ما هو برنامج paros proxy باروس بروكسي ؟
باروس بروكسي Paros Proxy هو أداة تمكننا من تقييم أمن تطبيقات الويب ، حيث تستخدم لقياس أمن تطبيقات الويب ، حيث إنها تسمح لك لمعرفة ما هي البيانات بالضبط .
الاداة هي لغة ترميز النص ، يدعم عرض وتحرير بروتوكول نقل النص الفائق
و بروتوكول نقل النص التشعبي الآمن والرسائل لتغيير بنود مثل حقول النموذج. وهو يشتمل على مسجل لحركة المرور على الشبكة، كنسيج العنكبوت، و ماسح ضوئي SQL لاختبار الهجمات المشتركة في تطبيقات الويب .
وهو وكيل ويب قائم على Java لتقييم نقاط ضعف تطبيقات الويب. وهو يدعم تحرير و عرض رسائل HTTP / HTTPS أثناء التنقل لتغيير عناصر مثل ملفات تعريف الارتباط وحقول النموذج. وهو يشتمل على مسجل لحركة مرور الويب وعنكبوت الويب وآلة حاسبة للتجزئة وماسح ضوئي لاختبار هجمات تطبيقات الويب الشائعة مثل حقن SQL والبرمجة عبر المواقع .
تعد أداة تطبيق الويب الخفيف الوزن Paros Proxy واحدة من أكثر أدوات اختبار الاختراق شيوعًا لتطبيقات الويب. يستخدمه مطورو تطبيقات الويب وخبراء الأمان لاختبار تطبيقات الويب الخاصة بهم بحثًا عن نقاط الضعف الأمنية. تم بناء باروس على Java ، مما يعني أنه يمكن تشغيله على أنظمة تشغيل متعددة.
سنلقي نظرة على هذه الأداة ومناقشة الميزات المختلفة التي توفرها
لنبدا بنظرة عامة على باروس
يعمل Paros كتطبيق GUI JAVA ويدعم spidering وتحرير رسائل HTTP وتسلسل الوكيل والمسح الذكي لنقاط الضعف في SQL و XSS. ومع ذلك ، لم يتم تحديثه منذ 14 أغسطس 2013 ، ونتيجة لذلك ، قد يكون عرضة للعديد من النتائج الغير صحيحه أو قد لا يلتقط حتى بعض نقاط الضعف.
يمكن تنزيل باروس من رابط تنزيل المشروع على SourceForge
حيث يمكنك تحميله أيضًا في توزيعة Kali Linux Penetration Testing Linux. نظرًا للكود القديم تقريبًا ، تم تقسيم المشروع إلى أداة أكثر تحديثًا ، OWASP Zed Attack Proxy (ZAP) ، والتي يتم صيانتها من قبل مجتمع OWASP.
Paros Proxy تم تصميمه كواجهة مستخدم رسومية خفيفة الوزن .
باروس هي واجهة المستخدم الرسومية التي ألهمت خليفتها ، OWASP ZAP. .
اداة باروس تتكون من نافذة مقسمة إلى ثلاثة أقسام ؛ القسم العلوي ، الذي ينقسم إلى قسمين أيسر وأيمن ، وقسم سفلي.
القسم الأيسر: يعرض هذا القسم موقع الويب الذي يتم اختباره والملفات والمجلدات المكتشفة. هذا سيساعد مختبر الاختراق على إنشاء خريطة افتراضية للموقع المستهدف.
القسم الأيمن: يعرض هذا القسم الطلبات والردود على كل طلب يتم تقديمه إلى الموقع المستهدف. يمكن اعتراض الطلبات وتعديلها وإعادة إرسالها ، مما يسمح ببدء الاختبارات المختلفة ضمن معايير موقع الويب.
القسم السفلي: يعرض هذا القسم الردود من عمليات الزحف والمسح التي تم إجراؤها على موقع الويب الهدف. يحتوي هذا القسم على المحفوظات والعنكبوت والتنبيهات وعلامات تبويب الإخراج التي تعرض معلومات اعتمادًا على النشاط الذي يتم تنفيذه على موقع الويب المستهدف.
كيفية تحليل تطبيقات الويب الضعيفة باستخدام باروس :
قبل أن نتمكن من تحليل تطبيق ويب ، من المهم تعيين وكيل للسماح لـ Paros باعتراض حركة المرور بين متصفحنا وموقع الويب المستهدف. نقوم بذلك عن طريق تشغيل متصفحنا على Kali Linux. في هذه الحالة ، نحن نستخدم متصفح “Firefox ESR” على Kali Rolling. فمن خلال الأسطر الثلاثة في الجزء العلوي الأيمن من المتصفح ، نختار “التفضيلات” ، ثم “خيارات متقدمة”. أخيرًا ، ضمن علامة التبويب “الشبكة” ، نضغط على “الإعدادات” ونقوم بتهيئة إعدادات الوكيل كما هو موضح في لقطة الشاشة أدناه:
يعترض باروس حركة المرور من خلال التنصت على المضيف المحلي
(127.0.0.1) وعلى المنفذ 8080. نحن نطبق هذه الإعدادات لـ HTTP و SSL و FTP و Socks v5.
اصبح باروس جاهز الآن لاعتراض حركة المرور لدينا. سنستخدم موقع الويب http://webscantest.com ، والذي يُترك عمدًا عرضة للخطر لاختبار ثغرات تطبيق الويب.
لتحديد الملفات والمجلدات على موقع الويب الهدف ، نختار “Scan” من شريط القائمة. تبدأ عملية spidering وتحدد عناوين URL الموجودة ضمن النطاق ، وتمييزها عن تلك الموجودة خارج النطاق. يمكن ملاحظة ذلك أدناه:
ماذا يجب عليك قبل تثبيت التطبيق ؟
قبل تثبيت باروس يجب أن يكون لديك إصدار جافا الإصدار 1.4 أو أعلى و كذلك بعد التثبيت تحتاج إلى إعداد المتصفح على الوكيل المحلي. لفتح اتصال شبكة المتصفح الخاص بك و يعتمد ذلك على نوع التبويب.
ما متطلبات باروس بروكسي :
- نتحميل سخة جافا المناسبة لنظام تشغيلك
- قبل تثبيت Paros ، يجب أن يكون لديك إصدار Java 1.4 أو أعلى مثبتًا.
- إعداد المتصفح
- اضبط HTTP الخاص بك .
استخدام باروس لتحليل تطبيقات الويب وتصحيحها
هي أداة مجانية رائعة تعتمد على Java ولا تقدر بثمن لتدقيق تطبيقات الويب واختبارها وتصحيح الأخطاء. على الرغم من أن باروس معروف جيدًا في دوائر أمان تطبيقات الويب ، إلا أنه أقل شهرة في دوائر تطوير الويب العامة. ستوضح هذه المقالة فقط عددًا قليلاً من الاستخدامات العديدة لباروس التي تتخطى كلا المجالين. ميزة بروكسي باروس لا تقدر بثمن لفحص حركة المرور لأنها تأتي من المتصفح وإليه. يسمح ذلك للمطورين والمختبرين بالتحقيق في الجوانب المختلفة لبنى تطبيقات الويب ، مثل كيفية تعيين ملفات تعريف الارتباط ، وإصدار عمليات إعادة التوجيه إلى المتصفح ، والاستعلامات المرسلة من المتصفح إلى الخادم. بينما يتضمن باروس بعض أدوات المسح الآلي ، فهذه أدوات ضعيفة نوعًا ما ويظهر باروس حقًا قوته في أيدي مختبري اختراق ماهر يعرف ما الذي تبحث عنه
للتثبيت باروس
تثبيت باروس يجب تثبيت Java جافا ( JRE (1.4 أو أحدث إصدار من JRE و يمكنك تحميل الجافا من http://java.sun.com.
قبل تثبيت إصدار جديد من جافا ، تحقق من جهازك لمعرفة ما إذا كانت Java مثبتة بالفعل. للتحقق ببساطة ، افتح موجه الأوامر واكتب “إصدار جافا”. يشير الإخراج مثل ما يلي إلى أن Java متوفرة بالفعل على الجهاز:
C:> java -version java version “1.6.0_07” Java ™ SE Runtime Environment (بناء 1.6.0_07-b06) Java HotSpot ™ Client VM (الإصدار 10.0-b23 ، الوضع المختلط ، المشاركة)
بمجرد تثبيت Java ، قم بتنزيل Paros من صفحتهم الرئيسية على Bsports | Nhà cái Bsport Uy tín - Đẳng cấp - Chất lượng. سيؤدي هذا إلى إعادة توجيهك إلى موقع مضيف SourceForge.net.
بالنسبة لي فقد اخترت تنزيل إصدار Windows exe paros-3.2.13-win.exe). فبمجرد تنزيل الملف ، تابع تثبيته بالنقر المزدوج على “exe”. هنا ستفتح نافذة باروس للتثبيت اضغط next التالي
لإكمال التثبيت ، ما عليك سوى النقر فوق تثبيت ، وقبول اتفاقية الترخيص و الضغط على accept لموقع التثبيت الافتراضي. بمجرد تثبيت باروس ، يجب أن يكون جاهزًا لتشغيله كالتالي :
لتشغيل باروس :
على ويندوز بمجرد التثبيت ، يجب أن تجد Paros ضمن Start → Programs → Paros. في المرة الأولى التي تبدأ فيها باروس ، سيُطلب منك قبول اتفاقية الترخيص مرة أخرى اضغط على قبول Accept
بعد قبول الاتفاقية ، سيبدأ باروس بالعمل . في بعض إصدارات ويندوز
قد يكون من الضروري الضغط على كلمة "إلغاء حظر unblock التطبيق عندما يطلب ويندوز ذلك ليعمل التطبيق كالتالي :
بمجرد تشغيل Paros يمكن أن يكون الأمر صعبا بعض الشيء لأن واجهة المستخدم خالية جدًا من التفاصيل . لا يوجد في التطبيق أي مكان واضح للبدء ، ومع ذلك بمجرد أن يبدأ باروس بعمل ستكون جاهزًا للانطلاق.
باروس يعمل بشكل أفضل كأداة مساعدة وكوكيل اتصال.
للاستفادة من مميزاته لابد من إعداد تكوين المتصفح بحيث يستخدم Paros كوكيل ، إعادة التكوين هذه تسمح للمتصفح بإرسال كل حركة مرور إلى باروس بدلاً من الهدف الفعلي لتصفحك المعتاد.
يقوم باروس بعد ذلك بمعالجة الطلبات ، بالإضافة إلى استقبال أي ردود يتم إرسالها مرة أخرى إلى المتصفح ، أثناء التصفح يتنصت باروس على كل حركة المرور من وإلى متصفح الويب ، بما في ذلك حركة المرور في الخلفية مثل مكالمات AJAX. لهذا السبب فمن المفيد استخدام علامة تبويب واحدة فقط في المتصفح أثناء تهيئتها لـ Paros أو يمكن أن تنتهي الواجهة بالكثير من المعلومات الدخيلة التي تتكون من تحديثات من علامات تبويب مفتوحة أخرى (مع ظهور AJAX ، من الرائع كم يحدث بالفعل في كل صفحة ويب مفتوحة في متصفح).
بمجرد تشغيل باروس فإن الخطوة التالية هي إعداد المتصفح لاستخدام باروس كوكيل اتصال ، نجد أن باروس بشكل افتراضي يستمع إلى المنفذ 8080 لاتصالات الوكيل ، يوضح هذا المثال كيفية تكوين Firefox 3 لاستخدام Paros كوكيل، و للقيام بذلك أولاً افتح قائمة “أدوات” tools وحدد "خيارات"options .انقر بعد ذلك على أيقونة “خيارات متقدمة” advanced ومن ثم اختر التبويب الشبكة network كالتالي
انقر بعد ذلك على زر “الإعدادات” في إطار “الاتصال”. سيؤدي هذا إلى إظهار نافذة جديدة بعنوان “إعدادات الاتصال”. في النافذة الجديدة ، حدد “Manual proxy configuration” واضبط proxy على “localhost” على المنفذ 8080 او 127.0.0.1 على نفس المنفذ 8080 كالتالي
انقر فوق “موافق” ok لإغلاق جميع النوافذ ، لاحظ الآن أنه كلما تم طلب موقع ويب جديد ستبدأ الواجهة الفارغة لباروس بالملء بالمعلومات. للتوضيح حاول التصفح إلى صفحة جديدة ، يوضح الشكل 6 التصفح إلى عنوان URL http://www.madirish.net/؟article=220. باروس يمسك طلب الصفحة والاستجابة لها ، وكذلك طلبات إعلانات Google. من الممكن توسيع المجلدات الموجودة ضمن “المواقع” لإلقاء نظرة على طلب الصفحة إلى MadIrish.net ومعرفة أن باروس قد حدد حتى الصور التي تم تضمينها في الطلب:
باروس لتحليل حركة المرور واختبار تطبيقات الويب :
سيوضح الجزء المتبقي من هذا البرنامج التعليمي استخدام Paros لفحص وتغيير حركة المرور من وإلى موقع Drupal الذي تم إعداده على جهاز افتراضي. دروبال هو نظام رائع لإدارة المحتوى مكتوب بلغة PHP مع نهاية خلفية لقاعدة بيانات MySQL. باستخدام باروس ، يمكننا النظر إلى بعض حركة مرور HTTP المتضمنة في التفاعل مع موقع دروبال ، واختبار بعض التحقق من صحة إدخال البيانات ، وحتى إجراء بعض التصحيح.
قبل البدء من المهم مسح أي جلسات حالية في باروس، و للقيام بذلك :
حدد ملف → جلسة جديدة وتجاهل الجلسة الحالية. في هذا المثال ، لنفترض أننا نريد التحقيق في مشكلة تسجيل الدخول بدلاً من إجراء بعض اختبارات الاختراق. لنفترض أن أحد المستخدمين أبلغ عن المشكلة التالية التي يجب فحصها: يعرف المستخدم أنه قد عيّن اسم المستخدم الخاص به على “المسؤول” وكلمة المرور المقابلة على “كلمة المرور” ولكن عندما يحاولون تسجيل الدخول إلى دروبال ، لم يحصلوا أبدًا على إقرار بأنهم تمت المصادقة عليه ، من الضروري بدء باروس ، اسحب موقع دروبال وأدخل اسم المستخدم وكلمة المرور ، ثم ابحث في سجلات باروس لترى أنها تكشف عن أي أدلة تتعلق بمصدر المشكلة.
عند النقر على الإدخال الأول في الإطار السفلي ، الذي يسمى “POST” ، نحصل على فكرة أفضل عما حدث عندما نشر المتصفح نموذج تسجيل الدخول:
يؤدي تحديد هذا الخيار إلى ظهور مربع جديد يلخص جميع البيانات التي سيتم إرسالها في إرسال النموذج. الشيء الجميل في هذه البيانات الموجزة هو أنه يمكن التلاعب بها قبل إرسالها. للمتعة فقط ، دعنا نحاول إدخال بعض علامات الاقتباس الفردية وتعليقات SQL لمعرفة ما إذا كان بإمكاننا تنفيذ هجوم حقن SQL. سنقوم بتغيير POST URl من POST ‘http://192.168.42.128/؟q=node&destination=node’ إلى 'POST http://192.168.42.128/؟q=node’--&destination=node’ والقيمة لحقل “الاسم” للنموذج من “المسؤول” إلى “المسؤول” - المستكشف ومعرفة ما سيحدث. انطلق وقم بتغيير هذه القيم ثم انقر فوق الزر “إرسال” في الزاوية اليسرى السفلية من هذه النافذة:
ستلاحظ أن النافذة المنبثقة تنتقل إلى علامة التبويب “الاستجابة” التي لا تتضمن فقط بيانات header من استجابة نموذج POST ، ولكن أيضًا HTML الذي تحصل عليه مرة أخرى. في هذه الحالة فقد حصلنا على خطأ 404 لأنني عبثت بعنوان URL المقصود: كالتالي
باستخدام باروس ، يمكننا فحص ملفات تعريف الارتباط وتشكيل الحقول والبيانات الأخرى وتعديل تلك البيانات على الفور وإعادة تقديمها. يعد هذا أمرًا رائعًا للقيام بأشياء مثل اختبار ثغرات XSS أو حقن SQL في مناطق يصعب الوصول إليها من اتصالات HTTP مثل ملفات تعريف الارتباط أو رؤوس HTTP
مميزات اخرى للتطبيق :
باروس يمتلك العديد من الوظائف الأخرى. من خلال النقر بزر الماوس الأيمن على موقع ما ، يمكنك تحديد خيار spider وجعل باروس يزحف إلى الموقع بالكامل ويفحص عناوين URL المختلفة المتاحة من الصفحة الرئيسية، هذه طريقة رائعة لبدء التقييم لأنها تتيح لك النقر فوق بنية الموقع وتحديد الأدلة والطلبات عبر واجهة Paros.
يمكن أن تقوم باروس أيضًا ببعض عمليات التدقيق و التحليل الأساسية لموقع الويب المستهدف ، لإجراء بعض الاختبارات ، انقر فوق قائمة “تحليل” Analyse وحدد خيار “scan” كالتالي
بمجرد اكتمال الفحص ، يمكنك رؤية نتائج المسح في علامة التبويب “التنبيهات” أسفل باروس. لقد كانت تجربتي أن قدرة المسح لدى باروس ليست دقيقه جدًا ولا تميل إلى الدقة و لكنها نافعه بشكل عام ، ولكن من الجيد معرفة أنها موجودة.
باروس يمكن أيضا حفظ وإعادة تحميل الجلسات . هذه أداة رائعة إذا كنت بحاجة إلى القيام بالاستكشاف في وقت ما ثم إجراء التحليل لاحقًا ، أو إذا كنت تريد مقارنة جلستي مسح . يتيح لك باروس أيضًا حفظ جميع التقارير التي ينتجها لفحصها لاحقًا أو تضمينها في تقرير تحليل أوسع.
Paros هي أداة رائعة ويجب أن تكون مألوفة بالتأكيد لأي متخصص في أمن تطبيقات الويب. ومع ذلك ، فإن قدرات باروس تتجاوز الأمان وتجادل لاستخدامها من قبل مطوري الويب أيضًا. يمكن أن يعترض باروس الطلبات بسهولة ، و يقوم بعمل رائع في فحص حركة مرور HTTP وتحديد المشكلات.
Paros هي أداة ممتازة لتعقب سبب حلقة إعادة توجيه لا نهائية لخادم الويب ، أو خطأ في تكوين ملف تعريف الارتباط ، أو مشكلة أخرى بعيدة المنال . بالطبع فنفس السهولة التي يمكن بها لباروس فحص ومعالجة حركة المرور المشروعة تسمح لمختبري الاختراق باستخدام باروس للتلاعب بحركة المرور بطرق ضارة. باروس هي أداة رائعة لاختبار الاختراق الأعمى أو تطوير دليل على مآثر تطبيق الويب المفاهيمية.
تعلم استخدام باروس لا يربطك بأي نظام تشغيل أو منصة معينة. حيث يمكن استخدام باروس جنبًا إلى جنب مع أي متصفح ، ويعمل بشكل رائع مع Firefox والمكونات الإضافية مثل Tamper Data (https://addons.mozilla.org/en-US/firefox/addon/966) أو مطور الويب (https: // Web Developer – Get this Extension for 🦊 Firefox (en-US)). بشكل عام ، أجد أن Paros هي واحدة من تلك الأدوات السهلة التي أسند إليها كثيرًا بمرور الوقت وأعتقد أنها ستشكل إضافة قيمة لأي مطور ويب و لمختبري التطبيقات.
لتحميل الاداة من خلال هذا الموقع :
