Paros应用使用与常见漏洞和注意事项

应用

通过一个简单的Http web站点来演示Paros的基本功能。 

  1. 启动Paros工具,进入Option设置Local Proxy,分别设置代理名称为:Localhost,代理端口为:8081;接着设置IE浏览器的网络连接代理,与Paros代理信息一致。
  2. 启动IE,输入地址为:http://localhost:8080/********,,此时Paros收集了站点的URL信息
  3. 接下需要抓取深一层的URL地址信息,需要选择Spider功能,点击Spider然后在点击Start然后抓取URl地址
  4. 选择Scan All
  5. 选择Test Report获取报告,报告中对于每一个级别的漏洞都做详细说明,并提供相关的解决方案。

漏洞类型

SQL注入

所谓SQL 注入,就是通过把SQL 命令插入到Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令. 比如先前的很多影视网站泄露VIP 会员密码大多就是通过WEB 表单递交查询字符暴出的,这类表单特别容易受到SQL 注入式攻击. 例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是 user=request(\"user\")passwd=request(\"passwd\")sql=\'select admin from adminbate where user=\'&\'\'\'&user&\'\'\'&\' and passwd=\'&\'\''&passwd&\'\''那么我使用\'or \'a'=\'a 来做用户名密码的话,那么查询就变成了 select admin from adminbate where user= \''or \'a\'=\'a\' and passwd= \''or \'a\'=\'a\' 如何防止SQL注入,归纳一下,主要有以下几点: 

  1. 永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双”-“进行转换等。
  2. 永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  3. 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  4. 不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  5. 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
  6. sql注入的检测方法一般采取辅助软件或网站平台来检测。

XSS攻击

XSS又叫CSS (Cross Site Script) ,跨站点脚本攻击。它指的是恶意攻击者向Web 页面里插入恶意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意攻击用户的特殊目的。 

目录遍历

目录遍历攻击是Http所存在的一个安全漏洞,它使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。

CRLF回车换行

CRLF是说黑客能够将CRLF 命令注入到系统中。它不是系统或服务器软件的漏洞,而是网站应用开发时,有些开发者没有意识到此类攻击存在的可能而造成的。

注意事项

在学习和使用Paros工具时,也发现了Paros存在一些缺陷,具体如下:

  1. Paros官方没有提供比较全面的帮助文档,不利于快速熟悉并使用该款工具,导致部分功能不能理解和使用。
  2. 在保存抓取、扫描内容时,保存路径不支持特殊字符,例如汉字,否则就不能Open保存的文件。
  3. 对于为提交请求的表单页面进行扫描时不能分析出页面存在的漏洞信息,必须在提交请求之后方能进行扫描并输出结果。这将导致在测试大型网站时遗漏太多请求的页面,必须通过手动添加来重新扫描,严重降低工作效率。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~