Web安全滲透技術與應用課程教案授課基本情況課程名稱Web安全滲透技術與應用選課號授課班級授課教師姓名職稱教學安排教學總周數16理論教學周數16實踐環節周數16講課學時44實驗課（含上機）學時48其他環節1習題課學時2課堂討論學時1總學時96學分6教材使用情況采用教材名稱Web基礎滲透與防護書號出版社名稱電子工業出版社出版（改版）年月教學參考書Web系統安全和滲透性測試基礎，航空工業出版社.2009Web安全測試，清華大學出版社.2010/實驗（課程設計、實訓等）指導書教材內實驗教學目標與教學要求教學目標本課程是計算機網絡技術培養方案中的一門核心課程。計算機網絡技術專業要求培養人能夠掌握Web安全滲透的基本理論和方法，具備常見相關Web安全滲透分析和測試工具的安裝、配置與使用技能，具備Web安全滲透現狀與安全隱患的分析能力，能夠針對不同Web系統特性開展針對性安全滲透部署。本課程是提供Web安全滲透測試、分析的一門專門技術，也是從事計算機網絡安全組建、維護、部署、加固等崗位的關鍵能力之一。教學要求（二）知識目標（1）熟知各種Web服務器類型、各種Web編程語言。（2）熟知Web安全滲透的現狀、主要的Web安全滲透技術；（3）熟知網絡協議體系結構，掌握各種網絡常用命令；（4）熟知小型Web應用安全體系的設計與部署；（5）熟知Web服務器的基本框架結構。（6）熟知各種Web安全滲透測試方法，掌握Web滲透攻擊與防范的實施方法；（7）熟知常見的Web滲透使用工具。（8）熟知Windows和Linux下Web服務器的滲透方法。（9）了解Web安全標準、滲透測試標準、信息安全等級保護及其他標準（三）能力目標（1）能夠掌握最新的Web安全滲透動態，分析Web安全滲透發展現狀；（2）能夠利用Web滲透測試分析工具分析常見Web應用安全隱患；（3）能夠熟練應用常見網絡命令進行Web滲透前期的信息收集和網絡診斷；（4）能夠深入理解安全口令、SQL注入、跨站腳本攻擊、跨站請求偽造、網站后門和提權等Web安全滲透技術原理，并具備滲透分析和測試的能力。（5）能夠使用常見軟件完成Web滲透；（6）能夠掌握Web滲透攻擊緊急響應的技術原理和部署方法；（7）能夠掌握中小型Web應用安全方案的設計能力。（8）能夠對windows系統下Web服務器進行加固；（9）能夠對Linux系統下Web服務器進行加固；擬采用的教學方法（授受式教學，啟發式教學，課堂討論，當堂測試，學生講授，學生自學，案例教學，參觀實習，調研，角色游戲、活動教學、項目教學、實驗、探究……選擇其中幾項，或補充其它教學方法。）1、項目導向、任務驅動教學法教學過程中堅持工學結合，以項目為導向、以任務驅動的學生技能學習。選取典型任務，涵蓋相關知識點。注重培養學生發現問題、分析問題、解決問題的能力以及創新思維與技術綜合應用能力。2、“教、學、練、做”四位一體教學法在網絡安全的理論和實踐技能講授過程中，堅持采用教、學、練、做四位一體教學法，邊講邊學，邊學邊練，邊練邊做，講、學、練、做相互交叉，學做合一、理實一體，使學生具有堅實的理論知識和過硬的實踐技能。3、傳統與現代結合教學法傳統的板書與多媒體教學有機結合，使師生良好互動與技術媒體的信息良好展示得以充分的融合。擬采用的教學手段（傳統講授，多媒體教學，語音教學，網絡教學，VCD，錄相，……選擇其中幾項，或補充其它教學手段。）1、多媒體在教學過程中全程穿插使用。2、恰當運用現代輔助教學手段。教學過程中，采用虛擬項目等仿真教學環境、VCD等教學手段輔助教學。3、充分利用網絡資源。學生可通過在網上直接下載本課程相關教學資源進行學習。考核方式和評分標準（考試/考查，開卷/閉卷，期中考試，期終考試，平時測驗，實驗，課堂發言，平時作業，課堂參與，課堂表現，考勤要求，課外論文，調研報告，市場調查，讀書報告，……選擇其中幾項，或補充其它考核方式，并寫出評分標準。）本課程以實踐課為主，因此采用過程考核方式，成績考核以學習的態度（出勤、聽講、參與課堂活動）（20%）、實驗報告（80%）。作業及輔導答疑安排（次數，初步安排、形式等）1、上機實驗共8個，全部批改；2、課外作業2次，以課堂提問等方式檢查；3、輔導答疑：2次，以課內答疑為主，課外通過電子郵件或約定時間面授指導和答疑。教師簽名：系主任簽名：學院（部）分管領導簽名：年月日蘇州市職業大學教學進度表2022~2023學年第2學期周次日期周學時其中教學內容摘要(章節名稱、講述內容提要、實驗的名稱、課堂討論的題目、作業等)講課實驗課習題課課堂討論其他環節第一周2月20日至2月24日633課程介紹說課第1章：web應用基礎1.web組件服務層次架構2.web應用組成第2章信息安全法律法規第二周2月27日至3月3日633第3章：命令注入漏洞1命令注入漏洞原理分析2命令注入漏洞滲透方法3命令注入漏洞防御方法上機或實驗：命令注入漏洞攻擊與防御第三周3月6日至3月10日633第4章：文件上傳漏洞1文件上傳漏洞原理分析2文件上傳漏洞滲透方法3文件上傳漏洞防御方法上機或實驗：文件上傳漏洞滲透過程第四周3月13日至3月17日633第5章：SQL注入漏洞1SQL注入漏洞原理分析2SQL注入漏洞滲透方法3SQL注入漏洞防御方法上機實驗：SQL注入漏洞滲透過程1第五周3月20日至3月24日633第5章：SQL注入漏洞1SQL注入漏洞原理分析2SQL注入漏洞滲透方法3SQL注入漏洞防御方法上機實驗：SQL注入漏洞滲透過程2第六周3月27日至3月31日211第六章SQL盲注漏洞1SQL盲注漏洞原理分析2SQL盲注漏洞滲透方法3SQL盲注漏洞防御方法上機實驗：SQL盲注漏洞滲透與防御第七周4月3日至4月7日633第七章暴力破解漏洞1暴力破解漏洞原理分析2暴力破解漏洞滲透方法3暴力破解漏洞防御方法上機實驗：暴力破解漏洞滲透與防御第八周4月10日至4月14日633第八章文件包含漏洞1文件包含漏洞原理分析2文件包含漏洞滲透方法3文件包含漏洞防御方法上機實驗：文件包含漏洞滲透與防御第九周4月17日至4月21日633第九章xss跨站腳本漏洞1反射型xss漏洞原理分析2反射型xss漏洞滲透方法3反射型xss漏洞防御方法上機實驗：反射型xss漏洞滲透與防御第十周4月24日至4月28日633習題課第十一周5月1日至5月5日633第九章xss跨站腳本漏洞1存儲型xss漏洞原理分析2存儲型xss漏洞滲透方法3存儲型xss漏洞防御方法上機實驗：存儲型xss漏洞滲透與防御第十二周5月8日至5月12日633第十章其他漏洞1CSRF漏洞原理分析2邏輯錯誤漏洞3代碼注入上機實驗：CSRF漏洞滲透與防御第十三周5月15日至5月19日633信息探測與漏洞掃描1信息收集工具使用2漏洞掃描工具使用實驗上機：針對特定網站進行信息收集與漏洞掃描測試第十四周5月22日至5月26日633靶場測試第十五周5月29日至6月2日633第十一章實戰入侵與防范1開源安全程序剖析2拖庫上機實驗：針對特定網站進行實戰滲