- 1、本文档共31页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
寻真求是 格物致知
信息安全发展态势与知识拓展
实训项目指导手册
V1.0
PAGE
PAGE 4 / NUMPAGES 72
目录TOC \o 1-2 \h \u
30195 SafeDog实现Web应用安全防护 2
14095 实验概述 2
32168 实验环境 2
15424 前提条件 2
30905 实验流程 2
3132 实验目标 3
8666 任务1 环境准备 3
12223 任务2 SQL注入攻击防护 12
7237 任务3 文件上传防护 19
SafeDog实现Web应用安全防护
实验概述
Safedog网站安全狗是一款服务器安全防护软件,是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统,是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。作为服务器安全专家,这套软件已通过公安部信息安全产品检测中心的检测,并获检验合格证书。网站安全狗保护超过一百万个网站。
本实验通过部署配置Safedog网站安全狗,实现对SQL注入、文件上传漏洞的安全防护。
实验环境
攻击机:Windows Server 2016(01-Windows攻击机),IP:56
靶机:Windows Server 2016(01-Windows攻击机),IP:56
集成环境:PhpStudy
网站:DVWA-v1.10,low安全级别
前提条件
本实验要求:
熟悉Windows基本操作
熟悉基本的SQL语句
实验流程
实验目标
完成本实验后,将能够:
掌握网站安全狗部署方法
掌握网站安全狗漏洞防护方法
任务1 环境准备
【任务目标】
启动动态网站集成环境,安装网站安全防护软件。
【任务步骤】
启动动态网站集成环境
右键桌面的”phpstudy”集成环境图标,以管理员身份运行。
打开后,勾选“系统服务”模式,并单击“应用”按钮,启动系统服务模式。
以系统服务模式启动后,键入Win+R键,打开运行,然后键入“services.msc”打开服务。
接着在phpstudy界面中,选择“其他选项菜单”-“服务管理器”-“Apache”-“安装服务”。
回到“系统服务”界面,刷新服务列表,查看是否出现“apache”服务名称。
注:若未出现“apache”服务名称,则将重启系统即可。
安装网站防护软件
进入桌面的“实训项目工具\第2章 Web安全”文件夹,找到并双击:safedogwzApache.exe
注:因集成环境的Web服务器为Apache2.4,故本实验安装的是safedog的Apache版本。
单击“立即安装”进行安装配置。
在安装配置界面,软件一般会自动识别当前已经安装的Apache版本及安装路径,若安装路径有误,则可单击右侧“浏览”按钮,自行添加Apache最新路径。
服务名填写前面安装的服务:apache,填写完成后,单击“确定”按钮,进行安装。
安装过程需要等待1-2分钟,出现如下界面,点击“完成”即可。
完成安装后,会自动运行软件。
若当前系统处于联网状态,则用户未登录会自动弹出以下窗口,此时,单击“加入服云立享特权”即可。
注:若系统处于断网状态,则无需进行登录,并可跳过后面4个步骤。
在注册界面,填写用户相关信息进行注册即可。
在登录界面,输入注册的账号和密码,进行登录。
登录成功后,关闭页面即可。
进入到首页,能看到如下界面,说明软件已经安装成功。
右键单击桌面右下角图标,找到防护总开关并点击“已开启”,暂时关闭防护功能。
单击“确定”,确认关闭。
注:大约1分钟后,防护功能才会完全关闭。打开防护功能同样需要等待1分钟左右才会生效。
任务2 SQL注入攻击防护
【任务目标】
通过配置网站安全狗策略,实现对SQL注入攻击的防护。
【任务步骤】
访问SQL注入站点
打开浏览器,访问/dvwa/login.php,并登录。
在DVWA首页底部,确认当前安全等级是否为:low级别。
进入SQL Injection模块。
模拟SQL注入攻击
构造如下联合查询语句:
1 union select version(),database() #
回显了数据库版本和数据库名称,说明当前存在SQL注入漏洞,并且没有进行任何防护。
配置Safedog策略
右键单击桌面右下角图标,找到防护总开关并点击“已关闭”,开启防护功能。
双击图标,打开Safedog界面,并单击“网站防护”按钮,打开网站防护功能界面。
默认网站漏洞防护功能已经开启。
Safedog支持两种防护模式:
①只记录: 只记录攻击到日志。
②阻止并记录:拦截攻击并记录攻击到日志。
默认防护模式为:阻止并记录
单击图标,进入Safedog安全策略列表界面。
您可能关注的文档
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目1:Web安全应用分析之SQL注入及防护配置.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目2:XSS跨站脚本点击劫持分析及防护.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目3:文件上传漏洞防护绕过分析及利用.docx
- 信息安全技术与应用 实训指导手册 (高学勤)实训项目4:文件包含漏洞分析及利用.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目5:命令执行漏洞分析及利用.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目7:Windows远程代码执行漏洞检测与修复.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目8:防火墙规则配置实现流量过滤.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目9:漏洞扫描软件配置使用.docx
- 信息安全技术与应用 实训指导手册 (高学勤) 实训项目10:配置开源WAF实现攻击防护.docx
- 信息安全技术与应用(高学勤)课后习题与答案01 第一章 信息安全的形式与发展.docx
文档评论(0)