江湖秘笈：简单快速的URL抓取和漏扫两用工具 Paros Proxy很适合Web网站安全测试使用

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。今天又开始了每周忙碌的工作时间，虽然我们每天都在重复着一样的工作，但是心情却发生着不同的变化。

例如2 cats大侠的内容分享，说实话，曾经有一大段时间对这些内容产生过质疑，分享真的有用吗？

可是回过头来在想，其实分享这些东西不仅仅是希望将自己对某款工具或某个等保知识的分享，更多的是能够起到保存和记录的功能。这样不仅完成了个人日记的记录，更加做到了安全无国界的分享概念。

好啦，说过这些之后，我们还是赶快回到技术分享环节中来。

Paros Proxy的强大

今天2 cats大侠我要分享的内容为Paros Proxy，一款代理性安全测试工具，主要针对Web安全测试使用。

当然，需要说明的是，这款工具需要在浏览器中进行相关设置后才能使用，否则是无法起到任何效果的。

Paros的特点

Paros的最大特点就是，当浏览器设置有对应代理功能后，可以将所有曾访问过的页面经过Paros代理进行转发。

例如火狐浏览器代理设置中，选择Edit的Perferences进行代理设置，在Advanced配置中的Network选项卡，点击setting，将地址设置为127.0.0.1，端口为8080。

请各位看官注意，这里代理设置为本地，因为是实验展示使用，如果是进行客户网络测试，地址需要改为192.168.0.1或192.168.1.1，端口除使用8080外还需要8443（SSL端口）。

工具演示

既然今天要分享的工具基础描述已经进行过相关介绍，那么下面就开始进入正式的操作演示环节中来。

1

Aros Proxy扫描功能

开启工具，并通过浏览器打开一个URL连接，Paros Proxy就会根据所有访问的页面进行记录，并在左边的site栏目中进行显示。

2

在使用该工具时，各位看官们需要进行注意，因为并非所有的URL页面都会被扫描和抓取，所以如果相对特定链接进行抓取的话，看官们还请先登录账户后在考虑。

Paros Proxy工具不可抓取项：

1、具有非法验证的SSL站点URL；

2、不支持多线程；

3、在HTML页中某些URLS不能被识别；

4、由JavaScript生成的URLS不能被识别；

虽说有这些条件限制了Paros Proxy工具的使用，可不代表没有任何解决办法。

3

此时，看官们可以使用手动添加的方式，将这些不能被识别或抓取的URL添加到左侧的site栏目中去。

4

点击URL选择Analyse菜单，在这里面有一个Spider的爬虫程序，可以抓取网站的页面，选择其中一个URL，shiyongSpider还能够抓取下层页面，并在Site栏目中显示。

5

除了基础的抓取功能，Paros Proxy还具备扫描功能（Scan Policy选项），可根据需要进行不同的扫描选择。扫描选项中主要包含五大类型，分别为：information gathering、Client Browser、Server Security、Miscellenous和Injection等。

当我们队抓取到的URL进行扫描后，可以点击Report选项查看最终扫描结果，了解网站中是否存在相关的漏洞。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！