paros 커스터마이징 해킹

파로스 소스 다운 : (소스포지)

Features in Paros v3.2.0Alpha
Paros v3.2.0Alpha was released on 10 Nov 2004.
-    Almost 90% completely rewrite of all codes!!!
-    Improved connectivity.  Better HTTP/1.1 keep alive support.
-    Improved authentication support
    .    support proxy authentication.  Basic and NTLM should be supported.
    .    support individual server authentication.
-    Improved session saving
    .    the sites hierarchy and history can be restored from session file.
    .    better performance by use of inline DB.
    .    support large sites testing both in scanning and spidering.
-    Better extensibility by supporting extensions and plugins
-    New extension design
    .    used for adding functions to core program
    .    to be further polished in final release
-    New plugin features
    .    each plugin represent a test
    .    support knowledge base for plugins sharing
    .    support dependency check.
    .    customer plugins can be created by inheriting different AbstractPluginXXX class.
    .    to be further polished in final release
-    New spider:
    .    URL crawling and form crawling. Forms will fill the options values with limited combinations.
    .    with configurable options.
    .    support start/stop/resume
    .    estimated % complete
-    New scanner:
    .    with configurable options
    .    with multiple hosts/threads
    .    support    stopping individual hosts.
    .    generated alerts can be viewed while scanning.
-    New filters:
    .    custom filter can be added by dropping into filter directory by using Filter interface.
-    New application logging support in log directory.
-    Improved user interface.
    .    Click on tab to maximize working panel.
    .    Support image viewing.
-    Support use of Ant (1.6.2) build.xml
-    Change of copyright owner to parent company.

Paros Customizing :: 프리렉 - "웹, 해킹과 방어" 이 책에서 발견한 내용.
웹에는 자료도 거의 없다.

위에서 받은 파로스 소스의 압축을 푼 후, eclipse로 .project를 open

파로스 취약점 탐지항목
1. Infomation gathering
1) Obsolete file
2) Private IP Disclosure
3) Session ID in URL rewrite
4) Obsolete file extended check
2. Client Browser
1) Password Autocomplete in browser
2) Secure page browser cache
3. Server security
1) Directory browsing
2) IIS default file
3) Cold Fusion default file
4) Macromedia JRun default file
5) Tomcat source file disclosure
6) BEA Weblogic example files
7) Lotus Domino default files
4. Injections
1) SQL Injection Fingerprinting
2) CRLF Injection
3) Server side include
4) Cross site scripting
5) Cross site scripting without brackets
6) Parameter tampering
7) SQL Injection
8) MS SQL Injection Enumeration

소스 중에 탐지로직 룰 확인 경로 :: paros-3.2.13-src\paros\src\org\parosproxy\paros\core\scanner\plugin

scanner package 경로

core.scanner 분석은 별도의 글에서 진행.

p.s "Paros 커스터마이징"이라는 입맛돋는 주제는 프리렉 "웹, 해킹과 방어" 라는 책의 유일한 단물이다.
그런데 그 단물이 개'꿀'이라서 쪽쪽 빨아먹어야 한다.
자, 이제 tag 목록 중에 "paros"를 찾아서 읽는다. 실시.
그전에 광고클릭 자비


  • Cliver's a Omtmoa : paros custom - 컴파일 방법 2011-01-26 23:11:48 #

    ... { 음.. 그러고보니 프로젝트 넣는 법을 내가 안썼네. 다운받은.. 아;; 플젝트 넣는 법은 이전 글에 있음. 에 있음 ㅇ_ㅇ } 소스변경 후 재컴파일 방법.ANT를 이용.eclipse에서 Window & ... more


댓글 입력 영역


트위터 : @FCliver
기저심리학 : 네이버카페
카카오톡 : FCliver
페이스북 : Fredric Cliver

통계 위젯 (화이트)


접속자 위치