web脆弱性診断ツール「Paros」

XSSとかSQLインジェクションとか
ユーザーの入力を伴うページは何かと危険が多い。

どれだけ気をつけてたとしても、見逃しちゃうことはあるかも。
そんなときにオススメなのが Paros です。

今回はこの Paros について、導入から簡単な使い方までまとめちゃいます。
  

目次

Parosとは?
導入
使い方
まとめ
参考

  

Parosとは?

プロキシとして動作する、無料のweb脆弱性診断ツール。
ブラウザから送るリクエストを改ざんしたりしてテストしてくれます。
  

導入

ダウンロード

以下のリンクからzipをダウンロード
http://sourceforge.net/projects/paros/

解凍

ダウンロードしてきたzipを適当な場所に解凍。
paros という名前のディレクトリができました。
導入はこれでおしまい!
  

使い方

起動

解凍したファイル(私の環境だと paros という名前でした)に移動してその中にある startserver.sh を実行。(windowsは startserver.bat)

$ cd paros
$ startserver.sh

parosの設定

Tools > Option > Local Proxyを開き、設定が以下のようになっているか確認

ホスト名:localhost
ポート番号:8080

ブラウザの設定

プロキシの設定を以下のように変更

サーバ:localhost
ポート番号:8080

対象ページの登録

診断したいページにブラウザからアクセスし、ひと通りいじる。これで登録は完了。
APIなどを利用しているのであれば、APIをちゃんと叩きに行くように注意!

スキャン

Paros の Sites から診断したいページを選択し、 Analyze > Scan を実行。

レポート出力

Report > Last Scan Reportを実行。
すると parosディレクトリの中にあるsessionディレクトリに「LatestScannedReport.htm」というファイルができているはず。

確認

これで診断はおしまい!
この LatestScannedReport.htm を開くとレポートを確認できます。
  

まとめ

こんな感じで、無料でお手軽に診断ができちゃいます!

自動診断の他にも手動テストもできるし、
もし脆弱性が見つかったらその危険度や修正方法も含めてレポートしてくれるし。
一度試してみてもいいかもですよーー