Web安全與防護 （微課版） 課件 項目八安全的應(yīng)用發(fā)布

項目八安全的應(yīng)用發(fā)布Web安全與防護本任務(wù)要點學(xué)習(xí)目標生產(chǎn)環(huán)境搭建熟悉LAMP環(huán)境的快速搭建方法。熟悉部署博客管理系統(tǒng)的方法。能夠快速搭建LAMP環(huán)境。能夠進行博客管理系統(tǒng)的部署。任務(wù)一生產(chǎn)環(huán)境搭建目錄CONTENTS01/LAMP環(huán)境的快速搭建02/部署博客管理系統(tǒng)LAMP環(huán)境的快速搭建01LAMP是指Linux（操作系統(tǒng)）+Apache（HTTP服務(wù)器）+MySQL（數(shù)據(jù)庫）和PHP（網(wǎng)絡(luò)編程語言），一般用來建立web應(yīng)用平臺。和Java/J2EE架構(gòu)相比，LAMP具有Web資源豐富、輕量、快速開發(fā)等特點；與微軟的.NET架構(gòu)相比，LAMP具有通用、跨平臺、高性能、低價格的優(yōu)勢。因此LAMP無論是性能、質(zhì)量還是價格都是企業(yè)搭建網(wǎng)站的首選平臺。中文官網(wǎng)下載系統(tǒng)鏡像：/downloadLAMP環(huán)境的快速搭建01由于我們希望將博客管理系統(tǒng)部署在生產(chǎn)環(huán)境服務(wù)器中，因此在下載頁面，我們選擇服務(wù)器版：中文官網(wǎng)下載系統(tǒng)鏡像：/download注：若您的服務(wù)器非X86架構(gòu)，那么可以在下載頁面選擇其他架構(gòu)的鏡像進行下載LAMP環(huán)境的快速搭建01下載好Ubuntu服務(wù)器版的鏡像后，我們需要準備一個U盤來制作啟動盤（注意！制作啟動盤將格式化U盤，在此之前請妥善處理U盤中的數(shù)據(jù)），另外我們還需要一個制作系統(tǒng)啟動U盤的工具——Ventoy。訪問Ventoy官網(wǎng)：/cn/index.htmlLAMP環(huán)境的快速搭建01選擇下載欄目，在頁面中選擇對應(yīng)平臺的安裝包，這里我們選擇windows平臺的安裝包進行下載：訪問Ventoy官網(wǎng)：/cn/index.htmlLAMP環(huán)境的快速搭建01將壓縮包解壓后，直接執(zhí)行Ventoy2Disk.exe，如下圖所示，選擇對應(yīng)的移動介質(zhì)，再點擊安裝按鈕即可：訪問Ventoy官網(wǎng)：/cn/index.htmlLAMP環(huán)境的快速搭建01將已制作好的啟動U盤插入到服務(wù)器上的USB接口，根據(jù)主板廠商的不同，按照對應(yīng)的方法選擇U盤引導(dǎo)啟動（具體方法請參考對應(yīng)型號主板的參考資料，在此不進行詳細描述），在引導(dǎo)界面選擇“ubuntu-20.04.4-live-server-amd64.iso”，接著選擇“normalmode”，接下來我們將進入到Ubuntu的安裝界面：LAMP環(huán)境的快速搭建01選擇鍵盤布局，英文鍵盤對許多用戶來說都具有更強的普適性。LAMP環(huán)境的快速搭建01Ubuntu安裝程序現(xiàn)在顯示它已在服務(wù)器上檢測到哪個網(wǎng)卡。自動分配的網(wǎng)絡(luò)設(shè)備名稱為ens33。已通過DHCP自動分配了IPv4地址。安裝基本系統(tǒng)后，我將在以后將其更改為固定IP地址。如果你的網(wǎng)絡(luò)沒有DHCP服務(wù)器，那么你現(xiàn)在可以通過選擇網(wǎng)卡來輸入固定的IP地址。LAMP環(huán)境的快速搭建01現(xiàn)在，你可以設(shè)置代理服務(wù)器地址，以訪問互聯(lián)網(wǎng)需要代理。如果你不需要代理，選擇“完成”進入下一步安裝在這里，你可以選擇從中下載Ubuntu鏡像服務(wù)器更新和安裝文件。國外鏡像源國內(nèi)訪問較慢，可以設(shè)置為/ubuntu/，也就是阿里云的鏡像源。LAMP環(huán)境的快速搭建01Ubuntu服務(wù)器安裝程序現(xiàn)在顯示在服務(wù)器中檢測到的硬分叉。安裝磁盤在/dev/sda上為40GBHD。我將選擇使用整個磁盤進行Ubuntu安裝。如果你需要由多個分區(qū)組成的自定義布局，請選擇“自定義布局”，然后根據(jù)需要創(chuàng)建分區(qū)。LAMP環(huán)境的快速搭建01安裝程序?qū)⒃谙旅骘@示默認存儲配置。它包含一個1MB的bios_grub分區(qū)以及一個包含操作系統(tǒng)安裝的大分區(qū)。選擇“完成”進入下一個屏幕。LAMP環(huán)境的快速搭建01接著設(shè)置用戶密碼等，需要注意，為了使操作系統(tǒng)的安全性得到保障，我們應(yīng)該盡量設(shè)置復(fù)雜不易猜解的密碼。LAMP環(huán)境的快速搭建01作為Linux服務(wù)器，我們在完成服務(wù)器的部署后，將不會長期通過顯示器、鍵盤、鼠標接入服務(wù)器進行使用，更多的操作是使用SSH通過網(wǎng)絡(luò)進行管理。在此步驟中，Ubuntu安裝程序可以直接安裝SSH服務(wù)器。選中“安裝OpenSSH服務(wù)器”復(fù)選框，然后繼續(xù)下一步。LAMP環(huán)境的快速搭建01在此步驟中，你可以通過Snap安裝程序預(yù)安裝常用服務(wù)。我這里沒有選擇任何服務(wù)，因為沒有我們需要的LAMP中的組件。我們可以在安裝完成后通過apt或snap安裝所需的服務(wù)LAMP環(huán)境的快速搭建01Ubuntu安裝成功完成。選擇“重新啟動”將服務(wù)器啟動到全新安裝的UbuntuServer20.04系統(tǒng)中。LAMP環(huán)境的快速搭建01進入系統(tǒng)，輸入安裝時設(shè)置的賬號密碼，即可進入終端界面：LAMP環(huán)境的快速搭建01安裝Apache服務(wù)器Ubuntu默認使用APT包管理工具進行軟件的下載自動安裝，進入服務(wù)器終端后，我們使用APT下載Apache服務(wù)器軟件，執(zhí)行：sudoapt-getinstallapache2我們可以通過執(zhí)行：apache2-V，來確認Apache是否安裝成功，如下輸出Apache的版本信息等內(nèi)容即表示安裝成功設(shè)置Apache服務(wù)器開機自啟，執(zhí)行：sudosystemctlenableapache2LAMP環(huán)境的快速搭建01到此，安裝Apache的工作已經(jīng)結(jié)束，我們執(zhí)行：sudoserviceapache2start，開啟Apache服務(wù)，通過一臺客戶端主機打開瀏覽器，訪問服務(wù)器IP地址的80端口來確認Apache服務(wù)的工作狀態(tài)。LAMP環(huán)境的快速搭建01安裝PHP環(huán)境在終端中執(zhí)行：sudoapt-getinstallphp通過執(zhí)行：php-v，來確認PHP的安裝情況LAMP環(huán)境的快速搭建01安裝MySQL數(shù)據(jù)庫在終端中執(zhí)行：sudoapt-getinstallmysql-server通過執(zhí)行：php-v，來確認PHP的安裝情況執(zhí)行：sudosystemctlenablemySQL，使MySQL數(shù)據(jù)庫開機自啟。當(dāng)前版本的MySQL默認通過Linux的root用戶可以直接本地免密登錄，因此我們要進入數(shù)據(jù)庫需要執(zhí)行：sudomySQL來進入數(shù)據(jù)庫：部署博客管理系統(tǒng)02上傳源碼WindTerm官網(wǎng)下載鏈接：https://kingtoolbox.github.io/download/WindTerm不僅開源免費，還支持多平臺（Windows、Linux、macOS），其性能更是優(yōu)于同類型的其他軟件，更快地速度和更低的占用也是本書推薦的重要原因部署博客管理系統(tǒng)02上傳源碼連接至將WindTerm左側(cè)的“文件管理器”切換路徑到Apache的網(wǎng)站根目錄/home/ubuntu下，再將開發(fā)完成的博客管理系統(tǒng)的源代碼文件夾拖動到“文件管理器”中。上傳成功后，將目錄移動到網(wǎng)站根目錄下：sudomv~/blog/var/www/html/部署博客管理系統(tǒng)02創(chuàng)建數(shù)據(jù)庫博客管理系統(tǒng)的安裝指南，接下來我只需要按照安裝指南進行配置即可；首先打開MySQL數(shù)據(jù)庫新建一個庫，我們?nèi)∶麨閎log。將網(wǎng)站根目錄下backup目錄下的數(shù)據(jù)庫文件導(dǎo)入blog庫中。部署博客管理系統(tǒng)02創(chuàng)建數(shù)據(jù)庫進入MySQL中新建一個低權(quán)限的數(shù)據(jù)庫用戶，專供網(wǎng)站業(yè)務(wù)使用。（注意設(shè)置復(fù)雜密碼，并且只允許本地登錄）。修改inc目錄下的config.inc.php網(wǎng)站配置文件，根據(jù)代碼中的注釋填寫數(shù)據(jù)庫連接信息。部署博客管理系統(tǒng)02訪問網(wǎng)站，成功訪問到博客管理系統(tǒng)至此，博客管理系統(tǒng)的部署的工作就全部完成了。課堂實踐一、任務(wù)名稱：搭建生產(chǎn)環(huán)境二、任務(wù)內(nèi)容：搭建博客系統(tǒng)的生產(chǎn)環(huán)境，包括Ubuntu操作系統(tǒng)、Apache服務(wù)器、MySQL數(shù)據(jù)庫、PHP開發(fā)環(huán)境三、工具需求：瀏覽器、Vmware、Ubuntu、Apache、Ventoy、MySQL、PHP四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、主流的Linux系統(tǒng)有哪些發(fā)行版？二、業(yè)界常用的WEB中間件有哪些？三、有哪些我國自主研發(fā)的國產(chǎn)數(shù)據(jù)庫系統(tǒng)？四、WEB中間件的工作原理是什么？課后拓展：國產(chǎn)操作系統(tǒng)請同學(xué)們通過互聯(lián)網(wǎng)檢索國產(chǎn)操作系統(tǒng)的相關(guān)資料，了解并體驗相關(guān)操作系統(tǒng)，提交word文檔或PPT，下節(jié)課會抽點部分同學(xué)上來給大家分享一下自己了解到的國產(chǎn)操作系統(tǒng)的案例。THANK

YOUToBeContinued項目八

安全的應(yīng)用發(fā)布Web安全與防護本任務(wù)要點學(xué)習(xí)目標配置Apache的安全配置項以滿足安全需求。熟悉Apache禁止目錄瀏覽的配置方法。熟悉Apache隱藏服務(wù)器banner信息的配置方法。熟悉Apache配置網(wǎng)站腳本解析規(guī)則的配置方法。熟悉Apache配置自定義錯誤頁面的配置方法。任務(wù)二Apache安全配置目錄CONTENTS01/禁止目錄瀏覽02/隱藏服務(wù)器banner信息03/配置網(wǎng)站腳本解析規(guī)則04/自定義錯誤頁面禁止目錄瀏覽01默認情況下，Apache服務(wù)器在網(wǎng)站路徑下沒有默認索引文件（index.html或inedx.php）時，會將網(wǎng)站的目錄結(jié)構(gòu)直接返回給瀏覽器，訪問者可以直接觀看到網(wǎng)站的目錄結(jié)構(gòu)對于Apache的目錄遍歷這個問題，我們可以通過修改Apache的配置文件來進行加固，Ubuntu中Apache的配置文件路徑位于：/etc/apache2/apache2.conf，我們可以定位到配置文件中的如下位置禁止目錄瀏覽01其中OptionsIndexesFollowSymLinks，修改為Options–Indexes+FollowSymLinks，然后執(zhí)行：sudoserviceapache2restart，重啟Apache，再次使用瀏覽器訪問目錄，服務(wù)器響應(yīng)403，顯示沒有權(quán)限隱藏服務(wù)器banner信息02當(dāng)我們在訪問Apache服務(wù)器時，默認情況下，在HTTP的響應(yīng)報文中，我們能從響應(yīng)報文的頭部發(fā)現(xiàn)一個叫Server的字段中帶有詳細的服務(wù)器種類及版本信息，通過F12查看在服務(wù)器響應(yīng)404/403等響應(yīng)碼時的瀏覽器頁面也會顯示具體的服務(wù)器軟件的版本信息隱藏服務(wù)器banner信息02對該安全風(fēng)險進行加固，首先打開Apache的安全配置文件：/etc/apache2/conf-enabled/security.conf，修改其中的兩行配置為ServerTokensProdServerSignatureoff接著重啟Apache，在通過瀏覽器訪問網(wǎng)站，查看響應(yīng)，提示所請求資源不存在配置網(wǎng)站腳本解析規(guī)則03Apache中規(guī)定會把哪些文件當(dāng)做PHP腳本進行解析的配置文件位于：/etc/apache2/mods-enabled/php7.4.conf重點關(guān)注如下片段：<FilesMatch“.+\.ph(ar|p|tml)$”> SetHandlerapplication/x-httpd-php</FilesMatch>配置網(wǎng)站腳本解析規(guī)則03上述配置項通過正則表達式規(guī)定了，以.phar、.php、.phtml三種后綴結(jié)尾的文件都會被當(dāng)作php腳本進行解析！而在這之中，我們大多數(shù)人只會用到php為了進行測試，我們在網(wǎng)站根目錄下創(chuàng)建一個名為test.phtml的文件，內(nèi)容為：<?phpphpinfo();使用瀏覽器訪問該文件，發(fā)現(xiàn)我們創(chuàng)建的文件被正常解析了配置網(wǎng)站腳本解析規(guī)則03規(guī)避這項安全風(fēng)險，將解析規(guī)則部分修改為：<FilesMatch“.+\.php$”> SetHandlerapplication/x-httpd-php</FilesMatch>重啟Apache后，我們再次使用瀏覽器訪問test.phtml文件可以發(fā)現(xiàn)phtml文件已經(jīng)無法正常解析了，那么這樣修改之后，Apache將只會把php文件當(dāng)做腳本解析了。自定義錯誤頁面04在用戶訪問網(wǎng)站出錯、找不到頁面時，會出現(xiàn)HTTP404,403錯誤信息，為了提高用戶體驗，我們需要自定義404、403錯誤頁面Ubuntu中需要在/etc/apache2/conf-enabled/localized-errors.conf這個配置文件中配置自定義錯誤頁面,首先我們先在網(wǎng)站根目錄下創(chuàng)建一個error_page的目錄用來存放我們的自定義錯誤頁面推薦大家使用/alexphelps/server-errors，這個項目提供了一套美觀簡潔易于使用的專業(yè)錯誤頁面自定義錯誤頁面04保存配置文件后，重啟Apache，再使用瀏覽器訪問，確認配置之后的效果至此，自定義錯誤頁面已經(jīng)配置完成，錯誤頁面都會以統(tǒng)一的模板展示給瀏覽者。課堂實踐一、任務(wù)名稱：Apache安全配置二、任務(wù)內(nèi)容：對已搭建的生產(chǎn)環(huán)境中的Apache進行安全配置三、工具需求：瀏覽器、Vmware、Apache四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、Apache作為WEB中間件有哪些優(yōu)勢？二、除Apache之外還有哪些應(yīng)用廣泛的替代品？三、Apache配置不當(dāng)可能會造成哪些危害？課后拓展：Apache的歷史漏洞請同學(xué)們通過互聯(lián)網(wǎng)查找Apache的歷史漏洞，了解其出現(xiàn)的原因和危害，提交word文檔或PPT，下節(jié)課會抽點部分同學(xué)上來給大家分享一下自己了解到的Apache的歷史漏洞。THANK

YOUToBeContinued項目八安全的應(yīng)用發(fā)布Web安全與防護本任務(wù)要點學(xué)習(xí)目標配置PHP的安全配置項以滿足安全需求熟悉關(guān)閉調(diào)試模式的配置方法。熟悉PHP各項安全參數(shù)的配置方法。能夠配置關(guān)閉調(diào)試模式。能夠配置PHP各項安全參數(shù)。任務(wù)三PHP安全配置目錄CONTENTS01/關(guān)閉調(diào)試模式02/配置PHP參數(shù)關(guān)閉調(diào)試模式01在開發(fā)博客管理系統(tǒng)時，我們使用的開發(fā)環(huán)境中默認打開了PHP的調(diào)試模式，也就是說當(dāng)PHP腳本出現(xiàn)告警或報錯時，將會直接將錯誤信息顯示在瀏覽器頁面上，其中會包含網(wǎng)站的絕對路徑、報錯的腳本文件、出錯的代碼行數(shù)以及錯誤提示。通過瀏覽器訪問test.php腳本文件時，頁面中會顯示報錯信息關(guān)閉調(diào)試模式01在Ubuntu服務(wù)器中調(diào)試模式需要在PHP的配置文件中進行配置，配置文件的路徑位于/etc/php/7.4/apache2/php.ini關(guān)閉調(diào)試模式01若你的生產(chǎn)環(huán)境中該配置項為ON，那么只需要將ON改成OFF即可，再重啟Apache即可生效，再次訪問瀏覽器將不會再返回報錯信息，若在8.2.4節(jié)中配置了自定義錯誤頁面，此時將會顯示500響應(yīng)的錯誤頁面配置PHP參數(shù)02這個章節(jié)的目的是為了幫助那些配置PHP和運行它的web服務(wù)器的人確保它的安全性,下面你將找到有關(guān)php.ini文件的正確配置信息PHP錯誤處理：expose_php=Offerror_reporting=E_ALLdisplay_errors=Offdisplay_startup_errors=Offlog_errors=Onerror_log=/valid_path/PHP-logs/php_error.logignore_repeated_errors=Off配置PHP參數(shù)02PHP通用設(shè)置：doc_root=/path/DocumentRoot/PHP-scripts/open_basedir=/path/DocumentRoot/PHP-scripts/include_path=/path/PHP-pear/extension_dir=/path/PHP-extensions/mime_magic.magicfile=/path/PHP-magic.mimeallow_url_fopen=Offallow_url_include=Offvariables_order="GPCS"allow_webdav_methods=Offsession.gc_maxlifetime=600配置PHP參數(shù)02PHP上傳文件處理：file_uploads=Onupload_tmp_dir=/path/PHP-uploads/upload_max_filesize=2Mmax_file_uploads=2配置PHP參數(shù)02PHP上傳文件處理：file_uploads=Onupload_tmp_dir=/path/PHP-uploads/upload_max_filesize=2Mmax_file_uploads=2配置PHP參數(shù)02PHP可執(zhí)行處理：enable_dl=Offdisable_functions=system,exec,shell_exec,passthru,phpinfo,show_source,highlight_file,popen,proc_open,fopen_with_path,dbmopen,dbase_open,putenv,move_uploaded_file,chdir,mkdir,rmdir,chmod,rename,filepro,filepro_rowcount,filepro_retrieve,posix_mkfifo#請查看：/features.safe-modedisable_classes=配置PHP參數(shù)02PHPsession處理：session.save_path=/path/PHP-session/=myPHPSESSIDsession.auto_start=Offsession.use_trans_sid=0session.cookie_domain=#session.cookie_path=/application/path/session.use_strict_mode=1session.use_cookies=1session.use_only_cookies=1session.cookie_lifetime=14400#4小時

session.cookie_secure=1session.cookie_httponly=1session.cookie_samesite=Strictsession.cache_expire=30session.sid_length=256session.sid_bits_per_character=6#PHP7.2+session.hash_function=1#PHP7.0-7.1session.hash_bits_per_character=6#PHP7.0-7.1配置PHP參數(shù)02在PHP的配置中，更多的安全隱患的檢查也是必要的，如下：session.referer_check=/application/pathmemory_limit=50Mpost_max_size=20Mmax_execution_time=60report_memleaks=Ontrack_errors=Offhtml_errors=Off課堂實踐一、任務(wù)名稱：PHP安全配置二、任務(wù)內(nèi)容：對已搭建的生產(chǎn)環(huán)境中的PHP開發(fā)環(huán)境進行安全配置三、工具需求：瀏覽器、Vmware、PHP四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、PHP開發(fā)語言主要應(yīng)用于哪些場景？二、除PHP外還有哪些主流的WEB腳本開發(fā)語言？三、PHP配置不當(dāng)可能會導(dǎo)致哪些危害？課后拓展：開發(fā)框架請同學(xué)們通過互聯(lián)網(wǎng)查找PHP語言流行的開發(fā)框架，了解目前MVC開發(fā)框架的原理，提交word文檔或PPT，下節(jié)課會抽點部分同學(xué)上來給大家分享一下自己了解到的PHP開發(fā)框架。THANK

YOUToBeContinued項目八安全的應(yīng)用發(fā)布Web安全與防護本任務(wù)要點學(xué)習(xí)目標配置MySQL的安全配置項以滿足安全需求。熟悉MySQL各項安全參數(shù)的配置方法。熟悉MySQL數(shù)據(jù)庫用戶降權(quán)的配置方法。熟悉MySQL數(shù)據(jù)庫訪問控制的配置方法。任務(wù)四MySQL安全配置目錄CONTENTS01/配置MySQL參數(shù)02/數(shù)據(jù)庫用戶降權(quán)03/數(shù)據(jù)庫訪問控制配置MySQL參數(shù)01禁止MySQL以管理員帳號權(quán)限運行：以普通賬戶安全運行MySQL，禁止以管理員賬號權(quán)限運行MySQL服務(wù)。在/etc/f配置文件中進行以下設(shè)置。在前面搭建環(huán)境的環(huán)節(jié)中，Ubuntu通過APT安裝的MySQL服務(wù)器默認滿足該項配置。[mysql.server]User=mysql配置MySQL參數(shù)01最大連接數(shù)設(shè)置：根據(jù)您的機器性能和業(yè)務(wù)需求，設(shè)置最大、最小連接數(shù)。在MySQL配置文件（my.conf或my.ini）的[mysqld]配置段中添加max_connections=1000，保存配置文件，重啟MySQL服務(wù)后即可生效。secure_file_priv：secure_file_priv限制客戶端可以讀取數(shù)據(jù)文件的路徑，secure_file_priv設(shè)置合理的值可以有效降低SQL注入后黑客讀取數(shù)據(jù)庫數(shù)據(jù)的可能性。檢查參數(shù)狀態(tài)執(zhí)行命令如下：SHOWGLOBALVARIABLESWHEREVariable_name='secure_file_priv'ANDValue<'';如果有返回內(nèi)容說明安全，否則需要修復(fù)；配置MySQL參數(shù)01disconnect_on_expired_password：disconnect_on_expired_password是用來控制客戶端用失效密碼來訪問數(shù)據(jù)庫的，關(guān)閉這個參數(shù)會給數(shù)據(jù)庫帶來安全風(fēng)險。檢查參數(shù)狀態(tài)執(zhí)行命令如下：SHOWGLOBALVARIABLESLIKE'disconnect_on_expired_password’;錯誤日志記錄：啟用錯誤日志有可能會增加檢測到針