《Web滲透測(cè)試與防護(hù)》課程標(biāo)準(zhǔn)課程名稱Web滲透測(cè)試與防護(hù)課程性質(zhì)專業(yè)群核心課課程代碼學(xué)分3學(xué)時(shí)54適用專業(yè)信息安全技術(shù)應(yīng)用、密碼技術(shù)應(yīng)用制定人審核人課程目標(biāo)知識(shí)目標(biāo).了解Web安全漏洞常見類型，掌握HTTP協(xié)議原理；.掌握php基礎(chǔ)語法和結(jié)構(gòu)語句；.掌握SQL注入方式和防范；.掌握反射型和存儲(chǔ)型XSS的工作原理；.掌握CSRF的攻擊與防護(hù)；.掌握命令注入的方式和防范；.熟練常見的文件上傳防護(hù)繞過方式；.掌握文件包含漏洞的利用與防御。能力目標(biāo).能對(duì)Web網(wǎng)站安全現(xiàn)狀進(jìn)行分析；.能安裝DVWA環(huán)境和滲透測(cè)試相關(guān)軟件；.能使用php連接MySql數(shù)據(jù)庫，并對(duì)數(shù)據(jù)進(jìn)行操作；.能利用常規(guī)的安全漏洞進(jìn)行滲透測(cè)試；.能夠進(jìn)行Web安全巡檢、安全防護(hù)；.能根據(jù)具體客戶需求，綜合運(yùn)用所學(xué)專業(yè)知識(shí)熟練完成目標(biāo)測(cè)評(píng)。素質(zhì)目標(biāo).培養(yǎng)學(xué)生團(tuán)隊(duì)協(xié)作精神，樹立誠信意識(shí)，鍛煉學(xué)生溝通交流、提高學(xué)生的語言表達(dá)能力；.提高學(xué)生的動(dòng)手能力，激發(fā)學(xué)生的創(chuàng)新能力、自主學(xué)習(xí)能力和分析問題、解決問題的能力，掌握知識(shí)的貫通與應(yīng)用，并具有一定的知識(shí)遷移能力；.培養(yǎng)學(xué)生知識(shí)分享、互相學(xué)習(xí)的意識(shí)，自我學(xué)習(xí)能力。思政育人目標(biāo).培養(yǎng)學(xué)生潛意識(shí)的安全意識(shí)和行為習(xí)慣，居安思危，不斷反思，增強(qiáng)憂患意識(shí)；.培養(yǎng)學(xué)生對(duì)國家和社會(huì)所負(fù)責(zé)任的認(rèn)知，培養(yǎng)學(xué)生社會(huì)主義核心價(jià)值觀，增強(qiáng)學(xué)生政治認(rèn)同；.正確使用網(wǎng)絡(luò)工具，培養(yǎng)學(xué)生勵(lì)志壯行的道德素養(yǎng)，樹立學(xué)生的法治意識(shí)，培養(yǎng)遵紀(jì)守法的良好習(xí)慣；.基于開源平臺(tái)進(jìn)行創(chuàng)新探索，在實(shí)踐中增強(qiáng)創(chuàng)新意識(shí)，鼓勵(lì)學(xué)生勇于探索、實(shí)踐創(chuàng)新。王要內(nèi)容序號(hào)知識(shí)點(diǎn)建議學(xué)時(shí)1WEB安全基礎(chǔ)22DVWA部署和滲透測(cè)試軟件安裝43PHP基礎(chǔ)語法84SQL注入漏洞與防護(hù)145XSS漏洞與防護(hù)66CSRF漏洞與防護(hù)47命令注入漏洞與防護(hù)48文件上傳漏洞與防護(hù)49文件包含漏洞與防護(hù)410復(fù)習(xí)測(cè)試4合計(jì)54.教學(xué)方式建議本課程采用任務(wù)驅(qū)動(dòng)式的教學(xué)方式，將理論的學(xué)習(xí)融入于任務(wù)完成的過程中，主要目的是增加學(xué)生自主式學(xué)習(xí)的興趣，提高學(xué)生學(xué)習(xí)的熱情，培養(yǎng)學(xué)生工程實(shí)踐能力和自學(xué)能力。本課程的教學(xué)結(jié)合在線開放課程平臺(tái)，采用線上線下相結(jié)合的混合式教學(xué)方式，綜合運(yùn)用現(xiàn)代化信息教學(xué)手段，借助案例，運(yùn)用通俗易懂、簡(jiǎn)潔的語言進(jìn)行講解，讓學(xué)生充分掌握所學(xué)知識(shí)。.教材建議?教材：教

學(xué)

建

議《Web滲透測(cè)試與防護(hù)》虞菊花著，人民郵電出版社，2023年7月。教

學(xué)

建

議?參考教材：《網(wǎng)絡(luò)攻防與實(shí)踐(第2版)》劉坤著，北京理工大學(xué)出版社，2019年11月；《網(wǎng)絡(luò)安全協(xié)議分析》龍翔著，機(jī)械工業(yè)出版社，2019年8月；《數(shù)據(jù)庫安全》虞菊花著，機(jī)械工業(yè)出版社，2020年7月；《滲透測(cè)試常用工具應(yīng)用》李建新著，機(jī)械工業(yè)出版社，2020年8月。.實(shí)訓(xùn)條件建議(1)教學(xué)硬件：機(jī)房、網(wǎng)絡(luò)。(2)教學(xué)軟件：XAMPP、DVWA平臺(tái)、Hbuilder>BurpSuite>Kali、WindowsServer2012>netcat、教學(xué)廣播軟件。(3)教師準(zhǔn)備：教材、教案及課件、素材。.考核方式建議學(xué)生課程成績(jī)?cè)u(píng)價(jià)立足培養(yǎng)高素質(zhì)技術(shù)技能型人才和提升教學(xué)品質(zhì)，加快建立能力和素質(zhì)等多方面結(jié)合的學(xué)生課程成績(jī)綜合評(píng)價(jià)體系，堅(jiān)持形成性評(píng)價(jià)和終結(jié)性評(píng)價(jià)相結(jié)合，突出學(xué)習(xí)、實(shí)踐、科研、創(chuàng)新等多方面素質(zhì)和能力的考評(píng)，逐步形成創(chuàng)新型、應(yīng)用型、復(fù)合型、技能型人才培養(yǎng)的多層次、多元化評(píng)價(jià)方式。該課程的考核改變單一的終結(jié)性評(píng)價(jià)方式，采用態(tài)度性考核、知識(shí)性考核、技能性考核相結(jié)合，與創(chuàng)新性評(píng)價(jià)附件分一并合計(jì)計(jì)算的形成性考核方式。其中態(tài)度性評(píng)價(jià)占20%,知識(shí)性評(píng)價(jià)占40%,技能型評(píng)價(jià)占40%,另外對(duì)于學(xué)生的創(chuàng)新性評(píng)價(jià)，總分不得超過10分。靈活多樣的考核方式可以全面考核學(xué)生的學(xué)習(xí)效果。課程考核方式如表1下所示。表1形成性考核一覽表考核分類考核項(xiàng)目分?jǐn)?shù)比例（%）考核要求考核形式態(tài)度性評(píng)價(jià)平時(shí)表現(xiàn)20采用扣分制，按20分計(jì)。課堂上出現(xiàn)遲到、早退，儀容不整，不帶書本、從事與課堂教學(xué)無關(guān)事項(xiàng)、打瞌睡、不參與團(tuán)組活動(dòng)以及其他學(xué)習(xí)主動(dòng)性明顯不足現(xiàn)象的，每次扣1分；無故曠課、嚴(yán)重影響課堂秩序的，每次扣2分，直至該項(xiàng)成績(jī)扣完。如一課程缺課累計(jì)達(dá)總課時(shí)的三分之一及以上者，依照學(xué)院《學(xué)生學(xué)分制學(xué)籍管理規(guī)定》第十一條，該課程成績(jī)按零分計(jì)，直接重修。平時(shí)檢查知識(shí)性評(píng)價(jià)單元小測(cè)驗(yàn)平均成績(jī)40單元小測(cè)驗(yàn)平均成績(jī)、期末成績(jī)按50:50（百分制）計(jì)入知識(shí)性評(píng)價(jià)成績(jī)。測(cè)驗(yàn)考試期末成績(jī)技能性評(píng)價(jià)1.PHP基礎(chǔ)40對(duì)每次實(shí)踐操作完成情況評(píng)價(jià)，項(xiàng)目1、項(xiàng)目2、項(xiàng)目3、項(xiàng)目4、項(xiàng)目5按20：20：20：20：20（百分制）計(jì)入技能性評(píng)價(jià)成績(jī)。實(shí)踐操作打分2.SQL注入3.XSS4.CSRF和命令注入5.文件上傳和文件包含創(chuàng)新性評(píng)價(jià)附加分對(duì)于取得與本課程知識(shí)、技術(shù)相關(guān)的證書如專利授權(quán)證書、軟件等專業(yè)產(chǎn)品登記證書等，在院級(jí)及以上學(xué)木斗（專業(yè)）相關(guān)的競(jìng)賽獲獎(jiǎng)、市級(jí)以上刊物發(fā)表論文，社會(huì)技術(shù)服務(wù)取得明顯成效，或者在課程學(xué)習(xí)中有突出創(chuàng)新的學(xué)生