第1章 本地服务器的搭建 1.1 WEB服务器简介 1.2 ASP服务器的搭建 1.2.1 IIS的安装 1.2.2 ACCESS数据库的安装 1.2.3 SQL Server数据库的安装 1.2.4 ASP环境的测试 1.3 PHP服务器的搭建 1.3.1 Apache的安装 1.3.2 MySQL数据库的安装 1.3.3 PHP的安装 1.3.4 PHP环境的测试 1.4 JSP服务器的搭建 1.4.1 JDK的安装 1.4.2 Tomcat的安装 1.4.3 环境变量的设置 1.4.4 JSP环境的测试 从本章你可以学到如下几点: 1.ASP服务器的搭建 2.PHP服务器的搭建 3.JSP服务器的搭建 从本章起我们就开始脚本黑客技术的学习之旅,相信各位脚本黑客爱好者都已经非常期待了。不管你以前是否有计算机脚本语言的基础只要你跟着我的思路一直学习下去,相信你一定会有很大的收获。要成为一名脚本方面的黑客高手也不是那么简单的,所以大家还要做好吃苦耐劳的心里准备。要学习脚本黑客技术的第一步就是要懂Web服务器,因为我们的脚本系统都是在Web服务器上运行,这是脚本的基础。所以本书的第一章就给大家介绍如何配制服务器和服务器后台的数据库,目的就是让大家能够独立完成一台Web服务器环境的搭建,这些都是脚本攻防最基础的知识。有了这个基础大家以后在测试系统安全性的时候就可以在自己的计算机上进行试验。本章介绍ASP、PHP、JSP三种Web服务器环境的搭建。
1.1 WEB服务器简介返回 Web服务器是指驻留于因特网上某种类型计算机的程序。当我们的浏览器(客户端)连到服务器上并请求文件时,服务器将处理该请求并将文件发送到该浏览器上,比如我们在浏览器的地址栏内输入http://www.google.com后就会返回Google的页面。服务器使用一个叫做HTTP(超文本传输协议)的协议进行信息交流,这就是人们常把它们称为HTTP服务器的原因。 Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。例如,Google提供了一个发送新闻的功能,我们只要填入邮件地址以及一些新闻的关键字,点击提交之后,以后只有有新闻出现了我们提交的关键字,那么Google就会把这个新闻发送到我们的邮箱里去。 Web服务器可驻留于各种类型的计算机,从我们自己用的PC机到巨型的UNIX网络服务器,以及其他各种类型的计算机。目前Web服务器主要有以下两种形式存在于网络上。 (1)、 虚拟主机 虚拟主机是使用特殊的软硬件技术,把一台计算机主机分成一台台"虚拟"的主机,每一台虚拟主机都具有独立的域名和IP地址(或共享的IP地址),具有完整的因特网服务器功能。虚拟主机之间完全独立,在外界看来,每一台虚拟主机和一台独立的主机完全一样,用户可以利用它来建立完全属于自己的WWW、FTP和E-mail服务器。也就是说一台服务器上会同时运行着很多的网站。 虚拟主机技术的出现,是对因特网技术的重大贡献,是广大因特网用户的福音。由于多台虚拟主机共享一台真实主机的资源,每个用户承受的硬件费用、网络维护费用、通讯线路费用均大幅度降低,使因特网真正成为人人用得起的网络。现在,几乎所有的美国公司(包括一些家庭)均在网络上设立了自己的Web服务器。 虚拟主机服务提供者的服务器硬件构成的性能比较高,通讯线路也比较通畅,可以达到非常高的数据传输速度(可达45Mb/s),为用户提供了一个良好的外部环境;用户还不用负责机器硬件的维护、软件设置、网络监控、文件备份等工作。因而也就不需要为这些工作头痛和花钱了。目前国内很多ISP(互联网服务提供商)机构也提供这样的服务,比如电信。 (2)、服务器托管 服务器托管即租用ISP机架位置,建立企业Web服务系统。企业主机放置在ISP机房内,由ISP分配IP地址,提供必要的维护工作,由企业自己进行主机内部的系统维护及数据的更新。这种方式特别适用于有大量数据需要通过因特网进行传递,以及有大量信息需要发布的单位。 1.2 ASP服务器的搭建返回 ASP是一种服务端脚本语言,它是微软推出的一种用来取代CGI的技术。简单的说,ASP是位于服务器端的脚本运行环境,通过这种环境,我们可以创建和运行动态的、交互式的Web应用程序。在我们浏览网页的时候如果发现URL地址中含有asp结尾的文件的话,如http://www.xxx.com/article.asp?id=12。那么这个网站就是一个ASP构建的网站,下面我就教大家如何搭建一个ASP环境的服务器。Windows操作系统上提供的IIS服务器就是构建ASP环境的最好服务器,安装好了IIS后,就是要装服务器的后台数据库,毕竟服务器要进行数据的交互,这就少不了数据库。一般在ASP环境下最常见的组合是ASP ACCESS和ASP SQL Server两种,所以对于ACCESS和SQL Server这两种数据库我都会教大家如何安装。最后通过搭建一个ASP环境来作为实践的过程。 1.2.1 IIS的安装返回 IIS是一款功能非常强大的Web服务器,目前IIS已经发展到了6.0的版本,默认安装在Windows 2003操作系统中;而Windows XP/Windows 2000目前默认安装的是5.0的版本。因为考虑大家使用的操作系统目前大部分是Windows XP,所以为了和大家保持一致,我这里也用Windows XP来搭建ASP环境,其他的Windows操作系统的配制也差不多。 虽然Windows XP在默认的情况下自带了IIS,但是并没有默认的安装。安装IIS的步骤如下: (1)、首先进入系统的的控制面板,从系统菜单【开始】→【控制面板】,进入控制面板界面,如图1-1所示。 图1-1 控制面板界面 (2)、在图1-1中找到【添加或删除程序】并双击它,弹出添加或删除程序管理界面,如图1-2所示。 图1-2 添加或删除程序面板 (3)、在图1-2中,单击【添加或删除Windwos组件(A)】,弹出如图1-3所示的界面。 图1-3 Windows组件向导 (4)、在图1-3中,大家首先选中第2项,即【Internet信息服务(IIS)】,然后单击【详细信息(D)...】按钮,弹出如图1-4所示的界面。 图1-4 Internet信息服务(IIS)的详细安装列表 (5)、在图1-4中,可以看到IIS包含了很多的内容,但是对于我们搭建ASP环境来说,只要选中【万维网服务】、【Frontpage 2000服务器扩展】、【Internet信息服务管理单元】、【公用文件】就可以了。在默认的情况下,可以单击【确定】按钮,回到图1-3所示的界面。如果这个时候鼠标选中【万维网服务】,可以单击【详细信息(D)...】按钮,查看万维网服务的安装列表,如图1-5所示。因为默认的情况下,图1-5中的选项都会被安装,读者不需要修改,直接单击【确定】按钮就回到了图1-4中。有一点大家也是要知道:IIS是一个综合服务器,它不仅能够安装WWW服务,同时还能够提供FTP服务以及SMTP服务。 图1-5万维网服务安装列表 (6)、在图1-4中单击【下一步】按钮,就进入文件安装拷贝阶段了,如图1-6所示。 图1-6 安装拷贝文件 在文件的复制过程中,系统会提示用户插入Windows XP的安装光盘,我们只需要插入光驱即可,继续安装知道安装直到结束。IIS安装完成的界面如图1-7所示。 图1-7 IIS安装完成 安装完成之后,需要测试一下IIS服务器是否成功。测试的方法很简单,只要打开浏览器,在地址栏中输入“http://localhost”或者“http://127.0.0.1”,如果出现了如图1-8所示的结果,则就表示服务器安装成功。 图1-8 IIS服务器安装成功 安装完成IIS后,并不能够就搭建好了一个ASP环境。我们还要安装ASP环境的后台数据库,对于ASP来说,常见的后台数据库为ACCESS和SQL Server两种。在安装完了数据库之后,我们就要对IIS最一些配置,这样一个完整的ASP环境就搭建好了,可以非常方便的在上面发布网站。 1.2.2 ACCESS数据库的安装返回 一个ASP环境自然少不了后台数据库的支持,如果仅仅只有IIS的话还无法搭建一个ASP环境。目前ASP网站的后台数据库几乎全部是ACCESS或者SQL Server,这里本节及下一节就介绍这两种数据库的安装及基本使用。 Access数据库是目前使用的一个非常广泛的桌面型关系数据库,广泛应用于中小型的管理系统中。Access除了能够做个中编程语言的数据库之外,自己本身也是一种数据库开发工具。 Access数据库是Microsoft公司开发的一套桌面数据库,是微软Office办公套件的重要组成部分。其特点如下: (1)、提供了数据库最常用的功能,使用便捷; (2)、系统资源占用低,不需要数据库服务器的支持; (3)、与Office版本软件紧密集成,便于将数据库迁移到SQL Server上。 不过其缺点是无法支持较大的数据量,不支持数据库高级特性,如并发访问、事务处理等等。但由于它的快速灵巧,小型的网站多数采用它来后台数据库。 Access经过了若干年的发展,已经换了多个版本了。从Access 97开始就基本成为了一个比较成熟的版本了。这里给安装的是Access 2003版本,在安装之前肯定是找一个Access的安装盘了,不过单独的Access安装盘基本上没有。Access通常是是和Office一起发行的,所以我这里安装的就是Office 2003光盘。如果没有光盘的话,可以到网上去下载Office的压缩包到本地计算机中,然后在安装,结果都是一样。 将Office 2003放入到光驱中,一般会自动播放或者直接进入安装盘目录,双击安装文件“SETUP.EXE”,进入安装界面,如图1-9所示。 图1-9 Oiffice 2003的启动安装界面 启动安装向导后,就会进入安装界面,不过在安装之前要求我们输入验证码,在光盘的下有一个CD-KEY.TXT的文件,把它复制到上面去就可以了,如图1-10所示。 图1-10 输入Office 安装时的注册码 单击“下一步”就进入了图1-11所示的界面,我们在里面输入一些相关信息就可以,输入什么由自己决定。 图1-11 输入用户的安装信息 单击“下一步”就进入了如图1-12所示的界面,在图中只需选中“我接受”这个复选框就可以进入下一步操作。 图1-12 最终用户许可协议 进入到1-13中就要求我们按照哪一种安装类型和安装路径进行设置了,安装类型我们选择“自定义安装”,安装位置就按照默认即可,单击进入下一步。 图1-13 设定安装类型及路径 因为采用的是自定义安装,所以我们要选择安装哪些软件,这里是安装Access,所以这个一定要选上,至于其他的就看个人喜好,如图1-14所示。 图1-14 自定义安装 进入下一步就可看到软件安装的大致情况,如图1-15所示。 图1-15 安装摘要 在单击“安装”按钮就进入了安装阶段了,并显示安装进度,如图1-16所示。 图1-16 安装进度 安装结束后,出现如图1-17所示的界面。我们可以选择“删除安装文件”,重新启动后,Access数据库就算安装完了。 图1-17 Access数据库安装完成 这样对于使用Access最为后台数据库就可以顺利在本地发布了。 1.2.3 SQL Server数据库的安装返回 SQL Server 是一个关系数据库管理系统,是Microsoft推出新一代数据管理与分析软件。SQL Server 是一个全面的、集成的、端到端的数据解决方案,它为企业中的用户提供了一个安全、可靠和高效的平台用于企业数据管理和商业智能应用,所以它适合大型一些的网站所使用。目前微软已经推出了SQL Server 2005数据库,不过目前大部分网站依然采用SQL Server 2000版本,为了符合实际情况,这里我也选用SQL Server 2000来介绍安装。 SQL Server的安装及使用要比Access复杂的多。SQL Server 2000也有好几个版本,如企业版、标准版、个人版及开发者版。同时在安装SQL Server 2000后我们可以进行数据库的开发工作,所以就介绍开发版的安装。其他的版本安装过程都差不多。 准备好了SQL Server 2000安装盘后,放入光驱然后进入目录。双击“SETUP.EXE”文件,进入安装界面,如图1-18所示。 图1-18 SQL Server 2000安装界面 因为采用开发版所以我们点击进去就可以进入SQL Server 2000的安装向导了,如图1-19所示。 图1-19 SQL Server安装向导 点击“下一步”就要选择安装的计算机了,因为我们是安装在本地计算机中,所以选择“本地计算机”,如图1-20所示。 图1-20 选择数据库安装的计算机 单击“下一步”就进入图1-21所示的界面,它我们选择创建一个新的SQL Server实例,默认的选项,而“高级选项”则是设定安装程序,使得在无人的情况下也能够安装。但不鼓励,这里不改变选择。 图1-21 选择SQL Server示例 单击“下一步”就要求输入用户的一些基本信息,按照提示输入一些信息就可以了,如图1-22所示。之后进入“软件许可协议”,选择“是”就进入下一步。 图1-22 输入用户信息 在同意软件许可协议后,就要选择数据库的安装方式,因为要进行开发,所以选择第二项“服务器和客户端工具”,如图1-23所示。 图1-24 安装定义 点击“下一步”进入下一个安装界面,如图1-25所示。它要求用户选择创建的数据库实例名,选择默认值即可。 图1-25 创建SQL Server的实例名 单击“下一步”进入用户选择安装类型,一般只需要选择“典型”安装,然后选择安装的路径,为了管理方便,可以将两个路径设置相同。这里设定的路径为“C:Program FilesMicrosoft SQL Server”,如图1-26所示。点击“下一步”进入“服务账户”界面,如图1-27所示。 图1-26 安装类型 图1-27 服务账户 服务账户主要是让用户选择登陆数据库的账户的设置,如果有域管理,则可以使用“使用域用户账户”,这里我们选择“使用本地系统账户”就可以了。点击“下一步”就进入“身份验证模式”对话框,如图1-28所示。 图1-28 身份验证模式 身份验证模式一般有两种,一种是仅仅依靠Windows系统的身份验证模式,另外一种是混合模式,即Windows身份验证和混合模式,可以在下面的文本中输入密码,如果不想输入密码则可以把下面的“空密码”复选框选上。不过这里我强烈建议大家采用混合模式,而且一定要输入密码,千万不要选上“空密码”复选框。有过入侵经验的朋友应该知道,有一些网站的SQL Server数据库就是空密码,那么这就相当于想我们打开了入侵大门,不用费什么劲就控制了数据库服务器。 设置好了身份验证模式后,点击“下一步”就可以进行数据库安装了如图1-29所示。 图1-29 开始安装数据库 点击“下一步”按钮就开始复制文件,如图1-30所示。安装完毕后,显示出安装完毕对话框,如图1-31所示。 图1-30 复制文件 图1-31 安装完毕 这样,SQL Server就安装完毕了。不过,要使用SQL Server之前必须启动它。启动的方式很多,最简单就是进入【开始】→【所有程序】→【Microsoft Sql Server】,单击“服务器管理器”程序,如图1-32所示。 图1-32服务器管理器 如果要启动服务,只需要单击“开始/继续”就可以了。启动以后,就可以看到一个带有绿色箭头的小图标出现在任务栏右侧的系统托盘处,如果为红色,则表示启动失败,通常安装正常,则不会出什么问题。 1.2.4 ASP环境的测试返回 把IIS和数据库安装好了之后,就是要对IIS进行配置,配置后即可发布ASP网站。要配置IIS,首先要进入IIS管理器,同安装IIS一样,首先进入【控制面板】,找到【管理工具】,双击打开它,如图1-33所示。 图1-33 进入管理工具 要进行IIS的配置,可以按照下面的步骤来:双击【Internet信息服务】,进入如图1-34所示的IIS管理器。 图1-34 IIS管理器 在图1-34中,可以看到左边的属性区域是IIS提供的服务,右边视图栏显示的是具体信息。由于ASP是属于WWW服务,所以只要关心树型结构中的【网站】就可以了。要进行IIS的配置,可以通过IIS管理器的菜单栏来进行,也可以通过弹出式菜单来管理。 注意:在IIS提供服务的时候,首先要启动网站服务,则要选中【默认网站】,然后通过工具栏上面的黑色三角形按钮来启动该服务。启动后,黑色三角按钮失效,此时可以通过“■”按钮来停止服务或者通过“‖”按钮暂停服务。 我们在“默认网站”上单击右键,选择属性选项。这样就弹出了如图1-35所示的属性对话框。在属性设置对话框中,可以看到很多属性页,如【网站】、【ISAPI筛选器】、【主目录】、【目录】、【文档】、【目录安全性】、【HTTP头】、【自定义错误】,下面介绍其中重要的属性页。 图1-35 属性页 在网站属性页中,最主要的设置是TCP端口的设定。对于WWW协议而言,默认端口是80。通常,我们在访问为80端口的Web服务器的时候,只需要输入IP地址或者域名即可。例如访问“http://www.google.com/”。而如果对方设置的是8080端口的话,则必须采用“http://www.google.com:8080”。这里我们不需要设置任何东西,默认即可。 接下来就是要学习主目录属性页的内容,在图1-35中,选择主目录就进入了,如图1-36所示。在主目录属性页中,最主要是树型是本地路径的位置,通过改变主目录,可以让网络服务器对应不同的网站内容。如果主目录设置成“D:asp”,另外一个路径设置为“E:Script”。如果主目录设置成“D:asp”,在浏览器中输入http://localhost/index.asp,则访问的是“D:aspindex.asp”。而如果将主目录设置成“E:Script”,同样在浏览器中输入http://localhost/index.asp,则访问的是“E:Scriptindex.asp”文件。这里我们也不需要进行设置,默认即可。 图1-36 主目录 另外,在主目录属性页中,还可以进行客户端的访问权限的设置,为了保证网站的安全性,在默认情况下,只要选择“读取”、“记录访问”以及“索引资源”就可以了。 在图1-36中,单击“配置”按钮,就可以进行更多的设置,如图1-37所示。 图1-37 应用程序配置 在图1-37中,有三个属性设置页,其中选项和调试很重要。在图1-37中,“启动会话状态”表示一个客户如果在设定的期限内没有活动,则服务器自动放弃保存在客户端的信息以及相关信息,默认为20分钟。 “启用缓冲”必须选上,因为在ASP编程中,很多时候需要利用缓冲输出数据。“启用父路径”路径必须选上,因为在进行网页链接设计的时候,经常需要使用相对路径来表示,如果不选上,则不能访问父路径。 “默认语言”表示在进行ASP编程的时候,默认的脚本语言是VBScript。不过在进行ASP开发时,通常还会使用Javascript,所以只需要在VBScript后添加;JavaScript即可。 选择“调试”属性页,如图1-38所示。 图1-38 调试属性页 在图1-38中需要注意的是,要注意选择“启动ASP服务器脚本调试”和“启动ASP客户端脚本调试”两个选项,这样,在ASP开发的过程中,如果程序有错误,会直接在浏览器中显示错误的地方以及错误的原因,给开发者带来很多方便。 我们在返回到前面的文档属性页,在该属性页中,主要是默认的网页后缀,如图1-39所示。这里我们要自己添加一些后缀,如index.asp,点击“添加”按钮就可以添加后缀了,如图1-40所示。 图1-39 文档属性页 图1-40 添加默认文档 所谓默认文档,就是在输入一个IP或者网址后,不需要输入具体的访问文件名。例如图1-40中添加的index.asp,同时在主目录下也有一个index.asp文件。则我们只需要输入http://localhost/就可以直接访问index.asp文件了。 在默认的情况下,IIS的Web目录是在wwwroot文件夹下,所以如果我们要发布网站,只需要把系统复制到该文件夹下就可以了。不过更多时候我们是使用虚拟目录来发布网站。 在介绍虚拟目录之前,先要明白一个概念,那就是访问ASP文件的时候不能使用物理路径,而必须使用虚拟路径。 如在主目录“C:Inetpubwwwroot”下面有一个文件hello.asp和另一个文件hello.html,如果要访问hello.asp,则必须在浏览器中输入http://localhost/hello.asp;而如果输入C:Inetpubwwwroothello.asp,则不能够得到所要的结果。而如果要访问hello.html,则使用http://localhost/hello.html和C:Inetpubwwwroothello.html的效果是一样的。 还有就是在很多情况下,一台机器上可能在不同的路径下都有ASP网页,但又不可能都集中在主目录(C:Inetpubwwwroot)下,此时,为了都能够通过浏览器访问每一个ASP页面,就需要通过建立虚拟目录来解决这个问题。 创建虚拟目录也很简单,单击“默认网站”右键,选择“新建”然后就可以看到“虚拟目录”,点击进去就弹出了创建虚拟目录的对话框,如图1-41所示。 图1-41 创建虚拟目录向导 单击“下一步”就进入了图1-42所示的界面,在别名文本框中输入自己所要的别名,例如Script。 图1-42 输入别名 点击“下一步”就进入了图1-43所示的界面,通过“浏览”按钮就可以选择需要的虚拟目录的路径了。也就是可以通过浏览器访问的文件路径,例如这里我输入H:Script。 图1-43 输入虚拟目录的路径 单击“下一步”按钮,弹出图1-44所示的结果,在图中,我们可以设定目录的访问权限,通常只要选择头两项“读取”和“运行脚本(ASP)”即可。 图1-44 设置访问权限 在单击“下一步”就完成了对虚拟目录的安装了,创建完了目录之后,可以在IIS的管理器中看到刚刚创建的虚拟目录,如图1-45所示。 图1-45 创建的Script虚拟目录 比如我们刚才前面的hello.asp文件,我们把他放入到H:Script目录下,然后在浏览器中输入http://localhost/Script/hello.asp就可以访问该文件了。 在IIS中不仅可以在C:Inetpubwwwroot下发布网站,还可以通过创建虚拟目录来创建网站。上面都是在理论上的介绍,没有接触实际的网站搭建,所以下面我就用搭建动网论坛来介绍实际的网站搭建。 首先去动网的官方网站上下载动网论坛(http://down.dvbbs.net),我所搭建的是dvbbs 7.1.0版本的。下载之后,将被解压的文件夹重新命名为Dvbss。将其复制到C:Inetpubwwwroot文件夹下,或者也可以通过虚拟路径来创建一个目录。 我们直接在浏览器中输入http://localhost/Dvbbs/index.asp就可以访问动网论坛了,如图1-46所示。在进入动网论坛的后台管理看看,如图1-47所示。 图1-46 成功安装动网论坛 图1-47 进入动网论坛管理后台 也许会有人会问,这样就把论坛搭建好了。是的,就搭建好了。可能还会有人会问怎么没有用到数据库啊?其实是用到了,动网论坛后台自然有数据库,不过这个系统与后台数据库的通信都已经在动网论坛的代码中配置好了,直接使用即可。如果还不相信的话,可以不安装数据库,就直接安装IIS看看,保证系统运行不了。 其他的ASP系统的搭建过程也差不多,而且每一个系统都会有安装提示,只需要按照安装提示进行就可以顺利把系统搭建好。有了这个平台,在以后分析ASP系统中的漏洞就方便多。 1.3 PHP服务器的搭建返回 这一节为大家讲述PHP环境的搭建,采用的是windows Apache Php Mysql的组合。因为搭建PHP环境的软件的版本较多,所以这里我就列举出本节中所使用的软件的版本: 操作系统:Windows XP Sp2 PHP: php-5.2.1-win32-installer.msi MySQL:mysql-5.0.27-win32.zip Apache:apache_2.0.59-win32-x86-no_ssl.msi 下面就采用图文并茂的方式详细介绍PHP环境的搭建。 1.3.1 Apache的安装返回 Apache是一种开放源码的HTTP服务器,可以在大多数计算机操作系统中运行,由于其可用于多个操作系统平台和强大的安全性被广泛使用,是最流行的Web服务器端软件之一。 Apache 起初是由Illinois大学的Urbana-Champaign 国家高级计算程序中心开发。此后,Apache 被开放源代码团体的成员不断的发展和加强。Apache服务器拥有牢靠可信的美誉,已用在超过半数的因特网站中-特别是几乎所有最热门和访问量最大的网站。Apache一直是Internet上最流行的HTTP服务器: 1999年5月它在 57% 的网页服务器上运行;到了2005年7月这个比例上升到了69%。 这里我采用的是Apache的2.0.59版本来向大家介绍它的安装。Apache的windows版本我们可以从其官方网站http://httpd.apache.org/上下载,这里我们选择Apache 2.0.59 Released,如图1-48所示。 图1-48选择所要下载的版本 点击“Download”按钮后,就可以进入下载页面了。不过依然会有很多选项,我们也知道Apache是可以运行在多个操作系统上的,所以有几个也不足为怪了,我们只需要选择Windows下的就可以了,如图1-49所示。 图1-49 选择我们要下载的Apache 下载到本地计算机后,就可以开始安装了,双击它就进入了安装阶段了,如图1-50所示。 图1-50 Apache的安装界面 我们一路点击“Next”按钮下去就可以安装了,不过中间会要求我们填写一些信息。我们在上面两项都填上“localhost”,在最下面的填上你自己的邮件地址就可以了,如图1-51所示。同时最下面还有两个选项,即Web服务器的默认端口,一个是80,另一个是8080,这里我们选择默认就可以,即80端口,最后点击“Next”继续安装。 图1-51 对服务器的网络进行设置 继续安装,会碰到要求我们选择的安装的类型(setup type )。我们选择默认就可以了,即按典型方式(typical)安装,如图1-52所示。 图1-52 选择安装类型 点击“Next”后进入选择安装目录,我们通过点击“Change..”按钮改变Apache服务器的安装目录,根据个人的喜好来决定了,不过这里我们按默认的路径安装,如图1-53所示。 图1-53 选择Apache的安装目录 设置完了这一项后,就可以进行安装了,点击“Install”按钮就可以安装。在安装的过程中会出现两个DOS窗口弹出,这是正常情况。完了之后,我们点击“Finish”按钮完成对Apache服务器的安装,如图1-54所示。 图1-54 Apache完成安装 完成Apache服务器的安装之后,Apache将自动配置Windows系统下的一项系统服务并立刻启动运行。我们可以在windows的任务条的右边见到一个鸡毛的小图标,如果Apache是处于运行状态,则可以看见中间有一个绿色的小箭头。单击它我们可以停止、开启、重启Apache服务器,如图1-55所示。 图1-55 Apache的标志 还可以通过开始菜单命令进入【所有程序】→【Apache HTTP Server 2.0.59】→【Control Apache Server】中,也可以对Apache进行停止、开启、重启操作。还可以执行菜单命令【所有程序】→【Apache HTTP Server 2.0.59】→【Configure Apache Server】→【Edit HTTPD.CONF】来打开Apache服务器的配置文件,里面显示着Apache的配置情况。 作为判断Apache是不是真的运行在了我们本地机器上,只需要在浏览器中输入http://localhost/,显示如图1-56所示的界面就代表着Apache已经被成功的安装了。 图1-56 Apache服务器被成功安装 1.3.2 MySQL数据库的安装返回 我们要搭建一个服务器肯定是少不了数据库的支持了,而对于PHP环境下,Mysql是最好的选择。以下就是安装Mysql的5.0.27版本的过程,当然是windows环境下的5.0.27版本。进入http://dev.mysql.com/downloads/mysql/5.0中就可以下载到我们所需要的Mysql的版本了。 现在开始安装Mysql数据库,双击我们就可以进入它的安装界面了,如图1-57所示。 图1-57 Mysql的安装界面 点击“Next”后就进入了Mysql的安装类型,它提供了了三种选择:Typical(典型安装)、Complete(完全安装)、Custom(自定义安装)。因为是初次使用,选择Typical就可以了,即默认安装,如图1-58 所示。 图1-58 选择安装类型 在点击“Next”按钮就进入Mysql登陆的选项了,默认情况下是“Create a new free MySQL.com account”,不过我们并不需要,所以选择“Skip Sign-Up”,即跳过登陆,如图1-59所示。 图1-59 跳过登陆 选完了这个选项后,Mysql就开始安装了,安装完成之后会问是否要求现在配置Mysql数据库,默认情况下是现在就配置,如图1-60所示。 图1-60 是否当前配置Mysql数据库 这里按照默认选择,即当前配置数据库。单击“Finish”按钮后就进入了配置页面了,如图1-61所示。 图1-61 Mysql配置页面 单击“Next”就进入了配置Mysql的场合了,有两个选项:Detailed Configuration(详细配置)、Standard Configuration(标准配置),这里选择Detailed Configuration,如图1-62所示,用以介绍如何配置Mysql数据库。 图1-62 选择数据库配置类型 点击“Next”后就要求选择服务器的类型,如图1-63所示。这里有Developer、Server和Dedicated Server三种选择。它们决定着Mysql服务器将试图保存多少主内存。内存越大,服务器的速度也就越快,但对于其他程序影响也比较大。默认选项是Developer,这里我们也就就这样设置。 图1-63 选择服务器类型 选完了之后,点击“Next”后就要设置当前数据库的用途了。我们选择默认就可以了,之后还有很多设置我们都选默认,一路点击“Next”就可以了。不过到了一个地方就要求我们设置当前数据库的密码,如果不设置就安装不了。这里按照个人的习惯设定一个密码就可以了,如图1-64所示。 图1-64 设置数据库密码 设置完密码后,进入下一步就是执行我们对Mysql所做的设置,我们点击“Execute”就可以了,如图1-65所示。 图1-65 执行我们对Mysql所做的设置 如果设置执行成功的话,那么在图1-66中的四个选项前都会有一个符号√,如图1-66所示。而如果安装失败的话,则在前面将显示符号×。 图1-66 设置被成功执行 最后,我们可以选择菜单【开始】→【所有程序】→【MySQL】→【MySQL Server 5.0】→【MySQL Command Line Client】进入Mysql数据库的命令控制台。因为我们刚才在设置的时候已经对其设置了密码,所以一进入就要求输入密码,如图1-67。设置密码之后,就进入了命令控制台了,如图1-68所示。 图1-67 要求输入密码 图1-68 进入Mysql的控制台客户端 这样,我们的MySQL数据库也安装完成了,接着来介绍PHP的安装。 1.3.3 PHP的安装返回 PHP的作用是用来解释服务端的PHP语言用的,利用它可以将PHP代码解释之后返回到客户端中去。这里介绍的PHP安装过程中使用的是windows下的5.2.1版本。可以到PHP的官方网站http://www.php.net/downloads.php中去下载,如图1-69所示。 图1-69 PHP 5.2.1版本下载页面 我们单击“PHP 5.2.1 installer”就可以进入改版本的下载页面了,如图1-70所示。点击“cn.php.net”或者“cn2.php.net”就可以下载。 图1-70 PHP下载地址 下载到本地计算机后,双击就进入了安装界面,如图1-71所示。 图1-71 PHP的安装界面 一直点击“Next”就是了,期间要求我们改变PHP的安装路径,使用默认路径C:Program FilesPHP就可以了。最后就要求我们选择当前Web服务器的类型,因为安装的是Apache的2.0.59,所以这里一定要选择Apache 2.0.X Modul,如图1-72所示。 图1-72 选择服务器类型及版本 选完后,进入下一步,这步也是非常关键。它要求我们选择Apache的配置选项的目录。前面我们的Apache是默认安装的,故它的路径为C:Program FilesApache GroupApache2。所以这里要通过按钮“Browse..”选择该路径,如图1-73所示。 图1-73 Apache的配置选项的目录 之后有是点击“Next”,然后点击“Install”进行安装。当快安装完的时候,会问是否对Apache进行配置,我们点击“是”就可以自动对服务器进行配置,如图1-74所示,最后就完成了PHP的安装了,如图1-75所示。 图1-74 是否想对Apache进行配置 图1-75 PHP安装完成 1.3.4 PHP环境的测试返回 上面三个小节分别介绍了Apache、MySQL及PHP的安装,不过光会安装这些软件仍然不能够搭建一个PHP环境,还必须要对其进行设置。我们先进入PHP下的安装目录,把文件php.ini-dist复制到php.ini-dist复制到C:windows下并将其改名为php.ini。 复制到C:windows后,要对php.ini文件中的一些选项进行设置: 在文件php.ini中查找到Data Handling后,在其下面找到post_max_size = 8M 这是PHP将接受的POST数据最大大小,可更改为20M,如图1-76所示。 图1-76 将PHP接收的数据改为20M 在File Uploads下找到upload_max_filesize = 2M,允许上传的的最大文件大小 可更改为20M。 这样就把php.ini文件给设置完了,如果我们在前面安装PHP的时候没有选择对Apache服务器进行配置的话,那么接下来就要对其进行配制了。该文件在C:Program FilesApache GroupApache2conf下,我们打开这个文件后,在文件中添加以下代码: LoadModule php5_module "C:/Program Files/PHP/php5apache2.dll" AddType application/x-httpd-php.php PHPIniDir "C:/Program Files/PHP/" 如果在安装PHP的时候对Apache服务器进行配置了的话(默认情况下是配置),那么我们就不用设置了。在Apache服务器的目录中,文件夹htdocs是用来发布网页的,即我们把网页放到那个目录下就可以在浏览器中浏览了。 在文件夹htdocs建立一个文件,把它命名为test.php。它里面就写<?php phpinfo(); ?>这一行代码。其中phpinfo是PHP下的一个函数,它用来获取PHP环境的各种参数和变量。 这样我们就可以在浏览器中输入http://localhost/test.php就可以看到PHP的各种内容了。 不过在输入http://localhost/test.php之前,大家一定要注意,要重启Apache服务器。这是因为只要对php.ini或httpd.conf文件进行了修改,就要重启Apache服务器。 我们用web浏览器打开http://localhost/test.php页面,如果一切顺利,就可以看到如图1-77所示的页面了。 图1-77 PHP环境的一些配置信息 这个时候,我们离PHP完全安装完就一步之差了。我们都知道网站是少不了后台数据库的支持,所以在安装完数据库之后。必须设定一些变量及参数,似的PHP能够访问Mysql数据库,从而实现对数据库的通信。 首先将C:Program FilesPHP下的libmysql.dll的文件,及ext子文件夹下的php_mysql.dll和php_mysqli.dll文件复制到C:Windowssystem32下面去。 不过有一件很奇怪的事,我在安装完了php-5.2.1-win32-installer.msi后,并未找到libmysql.dll、php_mysql.dll及php_mysqli.dll这三个文件。后来我又到下载php-5.1.6-Win32.zip,把它解压后将这三个文件复制到C:Windowssystem32中去。如果在搭建服务器的过程也也出现了这个情况,则可以使用此方法来弥补。 复制完成之后,我们必须将php.ini中extension=php_mysql.dll和extension=php_mysqli.dll的两个选项前的分号给去掉,这样才能够支持Mysql数据库,如图1-78所示。 图1-78 设置mysql的变量 我们重启动一下Apache,然后打开http://localhost/test.php页面,在该页面的下方可以看到对mysql和mysqli接口参数的描述,如图1-79所示。 图1-79 后台数据库已经配置好 这样,我们一个完整的PHP环境就搭建完成了。要在该环境下搭建环境就非常的方便了。比如我们要搭建著名的PHPWind论坛,首先我们将PHPWind系统下的文件夹放入到C:Program FilesApache GroupApache2htdocs下。 然后输入http://localhost/upload/install.php就进入了PHPWind论坛的安装界面,如图1-80所示。 图1-80 PHPWind论坛安装界面 点击下方的“同意”按钮就进入PHPWind论坛的设置数据库资料与管理员账号了,如图1-81所示。其中数据库密码就是我们安装Mysql数据库的时候的密码,而创始人资料中要输入的密码则是论坛后台管理员的密码。我们这两个参数输入之后,就点击“开始安装”论坛。 图1-81 设置数据库资料与管理员账号 完成之后,我们的数据库就完成安装,同时我们的论坛也安装完成了,如图1-82所示。 图1-82 论坛安装完成 其中论坛的URL为http://localhost/upload。首页则为http://localhost/upload/index.php我们打开来看看,就见到了论坛的首页了,如图1-83所示。 图1-83 论坛安装成功 这样,我们在搭建好了的PHP环境中轻松的发布了PHPWind论坛。其他的PHP系统的安装也大多数是如此,这样以后大家在分析PHP系统的过程中就可以自己搭建一个本地平台来测试其安全性了。 1.4、 JSP服务器的搭建返回 我们要分析JSP程序中存在的安全问题,自然离不开服务器的测试了。所以本节将引导你一步一步搭建一个JSP运行的基本环境。目前JSP环境应用最多的是利用JDK和Tomcat来搭建,所以本节就这种搭配来完成JSP环境的搭建。学完本节后你将可以手动安装与配置JDK 1.5 Tomcat5.0这类基本的环境。 下面JDK 1.5及Tomcat 5.0为例来讲述JSP的Web应用环境的搭建。我所的操作系统为Windows XP SP2,windows操作系统的其他版本的安装过程也差不多。 1.4.1 JDK的安装与配置返回 在安装Tomcat之前,必须先要安装JDK。如果没有JDK的话,可以到SUN的官方网站http://www.sun.com/download/上免费下载,如图1-84所示。 图1-84 SUN公司官方网站上的下载页面 我们进入http://www.sun.com/download/页面之后,单击“SDKs(Software Development Kits)”链接进入JDK的下载页面。我们选择Java 2 Platform Standard Edition(J2SE) for windows,单击右边的“download”按钮即可下载,如图1-85所示。 图1-85 JDK下载页面 下载到了我们本地计算机之后就可以安装了。单击这个文件我们就可以进入安装界面了,如图1-86所示。 图1-86 J2SDK的安装界面 接下来就是要选择安装在机器硬盘中的目录,单击“Change…”按钮就可以改变安装目录,这里我们不需要更改目录,用默认的安装路径即可。当我们单击“安装”按钮后,会显示“下一步”按钮,当安装完成之后,就会显示如图1-87所示的对话框,单击“完成”按钮就可以结束JDK的安装了。 图1-87 JDK完成安装 这样JDK就算是安装完成了,不过对JDK有很多要设置的地方,在后面会详细讲解。 1.4.2 Tomcat的安装返回 Tomcat是一个免费的开源的Serlvet容器,它是Apache基金会的Jakarta项目中的一个核心项目,由Apache,Sun和其它一些公司及个人共同开发而成。由于有了Sun的参与和支持,最新的Servlet和Jsp规范总能在Tomcat中得到体现。 Tomcat受到很多人的欢迎,因为它运行时占用的资源非常少、扩展性好、支持负载均衡与邮件服务等开发应用系统常用的功能,而且它还在不断的改进和完善中。 我们可以从http://tomcat.apache.org/上来下载各个Tomcat的版本,如图1-88所示。这里我下载的是Tomcat 5.x版本,单击进入http://tomcat.apache.org/download-55.cgi,我们选择5.0.28下的Windows Service Installer (pgp, md5)下载就可以了,如图1-89所示。 图1-88 Tomcat的各个版本的下载页面 图1-89 下载Tomcat服务器 下载到了本地计算机后,在安装之前,我们先在C盘的根目录下下建立一个Tomcat 5.0的文件夹,然后我们开始安装Tomcat服务器,双击Tomcat后就出现了如图1-90所示的界面。 图1-90 Tomcat的安装界面 我们一路点击“Next”按钮即可安装了,不过有一个地方要我们选择安装类型,我们选择“Normal”就可以了,即默认选项,如图1-91所示。 图1-91 选择安装类型 选完之后,我们一路点击“Next”按钮,最后到了我们选择服务器的安装路径了。还记得前面我们在C盘根目录下建立的那个Tomcat 5.0的文件夹吗?我们就选它作为Tomcat服务器的安装文件夹,点击“Browse”按钮选择“C:Tomcat 5.0”,如图1-92所示。 图1-92 选择服务器所要安装的路径 选完之后,我们点击“Next”按钮到了设置Tomcat服务器的页面了,如图1-93所示。在这里我们需要设置服务器的默认端口,默认情况下是8080,你可以把它改为80,这里我们就不改了,默认它为8080。还有就是当前管理员的账号和密码,默认情况下账号为user,而密码则由我们自己设定。所以这里我们只需要设置一个密码就可以了,然后点击“Next”。 图1-93 对服务器的一些选项进行设定 在设定完了选项之后,点击“Next”就进入了Java虚拟机的路径设置了,即JDK的安装路径,如图1-94所示。这里我们不用设定,只需要按照默认路径即可。这也是为什么我们要先装JDK的原因了,因为Tomcat在安装的时候必须要有Java虚拟机的存在,否则安装会失败。 图1-94 选择Java虚拟机的路径 选择完了之后,我们点击“Install”按钮就可以真正安装服务器了,安装的时候我们不需要做任何事情,当安装了完了之后,我们就要设置一些选项了,如图1-95所示。不过默认情况下,这两个选项都是被选择上的,我们按照默认就可以了,不需要修改,我们只需要点击“Finish”按钮就可以完成对Tomcat服务器的安装了。 图1-95 Tomcat服务器安装完成 1.4.3 环境变量的设置及JSP环境的测试返回 现在,我们已经把JSP环境搭建所用到的两个软件都安装完了。不过这个时候仍然不可以使用,必须要设定一些环境变量之后才能够使用JSP环境。下面就为大家介绍,一定要认真仔细,有一点点地方出差错了,JSP环境就搭建不成功。 1.4.4 JSP环境的测试返回 这个时候,我们就把JSP服务器给搭建完了,现在就需要测试服务器是否安装成功了。不过在测试之前,必须要开启服务器。我们先进入Tomcat服务器的文件夹,在进入“bin”子文件夹,然后找到“startup.bat”,双击运行就可以启动Tomcat服务器了 总结: 本章详细的为大家介绍了ASP、PHP、JSP这三种环境的搭建,并给出了一个发布网站的例子。学会了这个为以后分析系统漏洞的过程中有很大的帮助,因为很多系统在分析过程中要不断的测试。虽然很多系统网上也有网站使用,不过却有很多限制条件,比如进不了后台等等情况。而在本地搭建的网站,可以任意的被分析,包括后台等任意地方。这为分析脚本程序漏洞提供了一个平台上的基础,本章比较重要,如果有什么不懂的地方,可以多看几遍书,或者到网上去查资料。 虽然这里已经搭建好了ASP、PHP、JSP的环境,但是如果要把网站发布到网上去的。仅仅搭建好了还是远远不够,还有很多地方要配置。主要是两个目的:一是为了性能,二是为了安全。一个好的配置可以使网站的性能和安全性得到非常的提高。因为我们这里是为了分析系统代码漏洞,所以没有对服务器的性能和安全考虑的太多,所以对于服务器的其他配置并未深入介绍。如果对服务器配置方面感兴趣,可以参考http://www.qqread.com/z/server/seting/index.html中对服务器配置的文章,里面的各种服务器都了做了深入的介绍。