1. Top
  2. Tomcat Tips
  3. Paros

Webアプリケーションのセキュリティ診断ツール Paros の使い方


Parosは、Javaで書かれたWebアプリケーション用セキュリティ評価ツールです。
プロキシとして動作するため、サーバとクライアント間のHTTPおよびHTTPSデータ(Cookieやフォームフィールドを含む)を傍受し、変更することを可能にします。Parosの主な機能には、HTTPメッセージの閲覧/編集機能(クライアント証明書にも対応)、プロキシ連鎖機能(別のプロキシサーバへクライアントからのリクエストを転送する機能)、フィルタ機能、脆弱性スキャナ機能などがあります。

ダウンロード元

ページの先頭へ

インストール (for Windows)

インストーラの指示に従いインストールしてください。
※実行にはJava Runtime Environment (JRE) 1.4.2 以上が必要です。



ページの先頭へ

ブラウザとParosの設定

Parosの設定

Parosはプロキシとして動作します。Parosを起動し、Webブラウザのプロキシ設定で指定する項目をParosに設定します。
1、メニューの「Tools」->「Options」を選択し「Options」設定ダイアログを起動。



2、「Options」の「Local proxy」を選択し、アドレス及びポート番号を設定
  例) Address: localhost
    Port:  8080




※試験PCがファイアウォールの内側で実行しており、事前に定義されたプロキシ(会社のプロキシ等)経由でのみインターネットへのアクセスが許可されている場合は、Parosのプロキシ設定をそれに準拠するよう設定する必要があります。
その設定は、メニューの[Tools] → [Options] で、左側のペインの[Connection] を選択し、右側のペインの「Use on outgoing proxy server」にチェックを入れ、「Address」および「Port」のフィールドを変更してください。

ブラウザ(IE)の設定

Webブラウザ(IE等)を開き、プロキシの設定を行います。プロキシ名(Address)はParosで指定した”localhost”、または、”127.0.0.1” を使用してください。また、プロキシポートは、HTTPおよびHTTPSとも8080に設定してください。


以上で、基本的な動作をさせることが可能となる。


ページの先頭へ

セキュリティ診断

診断項目の設定

「Analyze」->「Scan Policy」を選択すると「Policy」設定ダイアログが起動するので、そこに表示される診断の対象とするテスト項目をセットする。

診断対象サイトの設定

1、ブラウザより診断対象となるページへアクセスする。
 ・Parosの「Sites」タブ内にアクセスしたページが登録されていく
  ※ページ単位でサイト毎に階層化されるので見やすい

2、対象となるページのリンク先も診断対象に含める場合は、メニューの「Analyze」->「Spider」を実行する
 ・指定したページからのリンク先の情報も収集してくれる
  ※「Options」設定ダイアログ(メニューの「Tools」->「Options」を選択し起動)の「Spider」より、リンク先の階層の深さ等の詳細設定が可能

診断の実行

1、診断対象とする範囲を「Sites」タブ内より選択

2、メニューの「Analyze」->「Scan」を実行
  ※テスト中に問題があると、画面下部の「Alerts」タブ内に問題となる電文が表示される

診断レポートの検証

1、テスト完了後、レポートが作成されるのでその内容を参考にWebアプリケーションの評価を行う
 ・セキュリティ診断テスト(Scan)の結果について
  [Risk Level]    危険度に応じて4段階(High,Medium,Low,Infomational)で分類
  [Number of Alerts] 危険度別の問題発生件数を表示
  [Alert Detail]   問題に対する診断書(対処法)が表示


Parosによるリクエスト改ざん

Paros の動作を確認

IE の設定後、ブラウザでWeb アプリケーションへアクセスすると、通信内容が表示されます。


リクエストパラメータの改ざん

「Trap」タブを選択し、「Trap Request」にチェックをつけます。


ブラウザでWeb アプリケーションへアクセスすると、HTTP リクエストが表示された状態で停止し、 送信前に編集が可能となります。


表示されているHTTP リクエストを改変します。
「Continue」ボタンを押下すると、改変後のHTTP リクエストがサーバに送信されます。


ページの先頭へ