Administrador De Red

Las 8 mejores alternativas de proxy de Paros

Las mejores alternativas de proxy de Paros



Aunque Paros Proxy es aun disponible , hay algunas señales preocupantes que deberían hacerte desconfiar a la hora de descargarlo e instalarlo. El archivo de código se encuentra en SourceForge, pero no se ha actualizado desde 2013.

La dirección web es vinculado desde SourceForge y no tiene nada sobre la herramienta y parece haber sido superado por alguien llamado Max que nunca hizo nada con el sitio.



Antes de continuar con Paros Proxy, veamos reemplazos para ese sistema .

Aquí está nuestra lista de las mejores alternativas de Paros Proxy:

  1. ZAP OWASP Una bifurcación de Paros Proxy, así que si está buscando la última versión de Paros Proxy, mire aquí. Este sistema de seguridad web cuenta con el respaldo del Open Web Application Security Project y lo mantiene un equipo coordinado de voluntarios.
  2. Ladrón Busca inyección XSS y SQL, además de una larga lista de otras debilidades de seguridad de aplicaciones web.
  3. Pasar por Busca XSS, divulgación de archivos y copias de seguridad, y muchas otras debilidades de seguridad en sitios web.
  4. saltador Rastrea cada página de un sitio y analiza cada una de ellas en busca de debilidades de seguridad mediante el uso de técnicas heurísticas.
  5. Proxy de rata Este verificador de vulnerabilidad de sitios web incluye protección contra ataques de intermediario SSL a lo largo de una conexión cifrada.
  6. Mapa SQL Esta herramienta gratuita de prueba de penetración se especializa en detectar ataques de inyección SQL en un sitio web y cubre seis métodos típicos de ataque a bases de datos.
  7. Wfuzz Una herramienta de prueba de penetración para reforzar aplicaciones web contra la confusión de cookies, la inyección SQL, XSS y la autenticación forzada.
  8. Vega Un probador de vulnerabilidades de aplicaciones web gratuito para detectar XSS, inyección SQL, listado de directorios y trucos de inclusión de archivos, entre otros posibles ataques.
  9. w3af Este es un marco de auditoría de ataques que identifica la inyección SQL, XSS y un total de otras 200 posibles vulnerabilidades.

¿Necesita Paros Proxy?

Paradas de proxy opera como un interceptor de tráfico entre el servidor y un navegador. Esta es una excelente manera de buscar vulnerabilidades en el sitio. Sin embargo, existen otras configuraciones de prueba de penetración que pueden considerarse buenos reemplazos para la herramienta. No nos limitamos a considerar los proxy como alternativas.



Paradas de proxy

Los procesos de Paros Proxy muestran las solicitudes enviadas por el navegador y las respuestas enviadas por el servidor web para ver los numerosos intercambios de datos que se producen para componer una página web. Esto identifica los diferentes servidores web involucrados en proporcionar código para la página. Otra característica de Paros Proxy es un rastreador que enumerará todas las páginas de un sitio.

Paros Proxy es útil cuando se buscan posibles vulnerabilidades a ataques de piratas informáticos, como secuencias de comandos entre sitios (XSS) o inyección SQL . Sin embargo, dada su antigüedad, el servicio es incapaz de descubrir nuevos vectores de ataque.

Al buscar alternativas a Paros Proxy, nos centramos en buscar a través de software gratuito de código abierto. Como el sitio principal de descarga de Paros Proxy es FuenteForge , también priorizamos otras soluciones de seguridad de aplicaciones web que están disponibles en ese repositorio de código y analizamos GitHub y el repositorio de códigos de google también.

Las mejores alternativas de proxy de Paros

Puede leer más sobre cada una de nuestras sólidas recomendaciones para las alternativas de Paros Proxy en las siguientes secciones.

1. OWASP ZAP

OWASP ZAP - configuración de alertas

ZAP significa Proxy de ataque Zed . Es una bifurcación de Paros Proxy y un equipo comunitario bien organizado aún lo está perfeccionando y avanzando. El proyecto de código abierto está bajo la dirección del Proyecto abierto de seguridad de aplicaciones web (OWASP).

Características clave:

  • Proxy de la bifurcación de Paros
  • Desarrollo totalmente gestionado
  • Fuente abierta
  • Rastreador del sitio
  • Gratis para usar

El Zed Attack Proxy comienza su proceso de prueba rastreando el sitio se probará para registrar todas las páginas accesibles. Luego enumera esas páginas, brindando al usuario la oportunidad de ordenar el análisis de una página específica. La herramienta buscará inyección SQL, secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF), configuración incorrecta de seguridad, autenticación y administración de sesiones rotas, control de acceso ineficaz, exposición de datos confidenciales, API desprotegidas y componentes con vulnerabilidades conocidas. . En general, cada análisis detecta una protección insuficiente contra ataques en un servidor web y un código obsoleto en una página.

Los nuevos usuarios tienen una curva de aprendizaje pronunciada para sacar el máximo provecho de la herramienta porque hay muchos complementos disponibles que permiten ampliar y adaptar la herramienta. Todas esas adaptaciones son desarrolladas por la comunidad de usuarios y, por lo tanto, se han creado para satisfacer una necesidad específica que muchos otros usuarios de ZAP podrían necesitar. La herramienta y todos los complementos son gratuitos.

OWASP ZAP funciona exactamente de la misma manera que Paros Proxy en el sentido de que funciona como un proxy entre el servidor web y un navegador. No es necesario alojarlo en un servidor remoto; se ejecutará en la misma computadora que ejecuta el navegador. El código de la herramienta se instala en ventanas , Mac OS , linux , y BSD Unix .

Ventajas:

  • Proyecto transparente de código abierto
  • Facilita el rastreo de listas y la priorización de vulnerabilidades.
  • Ofrece numerosos complementos que amplían la usabilidad.
  • Disponible para Windows, Mac OS, Linux y BSD Unix

Contras:

  • Tiene una curva de aprendizaje más pronunciada que los productos orientados al consumidor.

SELECCIÓN DEL EDITOR

ZAP OWASP es nuestra recomendación número uno como reemplazo de Paros Proxy porque es una bifurcación de ese escáner de vulnerabilidades. El proyecto ZAP se gestiona adecuadamente, por lo que el código se revisa periódicamente, manteniéndolo actualizado frente a amenazas de ciberseguridad y libre de vulnerabilidades en sus propios procedimientos.

Sistema operativo : Windows, Mac OS, Linux y BSD Unix.

2. Pasar por

Wapiti3: captura de pantalla de la página de inicio

Wapiti tiene su propia página en SourceForge.io y es de uso gratuito, aunque los desarrolladores solicitan donaciones. Esta herramienta rastrea un sitio, identifica todas las páginas accesibles y prueba vulnerabilidades lanzando una serie de ataques para ver si tienen éxito. No examina el código fuente.

Características clave:

  • Sondea debilidades en el acceso a archivos
  • Intenta ataques codificados
  • Línea de comando
  • Gratis para usar

El pruebas de vulnerabilidad de Wapiti incluyen escaneos de divulgación de archivos, inyección de bases de datos, inyección CRLF, XSS, posibilidades de ejecución de comandos, inyección de entidad externa XML (XXE), falsificación de solicitudes del lado del servidor (SSRF), Shellshock y redirecciones abiertas. Buscará los archivos de copia de seguridad que contengan información confidencial, buscará archivos peligrosos conocidos en el servidor web, comprobará las debilidades de .htaccess y probará ataques HTTP poco comunes.

Wapiti es una biblioteca de utilidades que se lanzan en el línea de comando – no hay una interfaz gráfica de usuario para ello. El código se instalará en Windows y Linux.

Ventajas:

  • Herramienta completamente gratuita
  • Lanza ataques para determinar si tienen éxito: más confiable que la prueba de concepto
  • Admite numerosos escaneos con plantillas
  • Disponible para Windows y Linux

Contras:

  • Sin GUI: dirigido más a especialistas en seguridad

3. saltador

saltador - captura de pantalla

Skipfish utiliza un estrategia de rastreo web para identificar todas las páginas accesibles en un sitio y luego las recorre automáticamente en busca de vulnerabilidades. El informe de resultados traza la estructura del almacenamiento de archivos del sitio y enumera los posibles problemas con cada archivo.

Características clave:

  • Informe basado en navegador
  • Muestra la jerarquía de archivos
  • Gratis para usar

El sondas de vulnerabilidad compruebe si hay inyección de SQL y PHP, inyección de comandos de shell del lado del servidor, inyección de XML del lado del servidor, XSS, problemas de inclusión de CSS, omisiones de directorios y redirecciones, y muchos otros vectores de ataque.

Skipfish es de uso gratuito y se instala en ventanas , linux , Mac OS , y BSD gratis . El código está disponible en un archivo de Google.

Ventajas:

  • Una herramienta ligera con una GUI sencilla
  • Mapea la estructura del sitio e informa las vulnerabilidades como un informe simple.
  • Completamente libre
  • Disponible para Windows, Linux, Mac OS y BSD gratuito

Contras:

  • Sin GUI: dirigido más a especialistas en seguridad

4. Proxy de rata

ratproxy - proxy de prueba de seguridad - Captura de pantalla del informe de auditoría de Ratproxy

Proxy de rataes muy similar a Paros Proxy. Sin embargo, su último lanzamiento es un poco anticuado . Opera entre el servidor web y un navegador y su único punto de venta es que también verifica el establecimiento de la sesión SSL para buscar vulnerabilidades de ataque de intermediario. Una característica interesante de este escáner de vulnerabilidades es que es liviano y no supone demasiada carga para su host.

Características clave:

  • Comprueba la seguridad de la transmisión.
  • Examina los certificados SSL
  • Gratis para usar

Las comprobaciones de Ratproxy examinan las vulnerabilidades de secuencias de comandos y de contenido, así como las debilidades de seguridad del espacio de archivos y las fallas de seguridad de la transmisión. El servicio produce un informe en cada página web escaneada, dejando que el usuario encuentre formas de cerrar cualquier vulnerabilidad detectada.

Ratproxy se almacena en un archivo de código de Google y es de uso gratuito. Se instalará en Windows, Mac OS, Linux y FreeBSD.

Ventajas:

  • Busca vulnerabilidades de contenido, secuencias de comandos y protocolos.
  • Uso completamente gratuito
  • Se basa en una interfaz sencilla y ligera

Contras:

  • Está ligeramente desactualizado en comparación con alternativas similares de Paros Proxy

5. mapa sql

sqlmap: captura de pantalla

mapa sqles un proyecto gratuito de código abierto con su código disponible en GitHub . Como sugiere su nombre, sqlmap se centra en la inyección SQL y ataques a bases de datos.

Características clave:

  • seguridad SQL
  • Herramientas de gestión de bases de datos.
  • Gratis para usar

La herramienta es capaz de probar una larga lista de DBMS, incluidos MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix y MariaDB. Además de intentar una variedad de ataques para probar vulnerabilidades, la herramienta tiene una variedad de utilidades de gestión de bases de datos , como seguridad de contraseñas y comprobaciones de derechos de acceso.

sqlmap está escrito en Python y se instalará en ventanas , linux , Mac OS , y FreeBSD .

Ventajas:

  • Completamente libre
  • Proyecto transparente de código abierto
  • Atiende específicamente a la identificación de ataques SQL
  • Disponible para Windows, Linux, Mac OS, BSD gratuito

Contras:

  • Está ligeramente desactualizado en comparación con alternativas similares de Paros Proxy

6. Wfuzz

|_+_||_+_|

Wfuzz examina el tráfico web para las vulnerabilidades del sitio. Detectará posibilidades de inyección XSS y SQL, así como debilidades de acceso LDAP y lagunas de autenticación. Esta herramienta de prueba es un “ fuzzer ”.

Características clave:

  • Se puede iniciar desde scripts
  • Utilidad de línea de comandos
  • Gratis para usar

Fuzzing Implica darle a un programa una entrada inesperada, aleatoria o no válida para probar si se caerá o se bloqueará porque el programador no incluyó una rutina para lidiar con tales respuestas. Fuzzing es una técnica típica de hacking , por lo que Wfuzz prueba todas esas estrategias que el sitio web podría enfrentar y destaca los ataques que las aplicaciones web actualmente no pueden manejar.

|_+_|

Wfuzz es una utilidad de línea de comandos , por lo que no es muy atractivo. Las llamadas a este comando se pueden integrar en scripts para la automatización de pruebas, lo que permite a los usuarios expertos crear informes más completos a partir de él. La utilidad es de uso gratuito y se instalará en ventanas , Mac OS , linux , y FreeBSD . Wfuzz es compatible con Python 3.

|_+_|

Ventajas:

  • Examina una amplia gama de tráfico web en busca de vulnerabilidades y ataques.
  • Prueba sistemas usando entradas aleatorias e inyección de paquetes.
  • Es una herramienta liviana
  • Es de uso completamente gratuito

Contras:

  • Solo disponible como herramienta de línea de comandos: sin visualización de datos

7. Vega

Subgraph Vega - Vista de información de escaneo

vega es un paquete de servicios de escaneo de vulnerabilidades , que incluye un proxy. Hay tres elementos en esta suite: Vega Scanner , Vega Proxy , y Escáner proxy – cada uno tiene sus propias capacidades para probar diferentes aspectos de la entrega de un sitio web. El paquete tiene una atractiva interfaz GUI, lo que lo convierte en el más fácil de usar de todos los reemplazos de Paros Proxy en esta lista.

Características clave:

  • interfaz gráfica de usuario
  • Configuración de proxy
  • Gratis para usar

El proxy permite el uso de Firefox o Cromo para realizar pruebas y puede ayudar en la evaluación de la validez del certificado SSL, así como en la búsqueda de vulnerabilidades y lagunas en el sistema de aplicaciones web.

La herramienta comprobará la susceptibilidad a la inyección XSS y SQL, además de examinar el acceso a directorios y copias de seguridad. Vega se instala en ventanas , linux , y Mac OS y es de uso gratuito. El software está ampliamente documentado con instrucciones completas disponibles sobre cómo descargar, instalar, adaptar y ejecutar la utilidad.

Ventajas:

  • Incluye un paquete de herramientas de prueba de vulnerabilidad.
  • Utiliza una GUI intuitiva para una navegación sencilla
  • Puede validar certificados SSL
  • Es de uso gratuito

Contras:

  • Puede llevar algún tiempo explorar completamente la plataforma.

8. w3af

w3af: captura de pantalla de la página de inicio

w3afestá disponible en un repositorio de GitHub. Es una plataforma de prueba de vulnerabilidad web gratuita y ampliamente utilizada. El nombre ' w3af ' es una abreviatura de Marco de auditoría y ataque de aplicaciones web . El código de la plataforma también se puede descargar desde el sitio web de W3af, que también cuenta con una biblioteca de documentación extensa y bien presentada.

Características clave:

  • interfaz gráfica de usuario
  • Extensible
  • Gratis para usar

Las estrategias de detección de vulnerabilidades de W3af están dictadas por complementos . Al igual que la aplicación en sí, los complementos son gratuitos y se pueden descargar desde el sitio web de W3af. La herramienta tiene una utilidad interfaz gráfica de usuario , lo que hace que operar el sistema y verificar los resultados sea una tarea muy sencilla.

El escáner buscará 200 vulnerabilidades en un sitio, que incluyen inyección SQL, XSS, recursos desprotegidos y sistemas de autenticación flexibles.

A Foro Comunitario En el sitio web W2af se da acceso a consejos y trucos de otros usuarios y el sitio también tiene un blog, que explica el estado actual de la ciberseguridad y alerta sobre nuevas amenazas.

W3af se instala en linux , Mac OS , y BSD Unix .

Ventajas:

  • Utiliza complementos para ampliar la funcionalidad.
  • Ideal para auditorías en profundidad
  • Puede buscar más de 200 vulnerabilidades, incluidos ataques SQL y XSS.
  • Cuenta con una interfaz GUI simple

Contras:

  • Más adecuado para profesionales de la seguridad

Replace Paros Proxy

Aunque es posible que esté muy satisfecho con Paros Proxy, es hora de seguir adelante. Incluso los desarrolladores detrás de la herramienta se han dado por vencidos. Esta guía le ha brindado algunos reemplazos realmente atractivos para Paros Proxy e incluso incluye al heredero de la utilidad, el sistema OWASP ZAP.

Eche un vistazo a las atractivas interfaces GUI que W3af y Vega tienen para ofrecer. Estas consolas facilitan mucho el escaneo de vulnerabilidades y tienen utilidades de búsqueda y filtrado para hacer que el diagnóstico de los resultados sea una tarea sencilla.

^