現在越來越多客戶會要求要上線的網站必須提供安全性掃瞄報告,之前我曾經介紹過一套 RatProxy 工具,感覺是不錯,掃瞄的結果也十分的詳細(..繁瑣..),也因為缺乏 UI 其實使用上蠻不方便的。正好我們最近一個上線的網站又被要求做安全性檢測,而這次是由客戶主動要求要用 Paros 掃瞄工具進行檢測。
Paros 是一套完全以 Java 開發而成的網站應用程式資訊安全掃瞄工具(web application security assessment tool),以開放原始碼的方式釋出,該工具提供一些基礎的 UI 可供操作,使用上並不複雜,基本上就幾個步驟即可完成掃瞄。
Paros 可掃瞄的項目雖然不多,但是都是最重要也最常見的幾個資安問題,像是 XSS, SQL Injection, Information gathering, ... 等等。不過畢竟是屬於黑箱檢測的工具,我覺得能掃瞄出來的問題應該也是有限!我個人認為「原始碼掃瞄」才是王道,但通常這類工具都價格不斐。
要開始使用 Paros 只要依循以下步驟即可完成掃瞄並取得報表:
- 開啟 Paros 工具
- 設定瀏覽器或其他 HTTP Client 的 Proxy 伺服器設定,預設是走本機的 8080 Port (如下圖)
- 開始人工瀏覽或操作網站 ( 跟 RatProxy 一樣是屬「半自動」且「被動式」的偵測方法 ),Paros 會幫你錄下所有網站操作過程的所有細節,包括所有 HTTP Request/Response Header,好在之後錄製完成後進行嘗試性的攻擊與分析。
- 接著你可以設定 Paros 工具中 Analyze 選單內的 Scan Policy 項目,選取你要檢測的方法有哪些,這裡內建了一些常見的網站安全性漏洞檢測,但也有可能有些是你不要的項目,可以不要勾選,例如說你要檢測 ASP.NET 的網站,Java 相關的檢查項目就可以取消掉。
- 接著點選 Analyze 選單內的 Scan All 項目開始進行掃瞄。
- 掃瞄完畢後,點選 Report 選單內的 Last Scan Report 就會取得最後的檢測報告。
上面的第 3 步雖然是「被動式」的偵測方法,不過 Paros 也有提供一個「全自動」的 Spider 可以幫你自動抓網頁回來檢測,只要第 2 步驟完成 Proxy 伺服器設定後,開啟 Browser 先讀取要檢測網站的第一頁,讓 Paros 先錄下首頁的網址,然後在 Paros 選取該網址,並點選滑鼠右鍵,選擇 Spider 選單。
選完後再點選 Start 按鈕,就會開始抓取網頁了!只是有些 Web Application 因為需要登入,所以必須要先透過登入的動作才能操作,這部分透過 Spider 就無法自動檢測了,你還是必須手動瀏覽使用網站。
最後掃瞄的結果格式如下圖示:
相關連結