linux下phpstudy環境的安裝
phpStudy Linux版&Win版同步上線 支持Apache/Nginx/Tengine/Lighttpd/IIS7/8/6
phpStudy for Linux 支持Apache/Nginx/Tengine/Lighttpd,
支持php5.2/5.3/5.4/5.5切換
已經在centos-6.5,debian-7.4.,ubuntu-13.10測試成功。
下載版:http//lamp.phpstudy.net/phpstudy.bin
完整版:http//lamp.phpstudy.net/phpstudy-all.bin
安裝:
wget -c http//lamp.phpstudy.net/phpstudy.bin
chmod +x phpstudy.bin #許可權設置
./phpstudy.bin #運行安裝
用時十到幾十分鍾不等,安裝時間取決於電腦的下載速度和配置。
也可以事先下載好完整,安裝時無需下載。
安裝完成
如何切換php版:
假如你先安裝的apache+php5.3
想切換成nginx+php5.4
你就再走一次./phpstudy.bin
但是你會發現有一行是否安裝mysql提示選不安裝
這樣只需要編譯nginx+php5.4
從而節省時間,這樣只需要幾分鍾即可。
項目地址:http://lamp.phpstudy.net/
使用說明:
服務進程管理:phpstudy (start|stop|restart|uninstall)
站點主機管理:phpstudy (add|del|list)
ftpd用戶管理:phpstudy ftp (add|del|list)
=phpstudy WIN版下載==================
『軟體簡介』
該程序包集成最新的Apache+Nginx+LightTPD+PHP+MySQL+phpMyAdmin+Zend Optimizer+Zend Loader,一次性安裝,無須配置即可使用,是非常方便、好用的PHP調試環境。該程序綠色小巧簡易迷你僅有35M,有專門的控制面板。總之學習PHP只需一個包。
對學習PHP的新手來說,WINDOWS下環境配置是一件很困難的事;對老手來說也是一件煩瑣的事。因此無論你是新手還是老手,該程序包都是一個不錯的選擇。
1、全面適合 Win2000/XP/2003/win7/win8/win2008 操作系統 ,支持Apache、IIS、Nginx和LightTPD。
2、該程序包集成以下軟體,括弧內為phpstudy下對應的目錄。
php 5.6a3 (php56n)
php 5.5.10 (php55)
php 5.5.10-nts (php55n)
php 5.4.26 (php54)
php 5.4.26-nts (php54n)
php 5.3.28 (php53)
php 5.3.28-nts (php53n)
php 5.2.17 (php52)
Apache 2.4.7 (Apache)
Nginx 1.5.11 (nginx)
LightTPD 1.4.32 (Lighttpd)
MySQL 5.5.36 (MySQL)
MySQL-Front 5.3 (SQL-Front)
phpMyAdmin 3.5.8.2 (phpMyAdmin)
pear 1.9.4 (pear)
OpenSSL 1.0.1e&0.9.8y
ZendOptimizer 3.3.3 (php5.2有)
Zend Loader 5.5.0 (php5.3有)
Zend Loader 6.0.0 (php5.4有)
wincache 1.3.5 (fastcgi有)
php_opcache 7.0.3 (ZendOpcache擴展)
xdebug 2.2.3.1
Zend Debugger 6.2 (php5.3/4 fastcgi有)
xcache 3.1.0
eAccelerator 1.0&0.9.6
php_sqlsrv (MSSQL擴展)
php_pdo_sqlsrv (PDO-MSSQL擴展)
php_mongo 1.4.5 (MongoDB擴展)
php_dbase 5.1.0 (dbase擴展)
php_dbx 1.1.2 (dbx擴展)
php_ibm_db2 1.9.5 (ibm_db2擴展)
php_apc 3.1.13 (php_apc擴展)
php_memcache 3.0.8
phpStudy Ftp server (FTPServ)
SendMail 3.2 (sendmail)
VC++ 2008 運行庫
3、MySQL資料庫默認用戶名:root,密碼root,安裝後請重新設置密碼。
4、本程序純綠色,支持22種組合一鍵切換,支持系統服務和非服務兩種啟動方式,自由切換。改變安裝路徑或拷貝到別的電腦上也可正常運行;即便是運行完再更改路徑也能運行,真正做到無須配置。重寫控制面板更加有效直觀地進行控製程序的啟停。
5、自帶FTP伺服器,支持多用戶,無需再安裝FTP伺服器。自帶網站掛馬監視器,隨時記錄文件的修改情況,讓掛馬文件無處可逃。
6、本程序完美支持II7,IIS8和IIS6。應網友的要求製作Nginx版和Lighttpd版。Nginx版為phpfind,Lighttpd版為phpLight。
推薦:學習JSP用JspStudy。
『軟體簡介』
JspStudy集成JDK+tomcat+Apache+mysql,JSP環境配置一鍵啟動。無需修改任何配置即可迅速搭建支持JSP的伺服器運行環境。
純綠色解壓即可,支持系統服務和非服務兩種啟動方式,自由切換。控制面板更加有效直觀地進行控製程序的啟停。
JspStudy將復雜的JSP環境配置簡單化。
『特別注意』
1. 為了減少出錯安裝路徑不得有漢字,如有防火牆開啟,會提示是否信任httpd、mysqld運行,請選擇全部允許。
2. 此為apache+php方案,需要Nginx+php方案的請到www.phpStudy.net下載phpfind,Lighttpd+PHP方案下載phpLight。
3. 重裝系統後或相關服務丟失時,只需要點一下『運行模式-應用』即可。
4. 可通過菜單『卸載相關服務』進行卸載相關服務。
5. 在『啟動』、『停止』、『重啟』三個啟停按鈕上右鍵可以有選擇地進行啟停,左鍵將控制全部的啟停。
6. 菜單『phpStudy 設置』可以進行php,apche,mysql的相關設置。菜單『站點域名設置』可以進行站點及域名的添加。
7. 本程序分為安裝版和非安裝版,無論是安裝還是免安裝,最後的效果完全一致。
8. 埠問題無法啟動時,請使用菜單『環境埠檢測』進行埠檢測,嘗試啟動。
26種組合一鍵切換apache+php
php擴展管理超級方便
nginx+php
IIS7/8/6+php
mysql備份還原導入導出
站點域名設置
埠檢測
博客不再更新,請到官方網站下載:http://www.phpstudy.net/
下載地址解壓版:http://www.phpstudy.net/phpstudy/phpStudy.zip
下載地址安裝版:http://www.phpstudy.net/phpstudy/phpStudy-install.zip
其他版本:
軟體簡單說明各版本的區別大小下載
phpStudy26種組合,超全大合集Apache+Nginx+LightTPD+IIS
php5.2 php5.3 php5.4 php5.5 php5.6
MySQL phpMyAdmin MySQL-Front
26種組合自由切換,是下面5個版本的合集
同時支持apache/nginx/Lighttpd和IIS7/8/636M解壓版
安裝版
phpStudy
Lite
新手用,經典wamp組合Apache+php5.3+php5.4+MySQL (wamp集成包)
沒有上面合集復雜的多版本設置,簡單適合新手。16M解壓版
phpStudy
for IIS
IIS伺服器專用IIS+php5.2+php5.3+php 5.4+MySQL
php一鍵安裝包 for IIS7/8/6 (IIS伺服器專用)21M解壓版
phpStudy
for Linux
Linux伺服器專用(lamp)Apache+Nginx+LightTPD+MySQL
php5.2+php5.3+php5.4+php5.5一鍵安裝包
支持centos,ubuntu,debian等Linux系統,12種組合80M安裝版
phpfindnginx+php組合(wnmp)Nginx+php5.3+php5.4+MySQL (wnmp集成包)
nginx+php組合,適合喜歡用nginx的朋友16M解壓版
phpLightlighttpd+php組合(wlmp)Lighttpd+php5.3+php5.5+MySQL (wlmp集成包)17M解壓版
phpStudy
(php5.2)
apache+php5.2珍藏版Apache2.2+php5.2.17+MySQL5.1
php5.2經典組合值得收藏,僅有11M,無需運行庫11M解壓版
JspStudyJSP環境一鍵安裝包JDK+tomcat+Apache+mysql+php
純綠色解壓即可,不添加環境變數,不修改注冊表52M解壓版
下載地址:
php5.3+php5.4合集下載: http//www.phpstudy.net/phpstudy/phpStudy.zip
B. e5572裝win7
e5572裝win7(e555裝win7)原創: 月亮警察針灸你 合天智匯
Web安全淺析
在探討Web安全學習之前,首先了解一下什麼是Web
看到這里,你可能會問:這么多內容都需要學習嗎?
答案是:可以不用學得很深入,但是如果不了解這些研究對象,是不可能搞好的安全研究的。(原話來自餘弦大佬在知乎的回答)
那麼這么多內容應該從哪裡開始學呢?別急,等了解完什麼是Web安全再學也不遲。
把Web服務各層串聯起來的就是數據流,掌握了數據流就能知道數據在每層是如何處理的。而在數據流中有一個關鍵的協議,就是HTTP協議,搞明白HTTP協議後,你就會明白一個專業術語「輸入輸出」。黑客通過輸入提交『特殊數據』,『特殊數據』在數據流的每個層處理,如果其中某一層沒處理好,在輸出的時候,就會出現相應層的安全問題,也就是本文的重點——Web安全。
例如:
操作系統:數據如果在操作系統層上沒處理好,可能會產生命令執行等安全問題;存儲:數據如果在存儲層上沒處理好,可能會產生SQL注入等安全問題;Web容器:數據如果在Web容器層中沒處理好,可能會產生遠程溢出、DoS等安全問題;Web服務端語言:代碼審計對於安全人員來說也是一項重要技能;Web開發框架/Web應用:數據如果在這里沒處理好,可能會產生命令執行等安全問題;Web前端框架:數據如果在Web前端框架中沒處理好,可能會產生XSS跨站腳本等安全問題;
到這里可以看出「輸入輸出」對於安全的重要性了吧。
接下來的內容都是干貨
初步了解了什麼是Web以及容易產生的一些安全問題,下面具體來說說入門Web安全應該學什麼,怎麼學。
還是從Web服務說起,操作系統層具體分為Windows和Linux,Windows又有Win10、Win8、Win7、WindowsServer 2016、WindowsServer 2012、WindowsServer 2008、WindowsServer 2003等版本,主要了解它們的安全配置及相關漏洞。
1.Windows系統安全配置:
http://www.hetianlab.com/cour.do?w=1&c=
通過學習Windows系統安全配置課程,基本了解Windows操作系統的安全加固方法
2.Windows系統加固:
http://www.hetianlab.com/expc.doec=ECID172.19.104.182015070809494300001
這也是和Windows系統安全加固相關的實驗。
還有很多Windows相關的比如文件系統備份、用戶管理、日誌清理、用戶口令破解等知識,都可以在
http://www.hetianlab.com/pages/search.html?wk=Windows
進行學習。
而Linux又有CentOS、Redhat、Ubuntu、Debian、Fedora、openSUSE等諸多發行版本,說到Linux,不得不提那本被推薦了無數遍的——《鳥哥的Linux私房菜》
http://cn.linux.vbird.org/
純文字的閱讀難免讓人感覺枯燥,作者更喜歡一邊學習一邊動手操作:
Linux入門最佳實踐:
http://www.hetianlab.com/cour.do?w=1&c=CCID7ca1-dae5-48f4-8dd6-d8b6c2b5938b
課程包括Linux的發展、文件管理基礎命令、管道命令、賬戶及系統管理等
存儲層主要分為資料庫存儲、內存存儲和文件存儲,其中資料庫有MySQL、Oracle、MSSQL、access、MongoDB、Redis等,資料庫是SQL注入學習的基礎。
1.MySQL資料庫相關基礎學習:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015082709474200001
了解MySQL表的結構與內容,增加用戶及授權,刪除用戶等操作。
2.MongoDB安全配置:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182016030216511800001
實驗介紹了MongoDB資料庫及其安全攻防實踐,通過學習此實驗了解MongoDB的基本操作和安全特性。
3.Redis資料庫安全實踐:
http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015052010331700001
4.系統性的SQL、MySQL學習也可以到w3cschool上進行。
Web容器包括Apache、IIS和Nginx,這里推薦幾個集合環境軟體:
1.php集合環境軟體phpStudy:
http://www.phpstudy.net/phpstudy/phpStudy20161103.zip
2.jsp集合環境軟體jspStudy:
http://www.phpstudy.net/phpstudy/JspStudy.zip
3.ASP集合環境軟體小旋風ASP伺服器:
http://www.jb51.net/softs/35167.html
第一個phpStudy集合了Apache、MySQL和PHP,將Web源碼放到phpStudy里就搭建好了自己的Web伺服器。具體教程自行網路,這里就不放鏈接了。
Web服務端語言:前面提到了代碼審計,入門Web安全其實不需要對語言進行系統性的學習,這樣很浪費時間,只要平時在分析漏洞原理、查看目標網站源代碼等時候,對重要的函數、方法等有所了解,能夠舉一反三即可。
1.PHP基礎:
http://www.hetianlab.com/cour.do?w=1&c=
通過基礎實驗了解PHP語言,為後續的學習打下基礎。
2.PHP代碼審計:
http://www.hetianlab.com/cour.do?w=1&c=
通過此實驗學習PHP代碼審計的基礎知識及PHP常見危險函數
Web框架/應用:開發框架包括Struts2、React、Django、thinkPHP等,前端框架包括jQuery、Bootstrap、HTML5、semanticUI、Pure等,Web應用包括BBS,blog,discuz、metinfo、Joomla等各種CMS,不需要大家用這些框架搭建Web應用,只需要了解各框架/CMS存在哪些漏洞,其原理、利用以及如何進行修復等。
橫向的學習路徑介紹完,開始縱向學習數據流之《HTTP從入門到放棄》。
協議這個東西光靠看書學習很費勁,有什麼快速掌握的途徑嗎?
還真的有,通過學習一些入門的HTTP協議,然後瀏覽器F12看看『Network』標簽里的HTTP請求響應,結合wireshark等協議分析軟體,不出幾個小時,就大概能知道HTTP協議是什麼了。
1.HTTP協議基礎:
http://www.hetianlab.com/expc.do?ce=08398307-4303-4dde-bcfc-e8bd67f2e772
2.wireshark數據抓包分析之HTTP協議:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015121711544400001
掌握wireshark的基本操作,加深對HTTP協議的理解。
電腦
3.通過wireshark分析其他協議:
http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015012915332000001
梳理完Web服務的學習,下面正式開始入門Web安全,掌握了下面這些,就算Web安全入門了。
一、命令執行
1.命令執行漏洞:
http://www.hetianlab.com/expc.do?ec=
通過實驗了解命令執行漏洞產生的原因,學習漏洞的利用和修復。
2.ImageMagick命令執行漏洞:
http://www.hetianlab.com/expc.do?ec=
由於大量的Web程序都使用了ImageMagic的拓展,導致本地命令執行漏洞在Web環境里可以被遠程觸發,危害巨大。
3.Memcached遠程命令執行漏洞:
http://www.hetianlab.com/expc.do?ec=
4.通過實驗學習memcached遠程命令執行漏洞的利用及修復方法。
5.還有很多命令執行漏洞的學習實例:
http://www.hetianlab.com/pages/search.html?wk=%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C
二、SQL注入
包括布爾盲注、時間盲注、報錯注入、聯合查詢注入、寬位元組注入、二次注入等。
1.滲透SQL注入:
http://www.hetianlab.com/cour.do?w=1&c=
在入門之前先了解SQL注入的原理:
2.SQL注入初級:
http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182014081415242400001
九個實驗帶你入門SQL注入:
3.[公開課]有一種注入叫SQL注入:
http://www.hetianlab.com/expc.do?ce=f18c2a12-c43d-4469-871f-6cb1cbf5a821
從SQL語句基礎到SQL注入漏洞形成原理和實戰利用,讓你認識什麼是SQL注入。
三、文件上傳
包括客戶端繞過js檢查進行上傳及服務端繞過後綴及內容檢查進行上傳,服務端繞過又包括特殊後綴欺騙上傳、配合解析漏洞上傳、截斷上傳等。
1.文件上傳漏洞:
http://www.hetianlab.com/expc.do?ec=
學習文件上傳漏洞產生的原因,以及如何利用和修復。
2.公開課]玩轉文件上傳漏洞:
http://www.hetianlab.com/expc.do?ce=5a965bc3-29d8-4658-a203-be1a144219ff
通過此公開課學習文件上傳漏洞產生的原因,以及文件上傳繞過的各種姿勢。
3.kindEditor文件上傳漏洞分析和利用:
http://www.hetianlab.com/expc.do?ce=85d2566f-1161-47fa-b23c-0a5ac5649f07
kindEditor編輯器組件最近爆出的文件上傳漏洞,通過實驗還原入侵過程,了解漏洞原理和防護方法。
四、文件包含
包括本地文件包含和遠程文件包含。
1.文件包含漏洞:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015060917272000001
2.簡單的文件包含:
http://www.hetianlab.com/expc.do?ec=
五、溢出、Dos
1.緩沖區溢出基礎與實踐:
http://www.hetianlab.com/expc.do?ec=9613f998-8cd2-4981-9bc5-9900c97371de
通過實驗了解緩沖區溢出的原理與危害,掌握緩沖區溢出的基本方法,學會進行常見的緩沖區溢出攻擊。
2.緩沖區溢出漏洞調試與分析:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014040109201500001
利用緩沖區溢出攻擊,可以導致程序運行失敗、系統宕機、重啟等後果。
3.實戰挖掘某ftp伺服器溢出漏洞:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015091110221500001
了解ftp服務漏洞的表現形式及利用方法。
六、跨站腳本攻擊(XSS)
包括反射型XSS、存儲型XSS及DOM型XSS。在學習XSS前,應該熟悉HTML/CSS及JavaScript,否則很難研究好XSS。
1.HTML基礎:
http://www.hetianlab.com/expc.do?ec=
了解HTML的基本結構和標簽。
2.JavaScript基礎:
http://www.hetianlab.com/expc.do?ec=
了解什麼是JavaScript,了解DOM操作和BOM操作。
3.滲透XSS:
http://www.hetianlab.com/cour.do?w=1&c=
學習XSS漏洞原理,以及如何利用XSS漏洞對目標系統進行滲透測試。
七、跨站請求偽造(CSRF)
分為GET型和POST型。
滲透CSRF:
http://www.hetianlab.com/cour.do?w=1&c=
八、XML外部實體注入攻擊(XXE)
在學習XXE前,應該熟悉XML語言,否則很難研究好XXE
XXE漏洞攻擊與防禦:
http://www.hetianlab.com/cour.do?w=1&c=CCIDc75d-d37a-42d4-878b-6f130c004ad2
包括對XXE漏洞的分析與相關組件XXE漏洞學習:
九、解析漏洞
1.Apache解析漏洞:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015120111342100001
了解解析漏洞原理,常用的攻擊方法以及有效的防禦手段。
2.Nginx解析漏洞:
http://www.hetianlab.com/expc.do?ec=ECID218.76.35.762014021910351300001
3.IIS解析漏洞在fckEditor上傳攻擊中的利用:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015102217243800001
通過實驗學習IIS6.0中的解析漏洞,掌握IIS6.0解析漏洞在fckEditor上傳攻擊中的利用方法。
十、身份認證與訪問控制
1.統一身份認證:
http://www.hetianlab.com/expc.do?ec=ECIDb263-0747-4118-9d51-c33f31691cb7
判斷一個用戶是否為合法用戶的處理過程。
2.非授權訪問:
http://www.hetianlab.com/expc.do?ec=ECIDa2d4-e095-420a-9709-21e18a531479
包括非法用戶進入網路或系統進行違法操作,合法用戶以未授權的方式進行操作。
3.Jenkins未授權訪問漏洞利用實踐:
http://www.hetianlab.com/expc.do?ec=ECID1f27-2b6e-46ad-bb02-764d42cc5f74
十一、反序列化
包括PHP反序列化、Java反序列化、Python反序列化等。
1.PHP反序列化漏洞:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182016010714511600001
了解什麼是反序列化漏洞,其成因以及如何挖掘和預防反序列化漏洞。
2.Java反序列化漏洞:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015111916202700001
以ApacheCommons Collections3為例,分析和復現Java反序列化漏洞。
3.Python反序列化漏洞:
http://www.hetianlab.com/expc.do?ec=ECID7eab-0fb2-4f21-96df-5c1f912e5572
了解Python反序列化漏洞產生的機理,增強安全意識。
十二、Web框架/應用安全
前面提到了Struts2、React、Django、thinkPHP等開發框架,jQuery、Bootstrap、HTML5、semanticUI、Pure等前端框架,以及discuz、metinfo、Joomla等各種CMS。
1.Struts2框架安全:
http://www.hetianlab.com/expc.do?ec=ECID218.76.35.762014021913330900001
2.Struts2(s2-045)遠程命令執行漏洞分析與復現:
http://www.hetianlab.com/expc.do?ec=
3.ThinkPHP5遠程代碼執行漏洞:
http://www.hetianlab.com/expc.do?ce=06d28a64-2021-4cbb-a3f9-65a27bfd7ce2
4.Joomla未授權創建賬號/許可權提升漏洞:
http://www.hetianlab.com/expc.do?ce=da5480f4-87af-412a-90f6-72b1c2cbd920
5.Joomla反序列化遠程代碼執行漏洞:
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182016012817294800001
6.BEEF框架攻擊:
http://www.hetianlab.com/cour.do?w=1&c=以WordPress
博客系統為基礎,典型的XSS漏洞為案例,詳細學習beef平台下各個模塊的常用命令和攻擊方法。
看到這里有沒有一種懷疑人生的感覺?
不用懷疑,入門Web安全沒有你們想像的那麼難,弄懂上面說的這些,你還會覺得你是一個什麼都不懂的小白嗎?
可能大家會問,入門Web安全之後應該如何提升個人技能呢?
如果有已經入門了的朋友,或者說對Web安全有了一定的了解,想掌握更多的Web安全技能,麻煩大家在留言處吱一聲,作者會根據留言情況考慮是否出一個Web安全進階學習路線。
也麻煩還沒有入門的朋友,先按照文章提到的內容一步步來。
本文為合天原創,未經允許,嚴禁轉載。