Paros web scanner: Como usá-lo no Linux e Windows

O Paros é uma das ferramentas mais conhecidas para teste de penetração em aplicativos da Web e pode ser usado por especialistas e desenvolvedores de segurança para verificar a segurança de seus aplicativos. Está escrito em Java e isso o torna capaz de executar em muitos sistemas operacionais diferentes.

A função de proxy incluída é muito útil, pois permite controlar o movimento de e para o navegador. Dessa forma, os usuários da ferramenta podem verificar sua aplicação em termos de como os cookies funcionam, os redirecionamentos, mas também em termos das solicitações que o navegador envia ao servidor. Além disso, embora inclua vários aplicativos para controle automático, seu valor pode ser visto nas mãos de um testador de penetração capaz que sabe exatamente o que está procurando.

Como instalá-lo

Como você pode imaginar, você já o encontrará instalado na conhecida distro para testadores de penetração, o Kali Linux. Para outros sistemas operacionais, o processo de instalação é bastante simples. Obviamente, o pré-requisito é a instalação da versão Java Run Time Environment (JRE) pelo menos 1.4.

janelas

Primeiro, você precisa verificar se sua máquina já possui o Java instalado. Um resultado como o abaixo sugere que o seu computador possui o Java instalado:

C: Users elena> versão-java -versionjava versão “1.8.0_231” Java (TM) SE Runtime Environment (versão 1.8.0_231-b11) VM cliente Java HotSpot (TM) (versão 25.231-b11, modo misto)

Caso contrário, você pode fazer o download do JRE aqui.

Depois de instalar o Java, baixe e instale o Paros em seu site oficial. Isso o redirecionará para a página SourceForge.net da qual você pode selecionar a versão para download. Após o download do arquivo, clique duas vezes nele e siga todas as etapas do instalador, como mostrado abaixo.

janelas

Quando a instalação estiver concluída, você poderá encontrá-la nos Programas. Na primeira vez em que você o executar, solicitará que você aceite o contrato de licença.

Linux Ubuntu

Como dissemos, a instalação do java na máquina Linux é necessária. Para verificar se o java está instalado, abra um terminal, digite o seguinte comando e verifique o que está de volta:

root @ kali-elena: ~ # java -versionopenjdk versão “11.0.5-ea” 2019-10-15OpenJDK Runtime Environment (compilação 11.0.5-ea + 6-post-Debian-2) VM do servidor OpenJDK de 64 bits (compilação 11.0.5-ea + 6-post-Debian-2, modo misto, compartilhamento)

Se o Java não estiver pré-instalado, execute o seguinte comando e, finalmente, verifique novamente a versão do java:

sudo apt install default-jrejava -version

Após a instalação bem-sucedida do Java, instale o Paros com estes dois comandos:

sudo apt-get updatesudo apt-get install paros

Como usá-lo

Abaixo, usaremos o Paros em um ambiente Kali Linux, para ver seus diferentes usos. Podemos iniciar o Paros abrindo um terminal e digitando Paros. Na primeira vez, ele solicitará a aceitação do contrato de concessão.

Após a aceitação do contrato, veremos a abertura de Paros, que consiste nas seguintes áreas:

  • Área Esquerda: Esta área mostra os sites que verificamos e os arquivos e pastas correspondentes que descobre dessa verificação.
  • Área Direita: Aqui vemos as solicitações e as respostas correspondentes feitas no site que controlamos. Podemos modificar e reenviar solicitações específicas para um melhor controle do aplicativo.
  • Área inferior: Aqui vemos as respostas após as verificações e rastreamentos que fazemos no site “atacado”. Contém o histórico das guias relevantes, Spider, Alertas, Saída.
  • janelas

    Agora é hora de testar um aplicativo Web em busca de vulnerabilidades. Para fazer isso, devemos permitir que Paros intercepte o movimento entre nosso navegador e o aplicativo. Nesse caso, nosso navegador é “Firefox ESR” e, para isso, selecionamos “Preferências”, depois “Genaral” e, em seguida, desceremos e pressionamos o botão “Configurações” no campo “Network Proxy”.

    Aqui, precisamos ajustar as configurações para que sejam mostradas na imagem abaixo.

    janelas

    Paros intercepta o movimento “escutando” o host local na porta 8080.

    O aplicativo da web que usaremos para o teste está localizado em 192.168.141.129 e foi criado por esse motivo.

    Com o Paros aberto, visitamos nossa página e, em seguida, selecionamos “Analisar” e depois “Spider” para rastrear todas as páginas do aplicativo.

    Paros Windows

    À medida que o rastreamento progride, podemos ver seus resultados na guia Aranha.

    Paros

    Depois que o rastreamento estiver concluído, precisamos executar a verificação. Isso pode ser feito selecionando “Analisar” novamente e depois “Digitalizar”.

    Paros Windows

    Após concluir a verificação, encontraremos as vulnerabilidades do aplicativo na área inferior, na guia “Alertas”. Vimos que ele retornou o seguinte (2 com classificação alta, 2 com média e 1 com baixa):

    Paros

    O Paros permite exportar o resultado para um relatório, selecionando-o no menu “Relatório” e depois em “Último relatório de verificação”.

    janelas

    Indo para o caminho que Paros nos aponta, encontraremos os resultados da verificação que executamos na forma de um relatório.

    Nesse ponto, vale ressaltar que Paros é o ancestral da conhecida ferramenta OWASP Zed Attack Proxy (ZAP), mantida pela comunidade da OWASP.

    Como Paros olhou para você? Você vai usá-lo? Estamos aguardando seus comentários.