Web渗透测试与防护（虞菊花慕课版）-整体设计-Web渗透测试与防护

课程教学设计课程名称 Web渗透测试与防护授课对象 信息安全技术应用、密码技术应用专业课程学分 3总学时54课程性质专业核心课所属系部 网络空间安全学院设计人（团队） Web渗透测试与防护课程教学团队审核人批准人一、课程目标设计1、总体目标本课程是信息安全技术应用专业和密码技术应用专业的核心课程，主要面向网络安全运维和渗透测试工程师岗位。课程以Web网站安全攻击与防护为主，以主流的攻击手段为主线，设计并安排课程内容，重视规范化流程，重视学生团队分析和解决问题的能力。以模拟真实应用场景作为任务设计的基础，更加贴近行业应用，是对前导课程《网络操作系统》、《信息安全技术基础》和《数据库管理》课程的进一步加深应用，也为各后续课程的学习打下良好基础。通过本课程的学习，学生可建立起Web渗透测试的基本概念，能根据客户具体需求，运用信息收集，网络扫描，漏洞测试，风险评估等方法，正确完成目标测评。本课程在培养学生的基础知识、分析和解决实际问题的能力，以及工程实践能力等方面，发挥着积极的作用。2、能力目标(1)能对Web网站安全现状进行分析；(2)能安装DVWA环境和渗透测试相关软件；(3)能使用PHP连接MySql数据库，并对数据进行操作；(4)能利用常规的安全漏洞进行渗透测试；(5)能够进行Web安全巡检、安全防护；(6)能根据具体客户需求，综合运用所学专业知识熟练完成目标测评。3、知识目标(1)了解Web安全漏洞常见类型，掌握HTTP协议原理；(2)掌握PHP基础语法和结构语句；(3)掌握SQL注入方式和防范；(4)掌握反射型和存储型XSS的工作原理；(5)掌握CSRF的攻击与防护；(6)掌握命令注入的方式和防范；(7)熟练常见的文件上传防护绕过方式；(8)掌握文件包含漏洞的利用与防御。4、素质目标(1)培养学生团队协作精神，树立诚信意识，锻炼学生沟通交流、提高学生的语言表达能力；(2)提高学生的动手能力，激发学生的创新能力、自主学习能力和分析问题、解决问题的能力，掌握知识的贯通与应用，并具有一定的知识迁移能力；(3)培养学生知识分享、互相学习的意识，自我学习能力。5、思政育人目标(1)培养学生潜意识的安全意识和行为习惯，居安思危，不断反思，增强忧患意识。(2)培养学生对国家和社会所负责任的认知，培养学生社会主义核心价值观，增强学生政治认同。(3)正确使用网络工具，培养学生励志壮行的道德素养，树立学生的法治意识，培养遵纪守法的良好习惯。(4)基于开源平台进行创新探索，在实践中增强创新意识，鼓励学生勇于探索、实践创新。二、课程内容设计(1)课程内容设计本课程教学内容设计为8个教学项目，每个项目包含若干个教学任务，在教学实施时，按照从项目1到项目8的顺序进行，对任务逐步展开实施即可，并最后将所有实验综合练习，并进行考核。表1课程内容表序号内容模块名称学时1项目lTYeb安全基础及平台搭建62项目2-PHP基础知识83项目3-SQL注入漏洞与防护144项目4-XSS漏洞与防护65项目5-CSRF漏洞与防护46项目6-命令注入漏洞与防护47项目7-文件上传漏洞与防护48项目8-文件包含漏洞与防护49复习测试4合计54注：理论课学时数：22,实践课学时数：32O(2)思政内容设计《Web渗透测试与防护》是信息安全技术应用专业与密码技术应用专业开设的专业核心课程，本课程将思想政治教育融入每个单元的专业课程内容，在专业课的教学中引入课程思政的理念，提倡工匠精神，服务于行业企业，为以后的工作打基础。结合本课程的教学内容，强化育人育才统一,筑牢课程思政与立德树人的关系。具体内容见表2。表2思政内容设计表序号单元名称引例名称思政小课堂思政育人目标1PHPPHP基础知识细致见真章培养学生良好的编程习惯引导学生从思维的细致处入手2SQL注入工具注入安全至上，探索创新树立学生的法治意识，培养遵纪守法的良好习惯基于开源平台进行创新探索，在实践中增强创新意识3XSSXSS的配置履行社会责任，体现社会担当•培养学生对国家和社会所负责任的认知■培养学生社会主义核心价值观，增强学生政治认同4CSRFCSRF的原埋用诚信美化心灵,用法治规范社会•帮助学生培养讲诚信、无虚伪、不欺诈，励志壮行的道德素养5命令注入命令注入的防范居安思危，防范未然培养学生潜意识的安全意识和行为习惯，居安思危，不断反思树立学生的法治意识，培养遵纪守法的良好习惯6文件上传文件上传的防护勇往直前，大胆创新•发现问题，解决问题，注重思维发散、思维创新才能赢得成功7文件包含文件包含的防护防人之心必须有培养学生潜意识的安全意识和行为习惯居安思危，不断反思，增强忧患意识三、能力训练项目设计序号学时单元标题能力目标知识目标其他内容12项目1-1WEB基础WEB安全概述；HTTP协议基础；法律法规1、WEB基础2、HTTP信息安全常识24项目1-2dvwa平台搭建安装前注意事项；搭建dvwa平台并正常使用1、web服务器基础2、计算机网络基础1、环境平台测试38项目2PHp基础知识PHP基础语法PHP连接数据库1、PHP的语法结构2、SQL数据库和PHP的连接PHP中常见的命令44项目3-1SQL注入漏洞基础能根据任务要求设计、调试、运行简单的漏洞环境1、数据库基础2、SQL注入原理1、学生自行测试环境510项目3-2SQL注入测试漏洞演示；漏洞攻击语句测试；熟练理解注入语句注入语句理解学生自测62项目4-1XSS漏洞基础熟练掌握XSS漏洞的原理了解编码如何转换1、编码转换2、XSS漏洞原理1、示例案例分析2、漏洞环境测试3、要求学生作好课前资料准备74项目4-2XSS漏洞攻击XSS漏洞的原理和测试理解如何攻击测试熟练理解如何进行防护1、XSS漏洞测试2、漏洞防护84项目5CSRF漏洞CSRF漏洞的原理与测试如何防范CSRF漏洞1、CSRF的漏洞原理2、解析漏洞的原理和测试94项目6命令注入漏洞攻击原理利用命令注入获取信息1、常用的攻击方法2、防御攻击测试102项目7-1上传漏洞熟练掌握各种常见上传漏洞的原理和测试方法1、常见上传漏洞原理2、测试方法3、防护方法112项目7-2上传漏洞实测模拟漏洞演示与讲解实际案例分析防护方法1、案例分析2、防护测试124项目8文件包含漏洞文件包含漏洞原理文件包含漏洞攻击方法绕过防御方法1、文件包含漏洞的防御方法2、文件包含漏洞的几种应用方法134单元测试单元测试单元测试要求学生完成相关实验，并将解题过程形式报告六、考核方案设计:L学生课程成绩评价总体要求学生课程成绩评价立足培养高素质技术技能型人才和提升教学品质，加快建立能力和素质等多方面结合的学生课程成绩综合评价体系，坚持形成性评价和终结性评价相结合，突出学习、实践、科研、创新等多方面素质和能力的考评，逐步形成创新型、应用型、复合型、技能型人才培养的多层次、多元化评价方式。.学生课程成绩评价内容该课程的考核改变单一的终结性评价方式，采用态度性考核、知识性考核、技能性考核相结合,与创新性评价附件分一并合计计算的形成性考核方式。其中态度性评价占20%,知识性评价占40%,技能型评价占40%,另外对于学生的创新性评价，总分不得超过10分。灵活多样的考核方式可以全面考核学生的学习效果。.学生学业成绩分类评价标准理论•实践一体化类课程（无期中考试）考核分类考核项目分数比例（%）考核要求考核形式态度性评价平时表现20采用扣分制，按20分计。课堂上出现迟到、早退，仪容不整，不带书本、从事与课堂教学无关事项、打瞌睡、不参与团组活动以及其他学习主动性明显不足现象的，每次扣1分；无故旷课、严重影响课堂秩序的，每次扣2分，直至该项成绩扣完。如一课程缺课累计达总课时的三分之一及以上者，依照学院《学生学分制学籍管理规定》第十一条，该课程成绩按零分计，直接重修。平时检查知识性评价单元小测验平均成绩40单元小测验平均成绩、期末成绩按50:50（百分制）计入知识性评价成绩。测验考试期末成绩技能性评价1.PHP基础40对每次实践操作完成情况评价，项目1、项目2、项目3、项目4、项目5按20：20：20：20：20（百分制）计入技能性评价成绩。实践操作打分2.SQL注入3.XSS4.CSRF和命令注入5.文件上传和文件包含创新性评价附加分对于取得与本课程知识、技术相关的证书如专利授权证书、软件等专业产品登记证书等，在院级及以上学科（专业）相关的竞赛获奖、市级以上刊物发表论文，社会技术服务取得明显成效，或者在课程学习中有突出创新的学生，经本人申请，相关课程授课教师审定通过并提供佐证材料，报学生所在二级学院（部）认定后，每项成果可给予一门相关课程不超过10分的附