《Web应用安全与防护》课件 项目2：Web安全实践环境部署.pptx

项目2：Web安全实践环境部署

项目目标知识目标：1.了解web常见名词及术语的含义2.掌握kaillinux安装与msf框架的更新3.掌握web漏洞环境部署（linux、win）能力目标：1.能部署linux及windowweb漏洞环境情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神

目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录

1.专业术语常见专业名词CVEEXPpayloadPOCshellcodewebshellRCESQLXSSCSRF0day1dayndaywaf蜜罐提权CNNVDNVD

1.专业术语1.CVE（CommonVulnerabilitiesExposures）全球漏洞编号2.exp（exploit）能够对漏洞攻击的代码。（漏洞利用）3.poc：证明漏洞存在的代码4.payload：攻击荷载，它是最终发送到服务器执行的代码5.Shellcode：用于利用软件漏洞执行代码，属于payload，是攻击代码最核心的就是shellcode6.webshell：web后门7.RCE：远程代码执行漏洞

1.专业术语8.0day：零日漏洞。即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未公开、还不存在安全补丁的漏洞。9.1day：已经公开的新鲜漏洞（大部分机器未打补丁）10.Nday：公开很久的漏洞11.提权：提升到管理员权限12.NVD:国家漏洞数据库13.CNNVD:中国国家漏洞数据库

1.专业术语14.WAF（WebApplicationFirewall）Web应用防火墙15.蜜罐：在主机上布置一些漏洞，诱惑攻击者进入，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁。16.SQL:SQL注入漏洞17.XSS：跨站脚本攻击漏洞18.CSRF:跨站请求伪造漏洞

目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录

2.Web漏洞环境搭建—Linux搭建web2.centos7Linux+Apache+MySQL+PHP（LAMP）Step1：配置yum源Step2：安装apacheStpe3：安装mysqlStep4：安装phpStep5：测试

3.Web漏洞环境搭建—Linux搭建webMetasploitable2?虚拟系统是一个特别制作的ubuntu操作系统，本身设计作为安全工具测试和演示常见漏洞攻击。metasploitable2下载地址/projects/metasploitable/files/Metasploitable2/

目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录

3.Web漏洞环境搭建—win搭建web3win搭建web环境Step1：下载phpstudy/Step2：安装phpstudyStep3：部署dvwa漏洞环境step4:修改dvwa配置文件Step5：测试

web攻击环境kailLinux系统安装/downloads/2.更新msf3.几个网站///

小结1.web常见名词及术语的含义2.kaillinux安装、msf框架的更新3.web漏洞环境部署

作业1.部署windowweb漏洞环境2.部署linuxweb漏洞环境3.更新msf