Web安全与防护 （微课版）07-3 项目七 安全的文件包含-任务三教案

XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目七任务三《文件包含漏洞检测与验证》教学设计方案一、教学分析课题名称文件包含漏洞检测与利用授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：检测和利用文件包含漏洞。2、知识准备：Linux操作系统的使用和PHP语言基础。3、任务实施：检测和利用博客系统中的文件包含漏洞。学情分析学习者前期学习了文件包含漏洞原理和特点的知识，具备了针对文件包含漏洞的利用检测及修复防范的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉文件包含漏洞的检测方法。2、熟悉文件包含漏洞的利用方法。能力目标1、能够检测出文件包含漏洞。2、能够利用文件包含漏洞。素质目标1、养成严谨、细致的工作作风。2、培养考虑问题时的换位思考能力。教学重点文件包含漏洞的检测和验证教学难点文件包含漏洞的利用二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：文件包含漏洞的检测措施：老师讲解加演示教学难点解决措施难点：文件包含漏洞的利用措施：老师讲解加演示三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三文件包含漏洞检测与验证引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.文件包含漏洞验证流程2.文件包含漏洞检测与验证教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学任务三文件包含漏洞检测与验证1.文件包含漏洞验证流程从攻击者的角度去看学习文件包含漏洞，需要了解文件包含楼的检测和利用流程如下几个步骤：①找到目标网站的文件包含漏洞：攻击者通过一些技术手段（如漏洞扫描器、手动测试等）寻找目标网站是否存在文件包含漏洞。②构造恶意的文件路径或URL：攻击者通过向目标网站发送恶意的文件路径或URL，尝试利用文件包含漏洞将攻击者所控制的文件加载到目标网站中。③加载恶意文件：如果攻击者成功利用文件包含漏洞，目标网站会将恶意文件加载到应用程序中。攻击者可以通过恶意文件来实现各种攻击目的，例如执行任意代码、获取敏感信息等。④控制目标网站：如果攻击者成功执行了恶意代码，就可以控制目标网站的行为。攻击者可以通过控制目标网站，进行更进一步的攻击，例如窃取用户信息、上传恶意文件等。2.文件包含漏洞检测与验证对于文件包含漏洞的检测验证，我们需要使用kali自带的录爆破Dirbuster工具，该工具是一种用于探测web服务器上的目录和隐藏文件的工具。它支持多种扫描方式，如网页爬虫、基于字典的暴力破解和纯暴力破解，使用Java语言编写，提供命令行和图形界面两种模式。当检测到有可以利用的文件代码的时候向URL中传递如下参数，加载之前制作的图片木马实现攻击：:2333/book/admin/include.php?file=../assets/img/a36d38fe771a00959ded40985182827d.jpg。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完