To Paros είναι ένα από τα πιο γνωστά εργαλεία για penetration testing σε web εφαρμογές και μπορεί να χρησιμοποιηθεί από ειδικούς ασφαλείας και προγραμματιστές με σκοπό να ελέγξουν την ασφάλεια της εφαρμογής τους. Είναι γραμμένο σε Java και αυτό το κάνει ικανό να τρέξει σε πολλά διαφορετικά λειτουργικά συστήματα.
Η λειτουργία proxy που περιλαμβάνει είναι πολύ χρήσιμη καθώς επιτρέπει τον έλεγχο της κίνησης από και προς το πρόγραμμα περιήγησης (browser). Έτσι, οι χρήστες του εργαλείου μπορούν να ελέγξουν την εφαρμογή τους ως προς το πως λειτουργούν τα cookies, τις ανακατευθύνσεις αλλά και ως προς τα requests που στέλνει ο browser στον διακομιστή (server). Επίσης, ενώ περιλαμβάνει αρκετές εφαρμογές για αυτόματο έλεγχο, η αξία του μπορεί να φανεί στα χέρια ενός ικανού penetration tester που ξέρει ακριβώς για το τι ψάχνει.
Πως να το εγκαταστήσετε
Όπως φαντάζεστε θα το βρείτε ήδη εγκατεστημένο στο γνωστό distro για penetration testers, Kali Linux. Για τα υπόλοιπα λειτουργικά συστήματα, η διαδικασία της εγκατάστασης είναι αρκετά απλή. Προαπαιτούμενο βέβαια αποτελεί η εγκατάσταση του Java Run Time Environment (JRE) έκδοσης τουλάχιστον 1.4.
Windows
Αρχικά θα πρέπει να ελέγξετε αν το μηχάνημά σας έχει ήδη εγκατεστημένη τη Java. Αποτέλεσμα σαν αυτό που φαίνεται παρακάτω υποδηλώνει ότι ο υπολογιστής σας έχει εγκατεστημένη Java:
| C:\Users\elena>java -version java version “1.8.0_231” Java(TM) SE Runtime Environment (build 1.8.0_231-b11) Java HotSpot(TM) Client VM (build 25.231-b11, mixed mode) |
Σε διαφορετική περίπτωση μπορείτε να κατεβάσετε το JRE από εδώ.
Έχοντας εγκαταστήσει τη Java, κατεβάστε και εγκαταστήστε το Paros από την επίσημη ιστοσελίδα του. Αυτό θα σας ανακατευθύνει στη σελίδα του SourceForge.net από τη οποία μπορείτε να επιλέξετε την έκδοση που θα κατεβάσετε. Μόλις το αρχείο κατέβει, κάντε διπλό κλικ σε αυτό και ακολουθήστε όλα τα βήματα του installer όπως φαίνονται παρακάτω.
Μόλις η εγκατάσταση ολοκληρωθεί θα μπορείτε να το βρείτε στα Προγράμματα. Την πρώτη φορά που θα το εκτελέσετε θα σας ζητήσει να αποδεχτείτε τη σύμβαση παραχώρησης άδειας χρήσης.
Linux Ubuntu
Όπως είπαμε, απαιτούμενο είναι η εγκατάσταση java στο Linux μηχάνημα. Για να ελέγξετε αν η java είναι εγκατεστημένη ανοίξτε ένα terminal, πληκτρολογήστε την παρακάτω εντολή και ελέγξτε τι επέστρεψε:
| root@kali-elena:~# java -version openjdk version “11.0.5-ea” 2019-10-15 OpenJDK Runtime Environment (build 11.0.5-ea+6-post-Debian-2) OpenJDK 64-Bit Server VM (build 11.0.5-ea+6-post-Debian-2, mixed mode, sharing) |
Σε περίπτωση που η Java δεν είναι προ εγκατεστημένη εκτελέστε τη παρακάτω εντολή και στο τέλος ελέγξτε ξανά για την έκδοση της java:
| sudo apt install default-jre java -version |
Μετά την επιτυχή εγκατάσταση της Java, εγκαταστήστε το Paros με αυτές τις δύο εντολές:
| sudo apt-get update sudo apt-get install paros |
Πως να το χρησιμοποιήσετε
Παρακάτω θα χρησιμοποιήσουμε το Paros σε περιβάλλον Kali Linux, με σκοπό να δούμε τις διαφορετικές χρήσεις του. Μπορούμε να εκκινήσουμε το Paros ανοίγοντας ένα terminal και πληκτρολογώντας Paros. Την πρώτη φορά θα μας ζητήσει να αποδεχθούμε τη σύμβαση παραχώρησης άδειας χρήσης.
Αφού αποδεχτούμε τη σύμβαση θα δούμε να ανοίγει το Paros, το οποίο αποτελείται από τις παρακάτω περιοχές:
- Αριστερή Περιοχή: H συγκεκριμένη περιοχή δείχνει τα websites που ελέγξουμε και τα αντίστοιχα αρχεία και φακέλους που ανακαλύπτει από αυτό τον έλεγχο.
- Δεξιά Περιοχή: Εδώ βλέπουμε τα requests και τα αντίστοιχα responses που γίνονται στο website που ελέγχουμε. Μπορούμε να τροποποιήσουμε και να ξανά-στείλουμε τα συγκεκριμένα requests για καλύτερο έλεγχο της εφαρμογής.
- Κάτω Περιοχή: Εδώ βλέπουμε τις απαντήσεις μετά από τα scans και τα crawls που πραγματοποιούμε στο “επιτιθέμενο” site. Περιέχει τα σχετικά tabs history, Spider, Alerts, Output.
Τώρα ήρθε η ώρα να ελέγξουμε μια web εφαρμογή για ευπάθειες. Για να το κάνουμε αυτό θα πρέπει να επιτρέψουμε στο Paros να κάνει intercept την κίνηση μεταξύ του browser μας και της εφαρμογής. Στη συγκεκριμένη περίπτωση ο browser μας είναι ο “Firefox ESR” και για αυτό από το μενού του θα επιλέξουμε “Preferences”, μετά “Genaral” και στη συνέχεια θα κατεβούμε χαμηλά και θα πατήσουμε το κουμπί “Settings” στο πεδίο “Network Proxy”.
Εδώ, θα πρέπει να πειράξουμε τις ρυθμίσεις με σκοπό να είναι όπως φαίνονται στη παρακάτω εικόνα.
Το Paros κάνει intercept στη κίνηση “ακούγοντας” localhost σε πόρτα 8080.
H web εφαρμογή που θα χρησιμοποιήσουμε για το test βρίσκεται στη διεύθυνση 192.168.141.129 και δημιουργήθηκε ακριβώς για αυτό το λόγο.
Έχοντας το Paros ανοιχτό, επισκεπτόμαστε τη σελίδας μας και στη συνέχεια επιλέγουμε “Analyse” και μετά “Spider” για να κάνει crawl σε όλες τις σελίδες της εφαρμογής.
Όσο το crawl προχωράει μπορούμε να δούμε τα αποτελέσματά του στο tab Spider.
Μόλις το crawl ολοκληρωθεί θα πρέπει να τρέξουμε το Scan μας. Αυτό μπορεί να γίνει επιλέγοντας πάλι “Analyse” και μετά “Scan”.
Έχοντας ολοκληρώσει το scan θα βρούμε τις ευπάθειες τις εφαρμογής στη κάτω περιοχή, στο tab “Alerts”. Βλέπουμε ότι έχει επιστρέψει τα παρακάτω (2 high rated, 2 medium και 1 low):
Το Paros δίνει τη δυνατότητα να εξάγουμε το αποτέλεσμα σε report, επιλέγοντας από το μενού “Report” και στη συνέχεια “Last Scan Report”.
Πηγαίνοντας στο path που μας επισημαίνει το Paros θα βρούμε τα αποτελέσματα του scan που τρέξαμε σε μορφή report.
Σε αυτό το σημείο αξίζει να αναφέρουμε πως το Paros αποτελεί τον πρόγονο του γνωστού σε όλους εργαλείου OWASP Zed Attack Proxy (ZAP) το οποίο συντηρείται από τη κοινότητα του OWASP.
Πως σας φάνηκε το Paros; Θα το χρησιμοποιήσετε; Περιμένουμε τα σχόλιά σας.
