이 프로그램은 사용방법이 쉬우면서도 많은 기능을 제공하기 때문에 대중적으로 사용되고 있으며, 홈페이지(http://www.parosproxy.org/)에서 자유롭게 다운로드 받을 수 있다. 파로스는 웹 서버와 클라이언트 사이에 위치해 HTTP와 HTTPS 데이터 뿐만 아니라 쿠키와 폼필드 등을 중간에서 가로채 모니터링하거나 값을 변경해 서버로 보낼 수 있다.

파로스 프로그램의 특징을 간략히 정리하면 다음과 같다.

- GUI를 제공한다.
- 트리(tree) 형태로 사이트 구조를 제공해 홈페이지의 구조를 쉽게 분석할 수 있다.
- 스캐너 기능을 제공해 웹 취약성 스캔도 가능하다.
- HTTPS도 사용할 수 있도록 인증서 기능을 제공한다.
- 텍스트에 대한 다양한 해시나 인코딩/디코딩 기능을 제공한다.

파로스를 설치해 직접 활용하려면 우선 홈페이지에서 최신 버전의 프로그램을 다운로드 받는다. 이 프로그램이 작동하기 위해서는 버전 1.4 이상의 JRE(Java Run Time Enviroment)가 설치돼 있어야 한다. 만약 설치돼 있지 않다면 사이트(http://java.sun.com/j2se/)에서 다운로드 받아 설치한다.
파로스를 윈도우에서 사용할 경우, 최신 버전의 윈도우 실행 파일(paros-x.x.x-win.exe)을 다운로드 받아 설치한다. 파로스는 실행과 동시에 127.0.0.1의 8080번 포트를 리슨(listen)하므로 다른 프로그램이 8080 포트를 사용하고 있는지 확인해 보도록 한다.
파로스를 웹 프록시로 사용하기 위해서는 브라우저에서 모든 접속이 파로스를 거치도록 설정해야 한다. 이를 위해서는 브라우저에서 도구→인터넷 옵션→연결→LAN 설정에 있는 '프록시 서버' 부분에 (화면 1)과 같이 주소에 '127.0.0.1'을, 포트에 '8080'을 입력하고 확인한 뒤 저장한다.

(화면 1) 프록시 설정

이상과 같이 설정하면 모든 접속이 127.0.0.1의 8080번을 통과하게 되는데, 만약 파로스를 실행하지 않으면 웹사이트 접속이 불가능하므로 주의하기 바란다. 이제 파로스를 실행한 후 브라우저를 띄워 홈페이지에 접속해 보자. 프록시를 거치기 때문에 속도는 다소 느리지만, (화면 2)와 같이 사이트 접속 정보들이 순서대로 기록되고 있는 것을 알 수 있다.
좌측 상단에 있는 사이트에는 접속하는 도메인별로 구분돼 기록되고 있고, 하단에는 GET과 POST 메소드를 통해 어떤 사이트를 접속하는지에 대한 상세 정보가 보인다. 해당 GET이나 POST 접속을 클릭하면 상단에 HTTP 헤더나 데이터가 상세하게 보인다. 이는 요청(Request)과 응답(Response)으로 나뉘는데, 응답을 선택하면 요청에 대한 응답 헤더와 메시지도 볼 수 있다. 화면 하단을 보면 각 요청별로 서버의 응답 상태(200 OK 여부)나 소요된 시간 정보도 함께 제공된다.

(화면 2) 파로스 분석 화면

또한 해당 요청 부분에서 우측 마우스를 클릭하면 (화면 3)과 같이 여러 기능을 이용할 수 있다. 그 중 스캔을 선택하면 해당 도메인을 스캔한 뒤  몇 가지 보안 테스트를 수행한다. 보안 테스트 결과는 'Report→Last Scan Report'를 선택하면 간략하게 HTML 형태로 출력해 확인할 수 있다.

(화면 3) 스캔 수행 메뉴

또한 유용한 기능으로 'Tools>ncoder Hash'를 선택하면 (화면 4)와 같이 임의의 태그 등에 대해 인코드/디코드를 하거나 해시를 쉽게 변환할 수 있는 기능을 제공한다. 최근 공격자들은 공격 흔적의 해석을 어렵게 하기 위해 인코딩을 하거나 해시를 사용하는 경우도 있으니 유용하게 활용할 수 있을 것이다.

(화면 4) 인코드/해시 기능

마지막으로 살펴볼 기능은 Cookie injection 공격이나 특수문자 등의 입력을 차단한 자바 스크립트 등을 우회할 때 사용되는 것으로, 'Tools>Manual Request Editor'라는 메뉴를 선택하면 된다. 이 메뉴는 여러 가지로 활용할 수 있다. 이를테면 ID/PW 부분에 admin / ' or 1=1--를 입력해 SQL injection을 통해 인증을 우회하려고 할 때, 자바 스크립트에서 특수문자 입력을 거부한다면 해당 요청 부분을 복사해서 (화면 5)와 같이 설정하면 서버에 직접 전송하게 되므로 자바 스크립트와 같은 클라이언트 측에서의 입력 값 점검을 우회할 수 있다. 이런 우회가 가능하기 때문에 입력 값 검증은 반드시 서버 측에서 수행해야 한다.

(화면 5) 메뉴얼 요청 에디터 

또한 인증 방식으로 세션(Session)이 아닌 쿠키를 사용해도 프로그램을 통해 쉽게 우회할 수 있다. 요청 부분을 복사해 쿠키의 ID 부분만, 이를테면 관리자(admin)로 수정하면 해당 ID 권한으로 실행을 하게 될 것이다.
이외 'Tools>Options'이나 'Filters'를 선택하면 'User-Agent'의 변경이나 로그 저장 등 다양한 옵션 사항을 설정할 수 있다.

좀더 흥미로운 내용이 많이 있습니다.. HOME > O / S/WINDOWS를 확인하세요

애드센스로 즐거운 블로깅 하세요 매일매일 늘어 가는 수익 즐거운 인터넷 세상입니다.
도움말을 오픈해 두시고 위의 [Google Adsense로 귀하의 ~~]를 클릭하셔서 가입을 진행하시면 됩니다.

그리고 더불어 간편하게 사진을 편집하는 Picasa, 불필요한 팝업없는 FireFox, Real player로 실시간 스포츠 관전, 요금 없는 Sky pe로 즐거운 통화등 구글 툴로 즐거운 컴생활을 즐기세요!!
일단 패키지를 설치해 보세요 컴퓨터 생활이 틀려집니다.