Paros

| | コメント(0) | トラックバック(0)

・ProofSecure.com - Web Application Security
http://www.proofsecure.com/index.shtml

JavaでかかれたWebアプリケーションセキュリティ評価ツール。
HTTP、HTTPS、クライアント証明書にも対応しているみたい。

自分(管理下)のWebアプリケーションのセキュリティチェックにのみ使い、悪用はしないこと。

2003/10/23現在のバージョンは3.0.2。

他のWebアプリケーションセキュリティ評価ツールにNiktoなどがあります。
SEE:
Nikto (このblogより)

PROXYとして動作し、(ブラウザで)ブラウジングしたファイルのリストを階層構造で作成。
ファイルリストのファイルに対してセキュリティのチェックなどを行える。

  • ファイルリスト作成の為に指定URLからクロールするSpider機能付き。
    ただし開始URLにファイル名は指定できないっぽい?
    「http://example.jp/path/to/」の様にしないといけない??
    別のサイト、上位のディレクトリにはクロールしない模様。
  • XSSのチェック、PUTメソッドの許可チェック、バックアップファイル(?)のチェック、ディレクトリ構造表示チェック、JRunやIISやColdFusionやTomcatなどのデフォルトファイルのチェック、SQLインジェクションチェックなどのスキャン。
  • CookieやGetQueryやPostQueryなどのロギング。
  • HTTP requests/responsesのトラップ。
  • Hash/Encodingの実行。

など。

日本語はばけるっぽい。

使用例 (2003/11/01 追記)

  1. 起動 「スタートメニュー>Paros>Paros 3.0.2」を実行する。
    または、
    「インストールディレクトリ\paros.jar」を実行する。(javawで起動してる)
  2. ポート番号の指定
    メニューの「View>Option」か「Option」タブを開くとXMLファイルが表示されるので、必要に応じて編集する。
    デフォルトでは、以下のようになっている。
    • PROXYのアドレス:127.0.0.1
    • PROXYのポート:8080
    • SSL PROXYのポート:8443
  3. ブラウザのPROXY設定を上記Optionのポートにあわせて設定する
  4. ブラウザでWEBサイトをアクセスする。
    すると、Parosにアクセスした情報が残る。
  5. 全ての検査したいWEBサイトのファイルにアクセスする。
    この時、「Tools>Spider」機能を使うこともできる。
  6. 検査を行う。
    「Tree>Scan Selected Node」や「Tree>Scan All」で検査を行う。
  7. 「Output」タブに結果が出力される
    Warningなどの文字に注意すること。

トラックバック(0)

このブログ記事を参照しているブログ一覧: Paros

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/119

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2003年10月23日 03:25に書いたブログ記事です。

ひとつ前のブログ記事は「インストールディレクトリ」です。

次のブログ記事は「Windows HotFix Briefings (@IT)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261