Windows下使用RatProxy

时间：2010-11-22 来源：囧月

我主要用来检测这XSS、XSRF问题，期间安装使用参考了以下2个链接：

安装Cygwin

下载Cygwin(http://www.cygwin.com/)，一路默认下一步直到选择下载站点，考虑到国外的源速度比较慢，所以选择从ntu.edu.tw(速度还是不错的)下载；然后下一步Select Packages，找到Devel节点并展开它，选上：

然后在Libs或Net节点找到openssl并先上它，继续下一步直至安装完成。

生成RatProxy

1、下载RatProxy，随便解压到某一目录，如c:\ratproxy。

2、用记事本打开Makefile文件，找到“CFLAGS = -Wall -O3 -Wno-pointer-sign -D_GNU_SOURCE”，删除“-Wno-pointer-sign”(貌似跟编译器不兼容，需要删掉这个~)，最后变成这样：

CFLAGS = -Wall -O3 -D_GNU_SOURCE

3、从http://www.nowrap.de/download/flare06doswin.zip下载flare并解压到ratproxy的flare-dist子目录下。

4、运行cygwin.bat，切换到c:\ratproxy：

cd “c:\ratproxy”

然后运行make，等着编译完成吧。

使用RatProxy

1、通过以下命令运行ratproxy：

ratproxy.exe -v log -w test.log -d www.test.com -lfscm

其中-v参数为输出日志文件的目录，-w为日志文件名，-d限定扫描的域名，更多的参数可以通过-h找到说明，或者通过它的在线文档：http://code.google.com/p/ratproxy/wiki/RatproxyDoc。

2、打开浏览器，并设置代理为127.0.0.1，端口8080(ratproxy默认端口)。

3、开始浏览你要检测的网站吧，它会根据你浏览的页面生成相应的日志的。

4、通过在cygwin中执行以下命令：

./ratproxy-report.sh test.log > test.html

根据扫描的结果日志生成直观的报告(html文件)，通过html文件看看你的扫描结果吧。

写在最后，这个工具没有全自动的操作，虽然功能是很强大，但是用起来还是不太方便的，所以在人工操作方式的时候不太适合用于大面积的检测，最好还是要能够配合自动浏览页面的工具。在这一点上，作者的另一款工具skipfish就比较自动了，我也体验了一下。