代码改变世界

Windows下使用RatProxy

2010-11-22 20:32 囧月 阅读(...) 评论(...) 编辑 收藏

    RatProxy是Google的工程师MIchal Zalewski开发的网站安全检测工具,它能够检测XSS、XSRF等网站安全问题,它的主页为:http://code.google.com/p/ratproxy/

    主要用来检测这XSS、XSRF问题,期间安装使用参考了以下2个链接:

http://www.butterdev.com/web-security/2008/07/google-ratproxy-web-application-security-audit-tool/

http://www.butterdev.com/web-security/2008/07/google-ratproxy-part-2-running-and-using-ratproxy/

 

安装Cygwin

    下载Cygwin(http://www.cygwin.com/),一路默认下一步直到选择下载站点,考虑到国外的源速度比较慢,所以选择从ntu.edu.tw(速度还是不错的)下载;然后下一步Select Packages,找到Devel节点并展开它,选上:

    1. make
    2. gcc-core
    3. openssl-devel

然后在LibsNet节点找到openssl并先上它,继续下一步直至安装完成。

 

生成RatProxy

    1、下载RatProxy,随便解压到某一目录,如c:\ratproxy。

    2、用记事本打开Makefile文件,找到“CFLAGS = -Wall -O3 -Wno-pointer-sign -D_GNU_SOURCE”,删除“-Wno-pointer-sign”(貌似跟编译器不兼容,需要删掉这个~),最后变成这样:

CFLAGS = -Wall -O3 -D_GNU_SOURCE

    3、从http://www.nowrap.de/download/flare06doswin.zip下载flare并解压到ratproxy的flare-dist子目录下。

    4、运行cygwin.bat,切换到c:\ratproxy:

cd “c:\ratproxy”

    然后运行make,等着编译完成吧。

 

使用RatProxy

    1、通过以下命令运行ratproxy:

ratproxy.exe -v log -w test.log -d www.test.com -lfscm

    其中-v参数为输出日志文件的目录,-w为日志文件名,-d限定扫描的域名,更多的参数可以通过-h找到说明,或者通过它的在线文档:http://code.google.com/p/ratproxy/wiki/RatproxyDoc

    2、打开浏览器,并设置代理为127.0.0.1,端口8080(ratproxy默认端口)。

    3、开始浏览你要检测的网站吧,它会根据你浏览的页面生成相应的日志的。

    4、通过在cygwin中执行以下命令:

./ratproxy-report.sh test.log > test.html

    根据扫描的结果日志生成直观的报告(html文件),通过html文件看看你的扫描结果吧。

 

    写在最后,这个工具没有全自动的操作,虽然功能是很强大,但是用起来还是不太方便的,所以在人工操作方式的时候不太适合用于大面积的检测,最好还是要能够配合自动浏览页面的工具。在这一点上,作者的另一款工具skipfish就比较自动了,我也体验了一下。