Anda di halaman 1dari 10

FIAP MBA GESTO E GOVERNANA DE TECNOLOGIA DA INFORMAO

TRABALHO FINAL GESTO DE INFRAESTRUTURA

FERRAMENTA PAROS PROXY

Davi Costa Gabriel Toledo Lemes Gabriel Peres Martins Hypolito Sergio Jhonatam Pires Pereira Roberto L William Gonalves Campanh Junior

Turma 76GTI Professor: Ricardo Giorgi

SO PAULO 2012

Sumrio
1. 2. 3. INTRODUO .............................................................................................................................. 2 OBEJTIVO..................................................................................................................................... 3 INSTALAO (WINDOWS) ....................................................................................................... 3

5. UTILIZAO .................................................................................................................................... 6 6. CONCLUSO................................................................................................................................... 9 7. BIBLIOGRAFIA ............................................................................................................................. 10

1. INTRODUO

Com o avano da tecnologia da informao e o aumento na demanda dos servios que por ele so ofertados, a Web introduz todos os dias novos sites e aplicaes. Com variaes desde usurios finais, empresas de prestao de servios at sites comerciais e industriais. Cada vez mais o negcio opta pela web como meio de desenvolvimento de suas aplicaes, substituindo programas com clients rodando em ambiente local. Assim como crescente esse novo meio de utilizao dos dados, tambm a um aumento significativo nas tentativas de invases e ataques hackers. Por esse motivo necessrio a realizar testes de vulnerabilidades e riscos, a fim de obter a possibilidade de serem corrigidas. Esse trabalho apresentar uma ferramenta til e poderosa para a realizao desses testes, o Paros Proxy. Paros Proxy uma ferramenta, Linux ou Windows, criada em 2002, open source, e utilizada para auditoria de segurana para aplicativos web. Usado para rastrear todo o web site e aplicaes e em seguida executar testes de vulnerabilidade. Pode ser usado tambm, para manipular os dados que trafeguem em HTTP e HTTPS. Ele tambm vem com a funo de analisador de sesses ID. Onde ir gerar um grfico de todos os tipos de sesses id.

2. OBEJTIVO

Descrever e demonstrar as funcionalidades da ferramenta Paros Proxy,


bem como alertar a todos sobre a importncia da segurana na web.

3. INSTALAO (WINDOWS)

Primeiramente necessria a instalao do Java Run Time Enviromment (JRE) 1.4, pode ser encontrado facilmente e gratuitamente na web. Feito isso, pode-se realizar o download do Paros Proxy em

www.parosproxy.org , aps realizar o download, deve se executar o instalador. A primeira tela da instalao a de saudaes, e deve-se apenas clicar em Next.

Figura 1 - Instalao Inicio

A segunda tela, deve se aceitar os termos da licena.

Figura 2 - Instalao - 2

Logo aps deve se escolher o local onde ser instalado o Paros.

Figura 3 - Instalao - 3

Feito isso, as prximas opes apenas clicar em Next , at finalizar.

5. UTILIZAO
A sua interface dividida em 3 sesses , na parte de cima a esquerda , temos sites/diretrios/visualizao da arvore. Na parte de cima a direita temos a sesso que permite que voc inspecione, intercepte e modifique dados enviados e recebidos , e por ultimo no rodap temos requisio/ histrico de qualquer coisa feita enquanto estiver utilizando o Paros.

Figura 4 - Ferramenta Paros

Para interceptar as requisies apenas v at Trap e verifique o Trap request. As requisies sero mostradas no cabealho da interface.

1.
Figura 5 - Trap Request

Spider com Paros Proxy utilizado para interceptao de dados de uma determinada URL. Permite um melhor entendimento da hierarquia do site. baseado em HTTP e HTTPS.

Figura 6 - Spider

Escaneamento utilizado para rastrear os servidores dos sites, e pode verificar se existe alguma configurao que esta faltando em algum servidor. Ele pode verificar se o servidor pode ser aberto em web, por exemplo, ou se h algum arquivo obsoleto nele.

Figura 7 - Escaneamento

A funo do escaneamento a de escanear a hierarquia do servidor. Ele verifica se h alguma configurao errada do servidor. O escaneamento Web automatic pode no ser capaz de verificar caminhos e se existe algum arquivo de backup (.bak) que podem export as informaes do servidor WEB. Para usar esta funo, necessrio navegar no web site primeiramente. Aps navegar no web site, a rvore hierrquica ser construda no Paros automaticamente. As seguintes opes estaro disponveis:

Se voc escanear todos os sites na rvore, voc pode clicar no item Tree que est no menu, depois em Scan all para comear o escaneamento.

Se voc escanear somente um website na rvore hierrquica, voc deve selecionar o item "Scan selected Node".

Atualmente, o Paros possui as seguintes anlises:

HTTP PUT allowed Verifica se a opo PUT est habilitada nos diretrios do servidor.

Directory indexable Verifica se os diretrios do servidor podem ser navegveis. Obsolete files existed Verifica se existem arquivos obsoletos no servidor. Crosssite scripting Verifica se scripts de crosssite so permitidos nos parmetros de query. Default files on websphere Server Verifica se existem arquivos default de websphere no servidor.

6. CONCLUSO
Conclu com esse trabalho, a suma importncia de uma ferramenta de testes de segurana na web, realizar testes de possveis vulnerabilidades para que sejam evitados futuros ataques e furtos de informaes efetuadas por hacker e pessoas agindo de m f. Podendo verificar tambm que essa ferramenta pode ser utilizada justamente com um propsito contrario, ou seja, para que sejam analisadas as vulnerabilidades das aplicaes e web sites de empresas e com isso invadir e roubar informaes valiosas. necessrio realizar atualizao e capacitao com relao segurana, para que os dados fiquem livres de serem interceptados, roubados e utilizados de uma forma no correta.

7. BIBLIOGRAFIA
Disponvel em <http://www.parosproxy.org/index.shtml > Acesso em 01/07/2012. Disponvel em <http://www.michaelboman.org/books/paros-proxy> Acesso em 01/07/2012. Foristtal, Jeff ; Traxler, Julie. (2002). Livro Site Seguro - Aplicaes Web: ALTA BOOKS.

10