Web安全与防护 （微课版）教案全套 武春岭 01-1 项目一 Web安全基础-08-4 项目八 安全的应用发布

XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目一任务一Web技术的发展历程；任务二Web安全的核心问题教学设计方案一、教学分析课题名称Web技术的发展历程、Web安全的核心问题授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：了解Web技术发展历程，认识Web安全核心问题。2、知识准备：HTTP、HTML和URI基础知识。3、任务实施：了解Web技术发展历程，阐述Web存在安全隐患的根本原因。学情分析学习者前期学习了解Web、HTTP、HTML和URI等相关概念的基本知识和网络安全相关基本知识，但对Web技术的典型应用、表现形式缺乏认识，不能理解导致Web应用存在安全问题的原因。教学目标知识目标1、了解Web技术发展各阶段的典型应用。2、熟悉Web技术发展各阶段解决的应用需求。3、熟悉Web应用的基本架构。能力目标1、能够阐述Web技术发展各阶段的区别和联系2、能够阐述Web存在安全隐患的原因。素质目标1、树立正确的网络安全观。2、养成探究事物本质的探索精神。教学重点Web存在安全隐患的核心问题教学难点HTTP请求和响应过程二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：Web存在安全隐患的核心问题措施：老师讲解加演示教学难点解决措施难点：HTTP请求和响应过程措施：老师通过抓包软件获取HTTP流量数据包进行演示讲解三、教学实施第1次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务一Web技术的发展历程引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本任务工作内容：1.了解Web技术发展历史2.熟悉Web技术各阶段的应用表现形式1.Web1.0①诞生了门户网站、聊天软件、BBS、电商购物网站等互联网应用。②本质是聚合、联合、搜索，大量、无序的互联网信息是这个时期聚合的本质。③解决人们对信息搜索、聚合的要求，是静态的、单项的网络。2.Web2.0①解决了人与人之间沟通、互动和参与的需求。②将互联网的主导权交给广大用户个人，充分发掘广大用户的个人积极性并参与到体系中来。3.Web3.0①个性化和智能化的搜索引擎。②对数据进行自由组合和有效聚合。③适合多种终端平台，实现信息服务的普适性。任务二Web安全的核心问题引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本任务工作内容：1.认识Web应用中信息请求和响应的基本过程2.理解Web存在安全隐患的根本原因1.Web应用基本架构2.Web应用面临的安全风险①数据信息泄漏。②网站篡改。③业务安全风险。3.Web安全核心问题①Web应用环境导致的安全问题。②交互过程导致的安全问题。③Web安全与传统安全的区别。教师讲授、演示。学生学习，动手练习通过理论知识讲解和演示操作，帮助学生理解重难点知识。课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目一任务三HTTP协议及安全性一、教学分析课题名称HTTP协议及安全性授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：分析HTTP协议及其安全性。2、知识准备：Web应用系统的基本架构和信息交互处理基本流程。3、任务实施：通过认识HTTP协议数据报文格式和HTTPS工作原理，掌握HTTP数据报文分析方法。学情分析学习者前期学习了解Web应用的基本概念和Web安全的基础知识，但对Web应用使用的HTTP协议，以及信息交互过程缺乏深入了解，不能理解协议与Web应用安全之间的关系。教学目标知识目标1、熟悉HTTP请求报文和响应报文格式。2、熟悉HTTPS基本概念和工作原理。能力目标1、能够获取指定目标的HTTP通信报文，并能分析报文内容。素质目标1、树立正确的网络安全观。2、养成探究事物本质的探索精神。教学重点HTTP请求报文和响应报文格式教学难点HTTPS安全机制和工作原理二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：HTTP请求报文和响应报文格式措施：老师通过抓包软件获取HTTP流量数据包进行演示讲解教学难点解决措施难点：HTTPS安全机制和工作原理措施：老师通过抓包软件获取HTTPS流量数据包进行演示讲解三、教学实施第2次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三HTTP协议及安全性引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本任务工作内容：1.认识HTTP请求报文和响应报文格式2.理解HTTPS安全机制和工作原理3.掌握HTTP数据报文分析方法1.HTTP请求报文①HTTP协议相关基本概念。②请求报文的组成部分。③请求方法及报文内容分析。2.HTTP响应报文①响应报文的组成部分。②响应报文状态码分析。③响应报文内容分析。3.URL①URL规范。②URI、URL和URN的区别。4.HTTPS安全性分析①HTTPS基本概念及特点。②HTTPS安全机制。③HTTPS基本工作原理。教师讲授、演示。学生学习，动手练习通过理论知识讲解和演示操作，帮助学生理解重难点知识。课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目一任务四Web应用中的编码一、教学分析课题名称Web应用中的编码授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：掌握Web应用常见编码的编码和解码方法。2、知识准备：Web应用系统的基本架构和信息交互处理基本流程。3、任务实施：通过学习字符编码、URL编码、Base64等编码知识，掌握Web应用常见编码的编码和解码方法。学情分析学习者前期学习了解了HTTP协议工作机制和流程，但缺少对字符编码的认识，不能有效分析数据报文中的相关信息。教学目标知识目标1、熟悉常见的编码技术和规则。2、理解字符编码、解码工作原理。能力目标1、能够对获取的数据报文内容中编码的信息进行解码。素质目标1、树立正确的网络安全观。2、养成探究事物本质的探索精神。教学重点字符编码的作用和原理教学难点不同编码技术的编码和解码方法二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：字符编码的作用和原理措施：通过课件演示讲解教学难点解决措施难点：不同编码技术的编码和解码方法措施：教师演示使用工具对字符进行编码和解码操作，学生实操练习，加深印象三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三HTTP协议及安全性引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本任务工作内容：1.了解字符编码的作用2.熟悉常见编码规则和原理3.掌握编码、解码方法1.字符编码①ASCII编码。②DBCS双字节字符集。③Unicode编码2.传输过程的编码①URL编码。②Base64编码。③HTML字符实体。教师讲授、演示。学生学习，动手练习通过理论知识讲解和演示操作，帮助学生理解重难点知识。课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目二任务一《登录认证功能实现》教学设计方案一、教学分析课题名称登录认证功能实现授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：利用PHP实现用户的登录认证。2、知识准备：PHP数据库连接和数据库增删查改相关知识。3、任务实施：利用PHP实现用户名和密码的输入校验。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉登录认证原理及实现方法。2、熟悉验证码的生成和校验方法。能力目标1、能够实现数据库的增删查改。2、能够使用PHP实现数据库交互功能。素质目标1、养成精益求精的工作作风。2、树立良好的网络安全意识。教学重点PHP实现用户的登录认证教学难点登录状态的判断二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：PHP实现用户的登录认证措施：老师讲解加演示教学难点解决措施难点：登录状态的判断措施：老师讲解加演示三、教学实施第1次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务一登录认证功能实现引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.了解登录认证2.创建登录页面3.判断登录状态

4.增加验证码情景引入：2014年8月，海康威视DVR和NVR产品因网络攻击导致返修量增加。攻击者利用未更改的默认密码通过Telnet登录并植入脚本，破坏设备固件。公司随即报告警方并报案。2015年2月，江苏省公安厅紧急通知全省检查和加固海康威视监控设备，指出设备存在安全风险，部分已被境外控制。海康威视对受影响设备进行了升级修复，并强调修改默认密码的重要性。由于其产品广泛应用于关键领域，此次事件引起了社会广泛关注。问题源于海康威视安全门的认证机制漏洞，导致敏感信息被窃。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.了解登录认证

登录认证是在Web应用程序中实现身份验证和授权的过程。在用户尝试登录到Web应用程序时，登录认证将验证用户的身份并授予相应的访问权限。通常，登录认证包括两个步骤：身份验证和授权。①身份验证②授权2.创建登录页面①确定登录表单中所需字段②确定登录表单的布局③添加验证码显示3.判断登录状态①引入头文件②判断是否为管理员③实现用户密码判断逻辑4.增加验证码①实现验证码的生成②实现验证码的获取教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目二任务二《登录认证漏洞形成原理》教学设计方案一、教学分析课题名称登录认证漏洞形成原理授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：理解登录认证漏洞形成的原理。2、知识准备：PHP开发语言基础。3、任务实施：理解登录认证漏洞形成的原理。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉登录认证漏洞的概念。2、熟悉登录认证漏洞的分类。3、了解登录认证漏洞的危害。能力目标1、熟悉登录认证漏洞的类型。

2、掌握登录认证漏洞的特点。素质目标1、养成精益求精的工作作风。2、树立良好的网络安全意识。教学重点登录认证漏洞形成原理教学难点登录认证漏洞分类的理解二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：登录认证漏洞形成原理措施：老师讲解加演示教学难点解决措施难点：登录认证漏洞分类的理解措施：老师讲解加演示三、教学实施第2次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务二登录认证漏洞分类的理解引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.熟悉登录认证漏洞的概念

2.熟悉登录认证漏洞的分类

3.了解登录认证漏洞的危害教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.登录认证漏洞的概念

登录认证漏洞是指攻击者可以利用应用程序的漏洞来绕过正常的身份验证程序，从而成功登录系统或者应用程序，获得未经授权的访问权限。2.登录认证漏洞的分类①密码猜测②会话劫持③跨站点请求伪造④SQL注入

⑤社会工程学攻击3.登录认证漏洞的危害登录认证漏洞会导致数据泄露、资源滥用、恶意篡改等安全事件发生。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目二任务三《登录认证漏洞检测与验证》教学设计方案一、教学分析课题名称登录认证漏洞检测与验证授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：熟悉登录认证漏洞的检测以及漏洞验证。2、知识准备：登录认证漏洞原理。3、任务实施：利用Burp对登录认证页面进行漏洞检测和漏洞验证。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、验证码重放漏洞。2、用户探测漏洞验证。3、弱口令漏洞验证。能力目标1、能够检测出登录认证中存在的漏洞。

2、能够对登录认证中存在的漏洞进行安全验证。素质目标1、养成精益求精的工作作风。2、树立良好的网络安全意识。教学重点登录认证漏洞的检测以及验证方法教学难点登录认证漏洞的利用二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：登录认证漏洞的检测以及验证方法措施：老师讲解加演示教学难点解决措施难点：登录认证漏洞的利用措施：老师讲解加演示三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三登录认证漏洞检测与验证引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.验证码重放漏洞

2.用户探测漏洞验证

3.弱口令漏洞验证教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.验证码重放漏洞

①配置Burp代理监听②访问后台登录界面③拦截登录请求④重发验证码2.用户名探测漏洞验证①使用Burp抓取登录请求②将登录请求转发至Intruder中③配置爆破字典④根据响应结果找到正确的用户名3.弱口令漏洞验证①使用Burp抓取登录请求②将登录请求转发至Intruder中③配置爆破字典④根据响应结果找到正确的密码教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目二任务四《录认证漏洞修复与防范》教学设计方案一、教学分析课题名称登录认证漏洞修复与防范授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：熟悉登录认证漏洞的修复方法与防范措施。2、知识准备：登录认证漏洞原理、PHP后端开发基础。3、任务实施：修复博客系统中存在的登录认证漏洞并进行验证。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、验证码重放漏洞修复。2、用户名探测漏洞修复。3、弱口令漏洞修复。能力目标1、能够修复登录认证中存在的漏洞。

2、能够对已修复的漏洞进行复测。素质目标1、养成精益求精的工作作风。2、树立良好的网络安全意识。教学重点登录认证漏洞的修复以及防范方法教学难点登录认证漏洞的修复二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：登录认证漏洞的修复以及防范方法措施：老师讲解加演示教学难点解决措施难点：登录认证漏洞的修复措施：老师讲解加演示三、教学实施第4次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务四登录认证漏洞修复与防范引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.验证码重放漏洞修复

2.用户探测漏洞修复

3.弱口令漏洞修复教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.验证码重放漏洞修复

修改博客系统代码使用户请求admin/check.php后将存储在Session会话中的验证码值销毁即可让验证码只能使用一次、防止出现验证码重放的问题并进行修复验证。2.用户名探测漏洞修复修改博客系统源码使用户名错误以及密码错误的响应提示设置得较为模糊例如：用户名或密码错误、登录失败、请求错误等让攻击者无法判断是用户名错误还是密码错误。最后进行修复验证。3.弱口令漏洞修复修改博客系统代码使用限制登录次数的方案防止暴力破解的发生，通过在代码中增加对IP地址的判断，实现对登录次数的限制并进行修复验证。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目三任务一《利用数据库实现动态网页》教学设计方案一、教学分析课题名称利用数据库实现动态网页授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：利用PHP实现动态网页。2、知识准备：PHP数据库连接和数据库增删查改相关知识。3、任务实施：利用PHP实现用户身份存储、文章存储以及文章的搜索。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉SQL的基本操作。2、熟悉动态网页的实现方法。能力目标1、能够实现数据库的增删查改。2、能够使用PHP实现数据库交互功能。素质目标1、养成执着专注的工作习惯。2、树立网络安全风险意识。教学重点利用数据库实现动态网页教学难点PHP实现数据库交互功能二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：利用数据库实现动态网页措施：老师讲解加演示教学难点解决措施难点：PHP实现数据库交互功能措施：老师讲解加演示三、教学实施第1次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务一登录认证功能实现引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.了解数据库2.使用数据库存储用户身份3.使用数据库存储文章

4.实现文章搜索情景引入：自1999年以来，SQL注入一直是主要的安全漏洞，2020年OWASPTOP10中仍列首位。2008年，SQL注入导致经济损失，联合国官网在2010年也遭攻击。2011年，多个机构将SQL注入视为头号安全威胁。2012年，Barclaycard报告97%的数据泄露由SQL注入引起，短时间内百万网页受害。2014年，美国海军的web应用遭黑客攻击，导致22万个人信息泄露，事后修复成本超过50万美元。SQL注入依然是难以解决的安全问题，攻击方法简单高效，黑客利用自动化工具进行攻击，形成僵尸网络。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.了解数据库

数据库是指按照一定数据模型组织、存储和管理数据的集合。常见的数据库有关系型数据库（如MySQL、Oracle、SQLServer等）和非关系型数据库（如MongoDB、Redis、Cassandra等）。掌握：

①SELECT：查询数据②INSERT：插入数据③UPDATE：更新数据④DELETE：删除数据2.使用数据库存储用户身份①创建存储用户身份信息的表②写入用户身份信息③登录认证时查询数据库存储的身份分析进行校验3.使用数据库存储文章①创建blog_article表②文章的显示和编辑③评论的显示和编辑4.实现文章搜索①文章的模糊匹配②文章的分页查询教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目三任务二《SQL注入漏洞形成原理》教学设计方案一、教学分析课题名称SQL注入漏洞形成原理授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：理解SQL注入漏洞形成的原理。2、知识准备：PHP开发语言基础。3、任务实施：理解SQL注入漏洞形成的原理。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉SQL注入漏洞的概念。2、熟悉SQL注入漏洞的分类。3、了解SQL注入漏洞的危害。能力目标1、熟悉SQL注入漏洞的类型。2、掌握SQL注入漏洞的特点。素质目标1、养成执着专注的工作习惯。2、树立网络安全风险意识。教学重点SQL注入漏洞形成原理教学难点SQL注入漏洞分类的理解二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：SQL注入漏洞形成原理措施：老师讲解加演示教学难点解决措施难点：SQL注入漏洞分类的理解措施：老师讲解加演示三、教学实施第2次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务二SQL注入漏洞分类的理解引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.熟悉SQL注入漏洞的概念

2.熟悉SQL注入漏洞的分类

3.了解SQL注入漏洞的危害教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.SQL注入漏洞的概念

如果Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库，就可能导致拼接的SQL被执行，获取对数据库的信息以及提权，发生SQL注入攻击。2.SQL注入漏洞的分类但凡使用数据库开发的应用系统，都可能存在SQL注入攻击的媒介。按照不同的维度，SQL注入漏洞可以划分为不同的类型。通常的划分方法包括按照注入点数据类型、数据提交方式、获取信息方式三种。3.SQL注入漏洞的危害SQL注入漏洞会导致数据库信息泄露、网页篡改、服务器被远程控制等。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目三任务三《SQL注入漏洞检测与验证》教学设计方案一、教学分析课题名称SQL注入漏洞检测与验证授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：熟悉SQL注入漏洞的检测以及漏洞验证。2、知识准备：SQL注入漏洞原理。3、任务实施：利用Burp对博客系统进行漏洞检测和漏洞验证。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、绕过后台登录（字符型注入）。2、文章页面注入（数字型注入）。3、搜索框注入（搜索框注入）。4、SQL注入漏洞进阶。能力目标1、能够检测出系统中存在的漏洞。2、能够对SQL注入漏洞进行安全验证。素质目标1、养成执着专注的工作习惯。2、树立网络安全风险意识。教学重点SQL注入漏洞的检测以及验证方法教学难点SQL注入漏洞的利用二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：SQL注入漏洞的检测以及验证方法措施：老师讲解加演示教学难点解决措施难点：SQL注入漏洞的利用措施：老师讲解加演示三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三SQL注入漏洞检测与验证引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.绕过后台登录（字符型注入）

2.文章页面注入（数字型注入）

3.搜索框注入（搜索框注入）

4.SQL注入漏洞进阶教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.绕过后台登录（字符型注入）

①博客系统漏洞点分析②使用Burp抓取登录请求③发送漏洞利用代码④验证利用结果2.文章页面注入（数字型注入）①博客系统漏洞点分析②漏洞利用参数构造③手动注入测试3.搜索框注入（搜索框注入）①博客系统漏洞点分析②搜索框漏洞利用参数构造③验证利用结果

3.SQL注入进阶①盲注漏洞②堆叠注入③二次注入教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目三任务四《SQL注入漏洞修复与防范》教学设计方案一、教学分析课题名称SQL注入漏洞修复与防范授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：熟悉SQL注入漏洞的修复方法与防范措施。2、知识准备：SQL注入漏洞原理、PHP后端开发基础。3、任务实施：修复博客系统中存在的SQL注入漏洞并进行验证。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、参数化查询。2、绕过后台登录修复（字符型）。3、文章页面注入漏洞修复（数字型注入）。4、搜索框注入漏洞修复（搜索框注入）。能力目标1、能够修复系统中存在的漏洞。2、能够对已修复的漏洞进行复测。素质目标1、养成执着专注的工作习惯。2、树立网络安全风险意识。教学重点SQL注入漏洞的修复以及防范方法教学难点SQL注入漏洞的修复二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：SQL注入漏洞的修复以及防范方法措施：老师讲解加演示教学难点解决措施难点：SQL注入漏洞的修复措施：老师讲解加演示三、教学实施第4次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务四SQL注入漏洞修复与防范引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.参数化查询

2.绕过后台登录修复（字符型）

3.文章页面注入漏洞修复（数字型注入）

4.搜索框注入漏洞修复（搜索框注入）教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.参数化查询

参数化查询是一种防止SQL注入攻击的数据库查询方法。它通过将SQL查询语句和查询参数分离，以一种安全的方式传递用户提供的输入参数，从而避免了SQL注入攻击。2.绕过后台登录修复（字符型）修改博客系统源码使用参数化查询，将SQL语句中的变量通过占位符的方式传入，而不是通过字符串拼接的方式。最后进行修复验证。3.文章页面注入漏洞修复（数字型注入）修改博客系统代码使用预处理语句和绑定参数确保查询参数被视为值而不是SQL代码的一部分。预处理语句会先将SQL语句和参数分开处理，再发送到MySQL服务器，从而有效地减少了SQL注入的风险。4.搜索框注入漏洞修复（搜索框注入）修改博客系统代码使用参数化查询来避免SQL注入攻击。例如，使用mysqli_prepare()函数来准备查询，然后使用mysqli_stmt_bind_param()函数来绑定参数。。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目四任务一《博客系统相关功能实现》教学设计方案一、教学分析课题名称博客系统相关功能实现授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：利用PHP实现文章发布相关与评论功能。2、知识准备：PHP数据库连接和数据库增删查改相关知识。3、任务实施：利用PHP实现文章发布相关与评论功能。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉数据库增删查改的操作方法。2、熟悉PHP数据库交互的功能编写方法。能力目标1、能够实现数据库的增删查改。2、能够使用PHP实现数据库交互功能。素质目标1、养成良好的上网行为习惯。2、增强网络安全法律意识。教学重点PHP实现数据库交互功能教学难点使用PHP实现安全的数据库交互功能二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：PHP实现数据库交互功能措施：老师讲解加演示教学难点解决措施难点：使用PHP实现安全的数据库交互功能措施：老师讲解加演示三、教学实施第1次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务一博客系统相关功能实现引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.文章发布相关功能2.评论功能实现情景引入：2010年Twitter发生一起蠕虫攻击，一位名叫MikkoHypponen的安全专家在Twitter上发布了一条推文，内容为“不要点击这个”。这条推文包含了一个恶意的短链接，点击链接后会将蠕虫嵌入用户的Twitter账户中，短短数小时就传播感染了数百万用户。这个事件引起了广泛关注，也提醒我们要警惕恶意链接和脚本，加强对自己账户的保护学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学引入思政：用Twitter蠕虫攻击事件的案例，引导学生养成良好的上网习惯，增强网络安全意识。1.文章发布相关功能①PHP使用mysqli扩展创建爱你数据库连接②数据库创建文章表③编写文章发布页面的代码④显示文章列表⑤显示单篇文章⑥编辑文章功能⑦删除文章功能2.评论功能实现①数据库创建评论表②在文章页面中显示评论③删除评论功能教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目四任务二《跨站脚本攻击的原理》教学设计方案一、教学分析课题名称跨站脚本攻击的原理授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：理解跨站脚本攻击的原理和类型。2、知识准备：HTML、JavaScript、CSS前端开发语言基础。3、任务实施：理解跨站脚本攻击的原理和类型。学情分析学习者前期学习了如何实现文章和评论的发布功能，具备了数据库操作使用的基本能力和PHP实现数据库交互功能的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉跨站脚本攻击的原理。2、熟悉跨站脚本攻击的分类。能力目标1、能够理解跨站脚本攻击的原理。2、能够理解跨站脚本攻击的分类。素质目标1、养成良好的上网行为习惯。2、增强网络安全法律意识。教学重点跨站脚本攻击的原理教学难点跨站脚本攻击的三种形式的区别二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：跨站脚本攻击的原理措施：老师讲解加演示教学难点解决措施难点：跨站脚本攻击的三种形式的区别措施：老师讲解加演示三、教学实施第2次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务二跨站脚本攻击的原理引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.反射型XSS2.存储型XSS3.DOM型XSS教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.反射型XSS反射型XSS（Cross-SiteScripting）攻击是通过向用户发送包含恶意脚本的链接或者欺骗用户点击链接来实现攻击的一种方式。与存储型XSS攻击不同，反射型XSS攻击并不需要攻击者将恶意脚本存储在目标网站上，而是将恶意脚本作为参数发送到目标网站上，目标网站将恶意脚本反射回用户的浏览器执行，从而完成攻击。2.存储型XSS存储型XSS（Cross-SiteScripting）攻击是一种存储再加载的攻击方式。攻击者向Web应用程序提交带有恶意脚本的数据，例如评论、留言、上传文件等，当其他用户访问包含恶意脚本的数据时，恶意脚本会被注入到页面中并执行。3.DOM型XSSDOM型XSS（Cross-SiteScripting）攻击是一种基于浏览器端的XSS攻击方式，攻击者构造特定的URL或表单，将恶意脚本注入到Web页面中，通过修改DOM（文档对象模型）来达到攻击的目的。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目四任务三《跨站脚本漏洞检测与验证》任务四《跨站脚本漏洞修复与防范》教学设计方案一、教学分析课题名称跨站脚本漏洞检测与验证、跨站脚本漏洞修复与防范授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：检测和利用跨站脚本漏洞，对跨站脚本漏洞进行修复和防范。2、知识准备：HTML、JavaScript、CSS前端开发语言基础。3、任务实施：检测和利用博客系统中的跨站脚本漏洞，针对博客系统相关功能存在的跨站脚本漏洞进行修复和防范。学情分析学习者前期学习了跨站脚本攻击原理和分类的知识，具备了跨站脚本攻击相关的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉跨站脚本漏洞的检测方法。2、熟悉跨站脚本漏洞的利用方法。3、熟悉跨站脚本漏洞的修复防范方法。能力目标1、能够检测出跨站脚本漏洞。2、能够利用跨站脚本漏洞。3、能够实现对跨站脚本漏洞的修复和防范。素质目标1、养成良好的上网行为习惯。2、增强网络安全法律意识。教学重点跨站脚本漏洞的检测、跨站脚本漏洞的修复和防范的三种方法教学难点跨站脚本漏洞的利用二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：跨站脚本漏洞的检测、跨站脚本漏洞的修复和防范的三种方法措施：老师讲解加演示教学难点解决措施难点：跨站脚本漏洞的利用措施：老师讲解加演示三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三跨站脚本漏洞检测与利用引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.检测跨站脚本漏洞2.利用跨站脚本漏洞任务四跨站脚本漏洞修复与防范引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.对用户输入进行处理2.使用内容安全策略3.使用安全Cookie教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学任务三跨站脚本漏洞检测与利用1.检测跨站脚本漏洞①在应用程序中找到一个输入字段，例如搜索框、评论框或联系表单。输入一些HTML或JavaScript代码②提交输入并观察浏览器中是否弹出了一个警告框。如果弹出了警告框，说明应用程序中存在跨站脚本漏洞③如果没有弹出警告框，尝试在输入中添加一些其他恶意代码，例如cookie窃取脚本、重定向脚本或恶意HTML标签。观察是否能够成功执行这些代码④如果没有发现跨站脚本漏洞，请尝试在其他输入字段中进行类似的测试。例如，如果应用程序包含一个上传文件功能，则可以尝试上传包含恶意脚本的HTML文件2.利用跨站脚本漏洞一旦发现跨站脚本漏洞，攻击者可以利用该漏洞执行以下操作：①窃取用户会话令牌或其他敏感信息。攻击者可以编写JavaScript代码来获取当前用户的cookie，然后将该cookie发送到攻击者的服务器。攻击者可以使用窃取的cookie登录用户的帐户，并执行其他恶意操作。②修改网页内容。攻击者可以注入恶意脚本来更改网页内容，例如添加广告、修改表单字段或注入其他恶意代码。③欺骗用户。攻击者可以注入恶意脚本来模拟合法的网页内容，例如伪造登录表单、模拟警告框或创建虚假的链接。任务四跨站脚本漏洞修复与防范1.对用户输入进行处理过滤输入数据：对于用户输入的数据，可以使用过滤器或正则表达式等方法进行过滤，去除其中的HTML标签和JavaScript代码；PHP中可以使用strip_tags()函数去除HTML标签；JavaScript中可以使用innerHTML属性去除HTML标签，使用encodeURI()函数编码URL等。2.使用内容安全策略内容安全策略（ContentSecurityPolicy，CSP）是一种现代的防御跨站脚本攻击的方式。CSP允许网站管理员指定允许加载的内容的来源，从而防止恶意脚本或其他不受信任的内容加载到页面上。3.使用安全CookieCookie是一个常见的用于存储用户会话信息的机制，但是Cookie也存在安全风险。攻击者可以通过劫持Cookie来冒充用户，或者通过修改Cookie来实现其他攻击。为了保护Cookie，可以使用安全Cookie，也称为HTTP-onlyCookie。安全Cookie只能通过HTTP请求访问，无法通过客户端脚本（如Javascript）访问。这样可以防止跨站脚本攻击等攻击方式。在PHP中，可以通过setcookie()函数来设置安全Cookie。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目五任务一《博客系统的功能实现》教学设计方案一、教学分析课题名称博客系统的功能实现授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：利用PHP实现账户密码修改功能。2、知识准备：PHP数据库连接和数据库增删查改相关知识。3、任务实施：利用PHP实现账户密码修改功能。学情分析学习者前期学习了安全的数据库交互知识，具备了数据库操作使用的基本能力和数据库常见漏洞的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉数据库增删查改的操作方法。2、熟悉PHP数据库交互的功能编写方法。能力目标1、能够实现数据库的增删查改。2、能够使用PHP实现数据库交互功能。素质目标1、养成个人敏感信息保护习惯。2、提高网络安全防范意识。教学重点PHP实现数据库交互功能教学难点使用PHP实现安全的数据库交互功能二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：PHP实现数据库交互功能措施：老师讲解加演示教学难点解决措施难点：使用PHP实现安全的数据库交互功能措施：老师讲解加演示三、教学实施第1次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务一博客系统的功能实现引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.创建表单2.处理表单提交情景引入：2018年雅虎宣布其邮箱系统存在一个CSRF漏洞，攻击者通过构造恶意网页或者通过钓鱼邮件等方式，欺骗用户点击恶意链接，触发跨站请求伪造攻击。攻击者可以通过伪造的请求，访问用户的邮件，查看邮件内容，修改用户的邮件，删除用户的邮件等恶意操作.这个漏洞使得大量用户的隐私受到了威胁，雅虎随后对这个漏洞进行了修复，并且在其官方博客中发布了安全公告，提醒用户加强密码安全，使用双因素认证等措施，以保护自己的账户安全。这个事件提醒用户们注意保护自己的隐私安全，不要轻易点击来自不可信来源的链接，注意账户和密码的安全性，避免泄露个人信息。同时，对于开发者们来说，也提醒我们要注意验证和过滤用户提交的请求，以避免类似的漏洞发生。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学引入思政：用雅虎邮箱CSRF漏洞攻击事件的案例，引导学生养成良好的上网习惯，增强网络安全意识。1.创建表单在前端页面上添加一个口令修改表单，其中包括原口令、新密码和确认新密码等字段，用户可以在表单中输入相关信息：<formmethod="post"action="password_change.php"><labelfor="new_password">新密码</label><inputtype="password"name="new_password"id="new_password"required><br><labelfor="confirm_password">确认新密码</label><inputtype="password"name="confirm_password"id="confirm_password"required><br><buttontype="submit">修改口令</button></form>2.处理表单提交在后端服务器端，接收前端发送的口令修改请求，并对用户提交的表单数据进行验证，比如检查新密码和确认新密码是否一致。如果数据验证失败，则返回错误提示；否则，更新用户的密码信息。再将用户输入的新密码进行加密处理，然后更新到数据库中，用于下次用户登录时进行验证。<?phpsession_start();//验证用户是否已登录if(!isset($_SESSION['user_id'])){header('Location:login.php');exit();}//处理表单提交if(isset($_POST['new_password'])&&isset($_POST['confirm_password'])){$new_password=$_POST['new_password'];$confirm_password=$_POST['confirm_password'];//连接数据库$db=newPDO('mysql:host=localhost;dbname=blog','username','password');//检查新密码是否匹配确认密码if($new_password===$confirm_password){//更新用户的密码$stmt=$db->prepare('UPDATEusersSETpassword=?WHEREid=?');$stmt->execute([password_hash($new_password,PASSWORD_DEFAULT),$_SESSION['user_id']]);echo'密码已更新！';}else{echo'新密码与确认密码不匹配。';}?>教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目五任务二《跨站请求伪造攻击的原理》教学设计方案一、教学分析课题名称跨站请求伪造攻击的原理授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：理解跨站请求伪造攻击的原理。2、知识准备：HTML、JavaScript、CSS前端知识及HTTP协议知识。3、任务实施：理解跨站请求伪造攻击的原理。学情分析学习者前期学习了博客系统修改密码功能的实现，具备了数据库操作使用的WEB表单相关的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉跨站请求伪造攻击的步骤。2、熟悉跨站请求伪造攻击的特点。能力目标1、能够实施跨站请求伪造攻击。2、能够理解跨站请求伪造攻击的特点。素质目标1、养成个人敏感信息保护习惯。2、提高网络安全防范意识。教学重点跨站请求伪造攻击的步骤教学难点跨站请求伪造攻击的特点二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：跨站请求伪造攻击的步骤措施：老师讲解加演示教学难点解决措施难点：跨站请求伪造攻击的特点措施：老师讲解加演示三、教学实施第2次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务二跨站请求伪造攻击的原理引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.CSRF攻击步骤2.CSRF的特点教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学1.CSRF攻击步骤①攻击者创建一个伪造的请求，该请求在运行时会将10,000美元从特定银行转入攻击者的账户；②攻击者将伪造的请求嵌入到超链接中，以批量电子邮件的形式发送出去，并将其嵌入到网站中；③受害者点击攻击者放置的电子邮件或网站链接，导致受害者向银行提出转账10,000美元的请求；④银行服务器接收到请求，并且由于受害者得到了适当的授权，它将请求视为合法并转移资金。2.CSRF的特点①攻击一般发起在第三方网站，而不是被攻击的网站。被攻击的网站无法防止攻击发生。②攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作；而不是直接窃取数据。③整个过程攻击者并不能获取到受害者的登录凭证，仅仅是“冒用”。④跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中，难以进行追踪。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目五任务三《跨站请求伪造漏洞检测与利用》任务四《跨站请求伪造漏洞修复与防范》教学设计方案一、教学分析课题名称跨站请求伪造漏洞检测与利用、跨站请求伪造漏洞修复与防范授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：检测和利用跨站请求伪造漏洞、对跨站请求伪造漏洞进行修复和防范。2、知识准备：HTML、JavaScript、CSS前端知识及HTTP协议知识。3、任务实施：检测和利用博客系统中的跨站请求伪造漏洞、针对博客系统相关功能存在的跨站请求伪造漏洞进行修复和防范。学情分析学习者前期学习了跨站请求伪造漏洞原理和特点的知识，具备了针对跨站请求伪造漏洞的利用检测及修复防范的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉跨站请求伪造漏洞的检测方法。2、熟悉跨站请求伪造漏洞的利用方法。3、熟悉跨站请求伪造漏洞的修复防范方法能力目标1、能够检测出跨站请求伪造漏洞。2、能够利用跨站请求伪造漏洞。3、能够实现对跨站请求伪造漏洞的修复和防范素质目标1、养成个人敏感信息保护习惯。2、提高网络安全防范意识。教学重点跨站请求伪造漏洞的检测、跨站请求伪造漏洞的四种修复防范方法教学难点跨站请求伪造漏洞的利用二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：跨站请求伪造漏洞的检测、跨站请求伪造漏洞的四种修复防范方法措施：老师讲解加演示教学难点解决措施难点：跨站请求伪造漏洞的利用措施：老师讲解加演示三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三跨站请求伪造漏洞检测与验证引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.跨站请求伪造漏洞的检测2.跨站请求伪造漏洞的利用任务四跨站请求伪造漏洞修复与防范引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.同源检测2.SamesiteCookie3.CSRFToken4.特定情况下的必要严重教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学任务三跨站请求伪造漏洞检测与验证1.跨站请求伪造漏洞的检测CSRF攻击是攻击者借助受害者的cookie骗取服务器的信任，但是攻击者并不能拿到cookie，也看不到cookie的内容。另外，对于服务器返回的结果，由于浏览器同源策略的限制，攻击者也无法进行解析。因此，攻击者无法从返回的结果中得到任何东西，他所能做的就是给服务器发送请求，以执行请求中所描述的命令，在服务器端直接改变数据的值，而非窃取服务器中的数据。2.跨站请求伪造漏洞的利用使用BurpSuite截获信息，并利用CSRF漏洞，先截获口令修改的http请求包，然后生成CSRFPoc，csrfHTML成功生成后，将其中的html存为一个单独的文件，也可以做一定的迷惑、引诱性伪装，将其上线到一个网页中发送给受害者。如果受害者点击该链接，那么他的该站密码会修改为我们提前设置好的字符任务四跨站请求伪造漏洞修复与防范1.同源检测禁止外域（或者不受信任的域名）对我们发起请求。在HTTP协议中，每一个异步请求都会携带两个Header，用于标记来源域名：OriginHeader和RefererHeader。通过Header的验证，我们可以知道发起请求的来源域名，这些来源域名可能是网站本域，或者子域名，或者有授权的第三方域名，又或者来自不可信的未知域名。在Web应用中检查请求头中的Header字段，确保请求来自合法的来源。但是，这种方式并不是完全可靠的，因为攻击者可以通过篡改HTTP请求头的方式绕过Header检查。2.SamesiteCookie为了从源头上解决CSRF攻击，Google起草了一份草案来改进HTTP协议，那就是为Set-Cookie响应头新增Samesite属性，它用来标明这个Cookie是个“同站Cookie”，同站Cookie只能作为第一方Cookie，不能作为第三方Cookie。3.CSRFToken在应用程序中使用CSRFToken可以有效地防止CSRF攻击。CSRFToken是在服务器端生成的一段随机字符串，该字符串与用户会话相关联，作为表单隐藏字段或请求参数的一部分，一起发送给客户端浏览器。当客户端提交表单或请求时，服务器端会验证请求中的Token是否与用户会话中的Token一致，如果一致则认为请求是合法的，否则拒绝请求。这样，即使攻击者成功伪造了请求，也无法获取有效的令牌信息，从而无法完成攻击。4.特定情况下的必要严重在特定情况下加入一些特定的验证来防止CSRF攻击，当用户在应用程序中执行敏感操作时，应用程序可以要求用户提供额外的验证信息，例如输入密码或者提供其他的身份信息。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活动学生活动设计意图总结本节课知识点通过课后习题或课堂问答，引导同学进行总结。完成课堂任务，积极回答课堂提问让学生温习课堂所学知识，加深印象考核评价小组评价和个人综合评价（验证是否完成任务）出勤，学习表现、作业评价等四、反思诊改教学效果反思改进XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目六任务一《构造简单的文件上传》教学设计方案一、教学分析课题名称构造简单的文件上传授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：构建一个基础的文件上传功能，实现前端到服务器的文件传输和存储。2、知识准备：Linux操作系统的使用和PHP语言基础。3、任务实施：实现一个简单的PHP文件上传示例，包含前端表单和后端文件保存逻辑。学情分析学习者前期学习了如何编写PHP代码的基础知识，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、了解文件上传的基本概念及其类型。2、熟悉PHP文件上传的功能编写方法。能力目标1、能够理解文件上传的原理。2、能够实现PHP简单的文件上传。素质目标1、养成解决问题时的逆向思维能力。2、培养一丝不苟的工作态度。教学重点PHP实现文件上传功能教学难点使用PHP实现文件上传的交互功能二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：PHP实现文件上传交互功能措施：老师讲解加演示教学难点解决措施难点：使用PHP实现安全的文件上传交互功能措施：老师讲解加演示三、教学实施第1次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务一构造简单的文件上传引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.了解什么是文件上传2.构造简单的文件上传3.文件上传的类型4.