免费的web安全评测工具paros

这几天开始接触安全测试的东西，只关心两个，xss和sql injection

 

关于测试工具

     一种是代码分析，像ibm的rational appscan，光看这ibm的牌子和价格就知道狂nb，而且貌似可以直接当plug-in放到eclipse里，在51testing上看见有破解版的下载，没试。如果是asp的话，有微软自己的工具，MSCASI吧，不过只能检测sql注入，对xss好像不起什么作用，。这种代码分析的方法应该是比较完美的。

    第二种是把整个网站当成一个黑盒子来测试。关于这种测试，又分为自动和手动两种。

    自动的，工具会自动分析网站的所有参数，类似于爬虫，爬满整个网站，用过的有Acunetix Web Vulnerability Scanner 6，有破解版，免费版只能支持xss测试。sql injection的有pangolin，现在是2.x版本吧，不过免费版功能太弱，阉割的太厉害，在这里小小的鄙视一下。这种工具的缺点就是碰到需要登录的页面，不是那么灵光，个人感觉，虽然有设置，但是还是比较弱智。asp也有微软自己的东西，忘了名字了。

     手动的，基本做法都是把自己当成一个代理服务器，然后你自己的浏览器通过这个代理服务器来访问需要测试的网站，代理服务器会记录下你的一举一动，并对其中的参数做一些手脚，（就是加上一些xss的语句或者是sql injection的语句），然后对需要测试的网站进行访问。 这方面的工具，xss的有google的ratproxy，全体测试的就是paros。对登录这种东西做的比较好。

 

paros

 

http://www.parosproxy.org/index.shtml

 

设置巨简单，界面巨友好，支持自动和手动两种

 

不过我只喜欢手动

 

第一次打开，tools--opinions--localproxy，改改端口，默认的是8080

修改完毕，关掉。

在ie里设置一下代理服务器

然后第二次打开paros

现在所有的访问都是通过paros这个代理服务器来访问的

然后在测试网站上点几个功能，当然，带输入框的是重点

点击完了之后，因为ie有时候会自己做一些小动作，访问一些不该访问的网站，譬如msn之类，所以在paros左侧的site框里，把被测试网站以外的一些url都删掉就可以了，可以提高一下测试速度。

按顺序来是 analyse- scan policy，制定一下测试规则，从中可以看出常用的sql injection 和xss都在list里面，不过我喜欢全测，呵呵，小网站么，全测也不浪费多少时间。

然后是scan。。。。。。。。。。。paros就开始测了（analyse -spider就是自动模式）

测完了下面有简易的报告，不过要出正式的报告，在report- last scan report里面，paros会生成了一个html，里面有url，错误参数，解决方法（只能参考）。。。。。。。

非常友好。用了5分钟就学会了，太容易上手