信息安全技术与应用 实训指导手册 （高学勤） 实训项目6：SafeDog实现Web安全应用防护.docx

寻真求是 格物致知 信息安全发展态势与知识拓展 实训项目指导手册 V1.0 PAGE PAGE 4 / NUMPAGES 72 目录TOC \o 1-2 \h \u 30195 SafeDog实现Web应用安全防护 2 14095 实验概述 2 32168 实验环境 2 15424 前提条件 2 30905 实验流程 2 3132 实验目标 3 8666 任务1 环境准备 3 12223 任务2 SQL注入攻击防护 12 7237 任务3 文件上传防护 19  SafeDog实现Web应用安全防护 实验概述 Safedog网站安全狗是一款服务器安全防护软件，是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统，是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。作为服务器安全专家，这套软件已通过公安部信息安全产品检测中心的检测，并获检验合格证书。网站安全狗保护超过一百万个网站。 本实验通过部署配置Safedog网站安全狗，实现对SQL注入、文件上传漏洞的安全防护。 实验环境 攻击机：Windows Server 2016（01-Windows攻击机），IP：56 靶机：Windows Server 2016（01-Windows攻击机），IP：56 集成环境：PhpStudy 网站：DVWA-v1.10，low安全级别 前提条件 本实验要求： 熟悉Windows基本操作 熟悉基本的SQL语句 实验流程 实验目标 完成本实验后，将能够： 掌握网站安全狗部署方法 掌握网站安全狗漏洞防护方法 任务1 环境准备 【任务目标】 启动动态网站集成环境，安装网站安全防护软件。 【任务步骤】 启动动态网站集成环境 右键桌面的”phpstudy”集成环境图标，以管理员身份运行。 打开后，勾选“系统服务”模式，并单击“应用”按钮，启动系统服务模式。 以系统服务模式启动后，键入Win+R键，打开运行，然后键入“services.msc”打开服务。 接着在phpstudy界面中，选择“其他选项菜单”-“服务管理器”-“Apache”-“安装服务”。 回到“系统服务”界面，刷新服务列表，查看是否出现“apache”服务名称。 注：若未出现“apache”服务名称，则将重启系统即可。 安装网站防护软件 进入桌面的“实训项目工具\第2章 Web安全”文件夹，找到并双击：safedogwzApache.exe 注：因集成环境的Web服务器为Apache2.4，故本实验安装的是safedog的Apache版本。 单击“立即安装”进行安装配置。 在安装配置界面，软件一般会自动识别当前已经安装的Apache版本及安装路径，若安装路径有误，则可单击右侧“浏览”按钮，自行添加Apache最新路径。 服务名填写前面安装的服务：apache，填写完成后，单击“确定”按钮，进行安装。 安装过程需要等待1-2分钟，出现如下界面，点击“完成”即可。 完成安装后，会自动运行软件。 若当前系统处于联网状态，则用户未登录会自动弹出以下窗口，此时，单击“加入服云立享特权”即可。 注：若系统处于断网状态，则无需进行登录，并可跳过后面4个步骤。 在注册界面，填写用户相关信息进行注册即可。 在登录界面，输入注册的账号和密码，进行登录。 登录成功后，关闭页面即可。 进入到首页，能看到如下界面，说明软件已经安装成功。 右键单击桌面右下角图标，找到防护总开关并点击“已开启”，暂时关闭防护功能。 单击“确定”，确认关闭。 注：大约1分钟后，防护功能才会完全关闭。打开防护功能同样需要等待1分钟左右才会生效。 任务2 SQL注入攻击防护 【任务目标】 通过配置网站安全狗策略，实现对SQL注入攻击的防护。 【任务步骤】 访问SQL注入站点 打开浏览器，访问/dvwa/login.php，并登录。 在DVWA首页底部，确认当前安全等级是否为：low级别。 进入SQL Injection模块。 模拟SQL注入攻击 构造如下联合查询语句： 1 union select version(),database() # 回显了数据库版本和数据库名称，说明当前存在SQL注入漏洞，并且没有进行任何防护。 配置Safedog策略 右键单击桌面右下角图标，找到防护总开关并点击“已关闭”，开启防护功能。 双击图标，打开Safedog界面，并单击“网站防护”按钮，打开网站防护功能界面。 默认网站漏洞防护功能已经开启。 Safedog支持两种防护模式： ①只记录： 只记录攻击到日志。 ②阻止并记录：拦截攻击并记录攻击到日志。 默认防护模式为：阻止并记录 单击图标，进入Safedog安全策略列表界面。