《Web应用安全与防护》课件 项目2：Web安全实践环境部署

项目2：Web安全实践环境部署项目目标知识目标：1.了解web常见名词及术语的含义2.掌握kaillinux安装与msf框架的更新3.掌握web漏洞环境部署（linux、win）能力目标：1.能部署linux及window

web漏洞环境情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录1.专业术语常见专业名词CVEEXPpayloadPOCshellcodewebshellRCESQLXSSCSRF0day1dayndaywaf蜜罐提权CNNVDNVD1.专业术语1.CVE（CommonVulnerabilities&Exposures）全球漏洞编号2.exp（exploit）能够对漏洞攻击的代码。（漏洞利用）3.poc：证明漏洞存在的代码4.payload：攻击荷载，它是最终发送到服务器执行的代码5.Shellcode：用于利用软件漏洞执行代码，属于payload，是攻击代码最核心的就是shellcode6.webshell：web后门7.RCE：远程代码执行漏洞

1.专业术语8.0day：零日漏洞。即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未公开、还不存在安全补丁的漏洞。9.1day：已经公开的新鲜漏洞（大部分机器未打补丁）10.Nday：公开很久的漏洞11.提权：提升到管理员权限12.NVD:国家漏洞数据库13.CNNVD:中国国家漏洞数据库1.专业术语14.WAF（WebApplicationFirewall）Web应用防火墙15.蜜罐：在主机上布置一些漏洞，诱惑攻击者进入，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁。16.SQL:SQL注入漏洞17.XSS：跨站脚本攻击漏洞18.CSRF:跨站请求伪造漏洞目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录2.Web漏洞环境搭建—Linux搭建web2.centos7Linux+Apache+MySQL+PHP（LAMP）Step1：配置yum源Step2：安装apacheStpe3：安装mysqlStep4：安装phpStep5：测试3.Web漏洞环境搭建—Linux搭建webMetasploitable2

虚拟系统是一个特别制作的ubuntu操作系统，本身设计作为安全工具测试和演示常见漏洞攻击。metasploitable2下载地址/projects/metasploitable/files/Metasploitable2/目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录3.Web漏洞环境搭建—win搭建web3win搭建web环境Step1：下载phpstudy

/Step2：安装phpstudyStep3：部署dvwa漏洞环境step4:修改dvwa配置文件Step5：测试

web攻击环境kailLinux系统安装/downloads/2.更新msf3.几个网站///小结1.web常见名词及术语的含义2.kaillin