Pros proxy

 Pros proxy支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序(spider)，hash计算器，还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括：SQL注入、跨站点脚本攻击、目录遍历、CRLF -- Carriage-Return Line-Feed回车换行等。

 

安装步骤：

1.下载并安装32位JRE：http://java.sun.com/j2se

(不需要设置环境变量，64位电脑也可以安装32位jre或者jdk)

 

2.下载安装paros proxy：http://sourceforge.net/projects/paros/

确认证书后，出现缺少快捷方式，点击浏览，选取步骤一中安装的32位javaw.exe

 

 

3.设置浏览器代理设置

地址：localhost       端口：8080

不勾选 对于本地地址不使用代理服务器（B）

不填写跳过网址

 

4.打开Prosproxy，打开设置完毕的浏览器，此时Pros proxy开始抓取根目录。（需要登录的网址，要登录之后才能抓取,抓取结果在site窗口显示）

 

5.右键根目录点击spider-->start ，抓取所有连接信息。

 

6.点击Analyse-->ScanAll，运行漏洞扫描程序

 

7.点击Report-->Last Scan Report，生成html报告以及报告存放位置

 

8.使用完毕后，将恢复原设置。

9.注意事项

         1).不能够抓取的URL

l 具有非法验证的SSL站点的URL是不能被抓取的；

l 不支持多线程；

l 在HTML页中的某些畸形URLS也是不能被识别的；

l 由javascrīpt生成的URLS也是不能被识别的；

l 虽然上述这些URLS不能被自动抓取，但是可以将其手动增加到左侧的“site”栏中，具体的操作方法是：

l 首先要对被测试站点URL的层次树有很好的了解，这样才能知道哪个URL抓取了，哪些还没有被抓取。

l 对于未被抓取的URLS，通过打开paros-工具-manualrequest editor，输入未被抓取的URLS，然后单击SEND按钮，完成手动加入URLS动作，添加成功后的URLS将显示在左侧的“site”栏中。

         2).输出的output文件要及时保存，每次扫描覆盖上一次扫描的文件。