职业技术学校《Web安全与渗透测试》课程标准

《Web安全与渗透测试》课程标准课程代码[541403]课程类别[专业核心课]学分[5.0]学时[80]开课部门[信息工程系]适用专业[信息安全技术应用]制定人[XXX]制定日期[202X年6月]审核人[XXX]审核日期[202X年6月]一、课程性质与任务本课程是信息安全技术应用的专业核心课程，是依据信息安全技术应用专业人才培养目标和相关职业岗位（群）的能力要求而设置的，对本专业抽面向的信息安全岗位（群）所需要的知识、技能和素质目标的达成起支撑作用。在课程设置上，前导课程有《Web前端开发》、《数据库应用》、《网络系统建设与运维》、《PHP+MySQL动态网站开发》。二、课程目标本课程实操性极强，通过本课程的教学，使学生掌握常用Web渗透测试原理和工具的使用，掌握基本的渗透测试技巧，能够查找漏洞并修补漏洞。1.知识目标信息收集方法，漏洞环境搭建，SQLMap、BurpSuite、Nmap工具的使用，SQL注入、XSS原理，文件上传漏洞，暴力破解、命令执行漏洞等。2.技能目标通过对本课程的学习，使学生掌握信息收集方法，能够搭建漏洞环境，能够利用SQLMap、BurpSuite、Nmap等进行信息查找，能够完成SQL注入、XSS攻击，能够进行暴力破解和利用命令执行漏洞进行攻击，能够利用Metasploit技术实现渗透测试等。3.素质目标通过对课程理论的解析和实操练习，培养学生的问题分析能力、技术/工具应用能力，积累项目实战经验，树立法律底线意识，培养良好的职业道德，通过分组完成项目任务，培养学生的团队协作精神，锻炼学生沟通交流、自我学习的能力。三、课程设计（一）课程设计思路针对高职学生的认知特点，与行业企业专家合作进行课程项目设计与开发，形成从简单到复杂的系统化教学项目，突出学生的教学主体作用，重视职业能力的培养，充分体现课程教学的职业性、实践性和开放性，为学生今后的就业打下良好的基础。该课程打破以知识传授为主要特征的传统学科课程模式，转变为以工作任务为中心组织课程内容，并让学生在完成具体项目的过程中学会完成相应工作任务，并构建相关理论知识，发展职业能力。课程内容突出对学生职业能力的训练，理论知识的选取紧紧围绕工作任务完成的需要来进行，同时又充分考虑了高等职业教育对理论知识学习的需要，并融合了相关职业资格证书对知识、技能和态度的要求。教学过程中，采取工学结合、项目化教学等形式，充分开发学习资源，给学生提供丰富的实践机会。教学效果评价采取过程性评价与结果性评价相结合，理论与实践相结合，理论考试重点考核与实践能力紧密相关的知识，重点评价学生的职业能力。（二）课程内容与教学要求1.课时分配表项目（或模块）名称序号任务内容学时分配备注项目1：渗透测试准备1信息收集62搭建漏洞环境63常用的渗透测试工具6项目2：Web安全原理剖析4漏洞利用85代码攻击12项目3：Metasploit技术应用6Metasploit渗透攻击127后渗透攻击6项目4：PowerShell攻击8PowerSploit工具使用69Empire工具使用69Nishang工具使用6机动、复习、答疑106总学时962.任务设计项目（或模块）渗透测试准备任务1信息收集学时理论实践一体化6学习目标课程目标：知识目标常识性知识：域名、域名备案、端口信息、社会工程学。能力目标掌握基本的网站信息收集能力。素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1域名备案法律意识讲授法+演示法2域名爱国主义讲授法+演示法3社会工程学人文精神讲授法+演示法项目（或模块）渗透测试准备任务2搭建漏洞环境学时理论实践一体化6学习目标课程目标：知识目标LANMP、WAMP。能力目标能够搭建LANMP和WAMP平台，能够搭建DVWA漏洞环境平台，能够搭建SQL注入和XSS测试平台。素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1LANMP/WAMP学习迁移讲授法+演示法2DVWA平台工匠精神讲授法+演示法3SQL注入平台科学素养演示法项目（或模块）渗透测试准备任务3常用的渗透测试工具学时理论实践一体化6学习目标课程目标：知识目标SQLMap、BurpSuite、Nmap。能力目标掌握SQLMap参数作用，能够完成SQLMap、BurpSuite、Nmap及相似工具的安装与配置。素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1SQLMap学习迁移讲授法+演示法2BurpSuite抓主要矛盾讲授法+演示法3Nmap/Zmap工匠精神讲授法+演示法项目（或模块）Web安全原理剖析任务4漏洞利用学时理论实践一体化8学习目标课程目标：1.知识目标SQL注入，XSS，漏洞文件上传，逻辑漏洞挖掘，CSRF漏洞，SSRF漏洞。2.能力目标能够完成SQL注入攻击，能够利用XSS漏洞、CSRF漏洞、SSRF漏洞进行攻击。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1逻辑漏洞挖掘安全意识演示法+实践2SQL注入科学素养演示法+实践3漏洞文件上传工匠精神演示法+实践项目（或模块）Web安全原理剖析任务5代码攻击学时理论实践一体化12学习目标课程目标：1.知识目标SQL注入、暴力破解、命令执行。2.能力目标能够进行SQL注入攻击、XSS漏洞代码攻击、暴力破解攻击及远程执行命令。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1远程执行命令科学素养演示法+实践2暴力破解学习迁移演示法+实践3XSS漏洞代码安全意识演示法+实践项目（或模块）Metasploit技术应用任务6Metasploit渗透攻击学时理论实践一体化12学习目标课程目标：1.知识目标主机扫描、漏洞扫描、进程管理。2.能力目标能够利用漏洞扫描工具进行目标主机的发现和漏洞利用。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1漏洞扫描工匠精神演示法+实践2进程管理学习迁移演示法+实践3主机发现科学素养演示法+实践项目（或模块）Metasploit技术应用任务7Metasploit后渗透攻击学时理论实践一体化6学习目标课程目标：1.知识目标提权、移植漏洞利用代码、后门。2.能力目标能够在渗透成功后利用Metasploit进行进一步渗透测试：提权、移植漏洞利用代码、放置后门。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1提权学习迁移演示法+实践2移植漏洞利用代码科学素养演示法+实践3后门工匠精神演示法+实践项目（或模块）PowerShell攻击任务8PowerSploit工具使用学时理论实践一体化6学习目标课程目标：1.知识目标PowerShell、PowerSploit、PowerUp。2.能力目标能够安装PowerSploit并利用其模块进行渗透测试。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1PowerSploit学习迁移演示法+实践2PowerShell科学素养演示法+实践3PowerUp工匠精神演示法+实践项目（或模块）PowerShell攻击任务9Empire工具使用学时理论实践一体化6学习目标课程目标：1.知识目标Empire工具。2.能力目标能够安装Empire并利用其模块进行渗透测试（监听、放置木马、权限提升等）。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1Empire设置监听学习迁移演示法+实践2Empire生成木马科学素养演示法+实践3Empire横向渗透工匠精神演示法+实践项目（或模块）PowerShell攻击任务10Nishang工具使用学时理论实践一体化6学习目标课程目标：1.知识目标Nishang工具，WebShell后门。2.能力目标能够安装Nishang并利用其进行渗透测试（后门）。3.素质目标培养动手实践能力。课程德育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神。教学内容选择与安排：（挖掘和提炼专业课程蕴含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠精神等3个以上，找准思政元素融入点，描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1Nishang模块工匠精神演示法+实践2隐藏通信遂道科学素养演示法+实践3WebShell后门学习迁移演示法+实践四、课程实施（一）教学方法建议教学过程中，始终坚持理论与实际相结合、知识传授与行为养成相结合、面向全体与个别指导相结合、课程教学与日常管理相结合的原则。教师应根据学生的认知水平、前期课程的基础以及计算机硬件基础的掌握情况，结合专业特点，使用启发式、直观式、讨论式及案例教学等教学方法，授课过程中充分利用图片,实物以及借助网络,尽可能的调动学生主动学习的积极性，提高课堂教学实效。（二）师资条件要求任职教师对Web安全有着深入了解，建议校内专任教师具备2年以上渗透测试经验或带队参加CTF竞赛经验并具备相关企业资格认证，校外兼职教师就具备5年以上渗透测试经验，在授课过程中结合个人工作经历和相关项目经验，重点培养学生持续学习、独立解决问题、职业道德和责任心、合作意识、交流和沟通的职业能力。（三）教学条件基本要求一体化实验室、DVWA、SQLMap、Metasploit、多浏览器平台等（四）教学资源基本要求1、教材的选