facebook twitter hatena line email

セキュリティ/Paros

提供: 初心者エンジニアの簡易メモ
2018年3月29日 (木) 14:55時点におけるAdmin (トーク | 投稿記録)による版 (Admin がページ「テストツール/Paros」を「セキュリティ/Paros」に、リダイレクトを残さずに移動しました)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索

parosとは

セキュリティテストツール

xss脆弱性,sqlインジェクション,osコマンドインジェクションなどをたたきまくるツール

1.0.6と1.0.4があるが1.0.4を使った。1.0.6はレポートの出力でFile Create Errorとなって出力に失敗する

ダウンロード&インストール

http://sourceforge.net/projects/paros/files/ から paros-3.2.13-win.exe をDL

ポート番号の設定

parosを起動しtools/option/local proxyを以下のようにする

PROXYのアドレス:localhost
PROXYのポート:8080

使い方

  1. parosを起動してブラウザのネットワークの設定をlocalhost:8080にし、チェックしたいサイトへアクセスする。
  2. analyse/spiderを実行する(リンクをたどってページを洗い出す)(注:外部リンク数が多い場合はDos攻撃となるので注意
  3. ブラウザのネットワークの設定を、もとに戻す
  4. いらないドメインをPargeする
  5. analyse/ScanPolicyを設定する
  6. analyse/scanを実行する
  7. 下にcross site scriptingなどが出ると警告検出

ScanPolicy設定例

ServerSecurity/Directory browsing
HTML injection/Cross site scripting
HTML injection/Cross site scripting in path
HTML injection/Cross site scripting without brackets
HTML injection/Server Side Include
HTML injection/Parameter tampering
SQL injection/SQL Injection Fingerprinting
SQL injection/SQL Injection
Miscellaneous/CRLF Injection
Miscellaneous/External redirect
上記以外はチェックなし

localhostでサイトチェックが出来ない回避対策

hostsに以下をいれexample.comでアクセスする

127.0.0.1       example.com

XSSサンプル

<form action="" method="post">
<input type="text" name="hoge" value="<?=$_POST['hoge']?>">
<input type="submit">
</form>

ファイル読み込み時の注意

読み込みファイルまでに日本語パスが入っていると読み込めない。

Parge(from DBをしても消えないドメインについて

下の方に対象ドメインのrequestログが残っているので、そちらも削除する

404となる場合

parosとブラウザのportを8080から別の番号にかえてみる

注意

自サイト以外のドメインは確実にParge(取り外し)しましょう。もし他人のサーバを対象とした場合は損害賠償ものとなります。