神州数码网站安全检测实训

《神州数码网站安全检测实训》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、实训四网站安全检测实训一、实训目的1、掌握WAF设备网站安全检测的方法；2、了解不安全信息内容及修正方法。二、应用环境网站安全检测是指对网站安全方面进行审查，检查网站中存在的不安全因素，并提供合理化的修正建议。三、实训设备1、WAF设备1台2、PC机2台3、双绞线（直通）2根四、实训拓扑透明部署模式五、实训要求1、按照拓扑连接网络2、按照拓扑中的IP地址配置设备IP六、实训步骤第一步：在PC机2上搭建web网站，此步骤同之前实训中web网站搭建相同第二步：在PC机1上使用浏览器访问PC机2上的网站，可以正常访问第三步：登录WAF，左侧功能树中进入检测->漏

2、洞扫描->扫描管理->新建从点击新建后看到如下图，输入任务名称、扫描目标即网站地址、执行方式选择立即执行、扫描内容全选点击新建后，完成一条网站漏洞扫描任务的添加页面刷新后，会看到当前状态列显示扫描中····第四步：一段时间后，当前状态显示扫描完成此次扫描完成后，网站若是更新了，只要地址没有变化，我们就可以再次进行漏洞扫描，点击操作列中的齿轮按钮，可再次进行漏洞扫描第五步：扫描完成后，进入日志->漏洞扫描日志，查看漏洞扫描结果我们看到有7个漏洞，点击操作列中的详细按钮第六步：查看漏洞详细信息并进行相应的网站配置修正，我们查看第二条，漏洞级别：低、类型：信息泄

3、露/phpmyadmin/，点击后面的详细，看到如下图。漏洞的详细描述是这样的，漏洞描述：可能会收集有关Web应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置，我们再看一下网站下得/phpmyadmin/目录，我们就可以这样理解：/phpmyadmin/目录是网站数据库web管理的主目录，而这个目录是允许互联网上的用户访问的，那么这样就有可能泄露网站架构等关键信息，并有可能造成严重的web攻击。第七步：WAF首页以图表的方式显示漏洞扫描结果一、注意事项和排错1、需要将保护网站添加到WAF保护中，才能够保护生效。2、攻击不能被阻止时，首先清空浏览

4、器缓存，然后检查防护规则是否被成功应用。一、配置序列无二、共同思考1、WAF的漏洞扫描功能，能否针对任意网站进行扫描？2、新的网站漏洞出现，WAF能否扫描出来？三、课后练习1、针对同一网站执行周期性漏洞扫描，配置每天3:00对网站进行漏洞扫描？2、对网站只扫描信息泄露类型的漏洞，如何配置？四、知识背景网站安全检测也可称之为网站漏洞扫描，就是利用已知的漏洞信息对网站进行安全漏洞检测，检测内容包括信息泄露、SQL注入、操作系统命令、跨站脚本编制、认证不充分、拒绝服务、网页挂马等等，WAF则集成了如上这些内容，能对网站进行安全性的漏洞检测并出具漏洞报告，且漏洞信

5、息库时时升级。