《Web安全滲透技術與應用》課程標準一、課程概述課程名稱Web安全滲透技術與應用課程代碼英文名稱WebsecuritypenetrationtechnologyandApplication學分6適用專業計算機網絡技術總學時96課程性質□公共基礎課程（□必修課、□選修課）□專業課程（□專業基礎課程、專業核心課程、□專業拓展課程）其中：實踐學時48課程定位本課程是計算機網絡技術培養方案中的一門核心課程。計算機網絡技術專業要求培養人能夠掌握Web安全滲透的基本理論和方法，具備常見相關Web安全滲透分析和測試工具的安裝、配置與使用技能，具備Web安全滲透現狀與安全隱患的分析能力，能夠針對不同Web系統特性開展針對性安全滲透部署。本課程是提供Web安全滲透測試、分析的一門專門技術，也是從事計算機網絡安全組建、維護、部署、加固等崗位的關鍵能力之一。先修課程：《計算機網絡基礎》《網站應用開發》《MYSQL數據庫》《PHP語言編程》《window操作系統及服務器配置》《Linux操作系統及服務器配置》《網絡安全》后續課程：《網絡安全實戰運維》《python網絡爬蟲》課程目標（一）素質目標（包括職業素養和育人目標）（1）具有誠信品質和責任意識（2）具有一定的創新和應變能力（3）遵紀守法，具有良好的職業道德（4）培養觀察問題，冷靜解決問題的能力（5）培養自主學習能力、交流溝通能力、自我管理能力（6）培養團隊協作精神、基本的組織協調能力、責任心和服從意識（二）知識目標（1）熟知各種Web服務器類型、各種Web編程語言。（2）熟知Web安全滲透的現狀、主要的Web安全滲透技術；（3）熟知網絡協議體系結構，掌握各種網絡常用命令；（4）熟知小型Web應用安全體系的設計與部署；（5）熟知Web服務器的基本框架結構。（6）熟知各種Web安全滲透測試方法，掌握Web滲透攻擊與防范的實施方法；（7）熟知常見的Web滲透使用工具。（8）熟知Windows和Linux下Web服務器的滲透方法。（9）了解Web安全標準、滲透測試標準、信息安全等級保護及其他標準（三）能力目標（1）能夠掌握最新的Web安全滲透動態，分析Web安全滲透發展現狀；（2）能夠利用Web滲透測試分析工具分析常見Web應用安全隱患；（3）能夠熟練應用常見網絡命令進行Web滲透前期的信息收集和網絡診斷；（4）能夠深入理解安全口令、SQL注入、跨站腳本攻擊、跨站請求偽造、網站后門和提權等Web安全滲透技術原理，并具備滲透分析和測試的能力。（5）能夠使用常見軟件完成Web滲透；（6）能夠掌握Web滲透攻擊緊急響應的技術原理和部署方法；（7）能夠掌握中小型Web應用安全方案的設計能力。（8）能夠對windows系統下Web服務器進行加固；（9）能夠對Linux系統下Web服務器進行加固；二、課程內容和要求序號課程單元主要教學知識點學習目標及能力要求育人元素融入途徑、方式參考學時01Web信息安全基礎1.當前Web信息安全形勢1.了解當前Web安全的技術自主學習能力、交流溝通能力；遵紀守法，良好的職業道德網絡空間安全涉及到國家安全及個人安全的方方面面42.Web安全防護技術2.了解Web安全的防護方法02信息安全法律法規1.信息安全法律法規1.熟知信息安全方面的法律法規自主學習能力、交流溝通能力；遵紀守法，良好的職業道德；通過案例講解，分析《中華人民共和國網絡安全法》42.基于法律法規的案例分析2.熟知信息安全在未授權下滲透測試的危害與所需承擔后果03命令注入攻擊與防御1.命令注入攻擊原理1.能清晰表述命令注入的攻擊原理誠實守信的品質、具有一定的創新和應變能力計算機網絡由最初的“可信”網絡轉變為現今的“不可信”網絡。由網絡的轉變，分析系統設計思路轉變。62.命令注入漏洞利用2.能夠有效挖掘命令注入漏洞3.命令注入漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.命令注入漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固04文件上傳攻擊與防御1.文件上傳攻擊原理1.能清晰表述文件上傳的攻擊原理誠信、責任心；遵紀守法，具有良好的職業道德分析在信息注冊等可能存在需要上傳信息的功能中，如果存在上傳漏洞，可能導致的嚴重后果。62.文件上傳漏洞利用，通過上傳木馬獲取服務器控制權限2.能夠有效挖掘命文件上傳漏洞3.文件上傳漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.文件上傳漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固05SQL注入攻擊與防御1.SQL注入攻擊原理1.能清晰表述SQL注入的攻擊原理誠信、責任心；遵紀守法，具有良好的職業道德通過數據被拖庫案例，結合《中華人民共和國網絡安全法》分析數據安全的重要性以及所需承擔的法律責任152.SQL注入漏洞利用2.能夠有效挖掘SQL注入漏洞3.SQL注入漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.SQL注入漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固5.Sqlmap工具使用06SQL盲注攻擊與防御1.SQL盲注攻擊原理1.能清晰表述SQL盲注的攻擊原理具有誠信品質和責任意識；遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力通過數據被拖庫案例，結合《中華人民共和國網絡安全法》分析數據安全的重要性以及所需承擔的法律責任152.SQL盲注中，基與布爾型、時間型的對字符型與字節型不同的漏洞利用2.能夠有效挖掘SQL盲注漏洞3.SQL盲注漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.SQL盲注漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固5.Sqlmap工具使用6.使用Burpsuit進行SQL盲注07暴力破解攻擊與防御1.暴力破解攻擊原理1.能清晰表述暴力破解的攻擊原理具有誠信品質和責任意識；遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力通過分析口令破解原理，明白“強口令”的重要性，結合《中華人民共和國網絡安全法》分析暴力破解所需承擔的法律責任82.暴力破解漏洞利用2.能夠有效挖掘暴力破解漏洞3.暴力破解漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.暴力破解漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固5.萬能密碼原理、Bruter、Hydra等暴破工具使用08文件包含攻擊與防御1.文件包含攻擊原理1.能清晰表述文件包含的攻擊原理遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力；培養自主學習能力、交流溝通能力通過分析文件包含原理，明白文件包含漏洞的破壞性，結合《中華人民共和國網絡安全法》分析所需承擔的法律責任82.文件包含漏洞利用2.能夠有效挖掘文件包含漏洞3.文件包含漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.文件包含漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固09XSS攻擊與防御1.XSS攻擊原理1.能清晰表述XSS的攻擊原理具有誠信品質和責任意識；遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力通過分析XSS原理，明白跨站腳本漏洞的破壞性，結合《中華人民共和國網絡安全法》分析所需承擔的法律責任62.XSS漏洞利用2.能夠有效挖掘XSS漏洞3.XSS漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.XSS漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固10CSRF攻擊與防御1.CSRF攻擊原理1.能清晰表述CSRF的攻擊原理具有誠信品質和責任意識；遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力通過分析釣魚攻擊，明白CSRF的破壞性，結合《中華人民共和國網絡安全法》分析所需承擔的法律責任62.CSRF漏洞利用2.能夠有效挖掘CSRF漏洞3.CSRF漏洞攻擊方法3.針對漏洞的具體情況可以使用針對性的方法完成滲透4.CSRF漏洞防御方法4.針對漏洞具體情況能夠有效的進行漏洞加固11代碼審計1.代碼審計環境搭建1.學會代碼審計的流程、方法具有誠信品質和責任意識；遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力通過代碼開發中的一些漏洞，明白代碼審計的重要性62.代碼審計輔助與漏洞驗證工具2.學會代碼審計環境的搭建3.代碼審計思路與方法3.學會代碼審計的思路12綜合站點測試1.系統漏洞掃描1.熟悉Nmap等系統掃描工具使用具有誠信品質和責任意識；遵紀守法，具有良好的職業道德；培養觀察問題，冷靜解決問題的能力通過綜合站點的測試，綜合理解各種漏洞的危害性，并結合《中華人民共和國網絡安全法》分析所需承擔的法律責任122.系統漏洞滲透測試2.熟悉系統指紋信息查詢、收集、分析3.web漏洞掃描3.熟悉Owasp、Nessusawvs、nikto、dirb等web掃描工具4.web漏洞滲透測試4.熟悉web漏洞驗證、測試方法5.操作系統加固5.熟悉web站點加固方法6.web漏洞加固6.熟悉系統加固方法合計學時：=SUM(ABOVE)96三、教學組織與實施教學設計本課程根據項目創設項目情境，以學生為中心進行項目任務教學，學生以小組為單位進行團隊組織和學習，討論研究。在教學中堅持老師：問引點導，學生：疑思知練，教學互動，螺旋上升。從而讓學生能夠知識的理解并運用。教學方法1、項目導向、任務驅動教學法教學過程中堅持工學結合，以項目為導向、以任務驅動的學生技能學習。選取典型任務，涵蓋相關知識點。注重培養學生發現問題、分析問題、解決問題的能力以及創新思維與技術綜合應用能力。2、“教、學、練、做”四位一體教學法在網絡安全的理論和實踐技能講授過程中，堅持采用教、學、練、做四位一體教學法，邊講邊學，邊學邊練，邊練邊做，講、學、練、做相互交叉，學做合一、理實一體，使學生具有堅實的理論知識和過硬的實踐技能。3、傳統與現代結合教學法傳統的板書與多媒體教學有機結合，使師生良好互動與技術媒體的信息良好展示得以充分的融合。教學手段1、多媒體在教學過程中全程穿插使用。2、恰當運用現代輔助教學手段。教學過程中，采用虛擬項目等仿真教學環境、VCD等教學手段輔助教學。3、充分利用網絡資源。學生可通過在網上直接下載本課程相關教學資源進行學習。四、教學條件【教師團隊】【教材、新型活頁式或工作式手冊】1、王德鵬譚方勇著.web基礎滲透與防護[M].電子工業出版社.2019年八月第一版2、徐焱．Web安全攻防：滲透測試實戰指南[M]．電子工業出版社．20183、張炳帥.Web安全深度剖析[M]．電子工業出版社.2021年5月【信息化教學資源、其他參考資料】【實驗實訓條件與項目】實驗實訓室名稱主要設備（硬件、軟件）及臺套數主要實驗實訓項目多媒體設備、白板、黑板；交換機、路由器、防火墻、天創網絡安全教學平臺、計算機、控制線、RJ45網線等。（1）對《中華人民共和國網絡安全法》認識（2）命令注入漏洞滲透與防護（3）文件上傳漏洞滲透與防護（4）SQL注入漏洞滲透與防護（5）SQL盲注漏洞滲透與防護（6）暴力破解漏洞滲透與防護（7）文件包含漏洞滲透與防護（8）XSS（跨站腳本）漏洞滲透與防護（9）CSRF（跨站請求偽造）漏洞滲透與防護（10