位置和文件名，然后单击 Save。
要查看报告，单击    Report > Last Scan Report。单击弹出窗口中的 OK，将打开一个新的浏览器选项卡，其中是扫描结果的报告，如 所示。该报告提供有关检测到的每个漏洞的大量信息，包括对处理特定 exploit 的 OWASP 页面的引用。
图 8. Paros 报告