Web基础渗透与防护-教学大纲.docx

Web基础渗透与防护教学大纲一、课程信息课程名称：Web基础渗透与防护课程类别：素质选修课/专业基础课课程性质：选修/必修计划学时：64计划学分：4先修课程：无选用教材：Web基础渗透与防护，王德鹏、谭方勇主编，2019年，电子工业出版社。适用专业：本课程既可以作为高等职业院校计算机网络与信息安全等相关专业的教学 课程，也可以作为信息安全从业的学习指导课程。课程负责人：二、课程简介本课程介绍了 Web中高危漏洞的形成原理、利用方法、加固和防御方法。全课程共11 章，第2章为基础知识与法律法规，主要论述了当前的信息安全状况、存在的问题。第 310章为漏洞分析、利用、加固和防御，主要介绍了命令注入、文件上传、SQL注入、SQL 盲注、文件包含、暴力破解、XSS跨站请求、CSRF跨站请求等漏洞原理、利用方法与针对性 加固方法。第11章为代码审计部分，主要分析了代码审计的必要性、代码审计的方法，以 及代码审计的案例。三、课程教学要求序号专业毕业要求课程教学要求关联程度1工程知识本课程针对OWASP每年公布的TOP 10 Web应用风险与 攻防，主要分析了命令注入、文件上传、SQL注入与盲 注、暴力破解、文件保护、XSS跨站、CSRF等的方法， 结合主流的hacker实验平台DVWA,分析原理，利用方 法，加固措施等。Web信息安全是一把双刃剑，在理解 攻击原理后，可以针对性地设计加固与防御方案，同时 也可以根据原理设计新的攻击方式，因此信息安全从业 人员需要守住自己的底线。为了加强安全意识，本课程 利用一章的篇幅讲解信息安全方面的法律法规。为了加 强防御方法，本课程最后分析了代码审计对软件的必要 性。L2问题分析在网络空间安全提出之前，从事网络安全工作的人员， 都是专业的技术人员，大多从高级程序员、设备驱动程 序开发人员转换而来，具有丰富、扎实的软件开发、网 络编程等技术知识。因此，目前涉及网络安全基础知识H的课程籍较少，学生学习网络安全基础知识的入门教材 更是难寻。为了方便计算机专业的学生学习Web信息安 全的基础知识，以及信息安全爱好人员学习网络安全知 识，主编团队特编写了本课程。3设计/开发解决方案在理解攻击原理后，可以针对性地设计加固与防御方案, 同时也可以根据原理设计新的攻击方式，因此信息安全 从业人员需耍守住自己的底线。为了加强安全意识，本 课程利用一章的篇幅讲解信息安全方面的法律法规。为 了加强防御方法，本课程最后分析了代码审计对软件的 必要性。H4研究L5使用现代工具Python2.7、DVWA1.9、XAMPP、Burp Suit> Bruter、 HydraM6工程与社会学会将相应技术应用于实际生产和社会服务中，为社会 做出贡献。L7环境和可持续发展L8职业规范L9个人和团队学会个人发展和团队合作，提高个人和团队的综合素质。H10沟通学会进行有效的沟通和表达，与客户、同事和上级保持 良好的沟通和协作。M11项目管理L12终身学习学会进行自我学习和自我提升，不断提高自身的专业水 平和创新能力。H、课程教学内容注：“课程教学要求”栏中内容为针对该课程适用专业的专业毕业要求与相关教学要求的具 体描述。“关联程度”栏中字母表示二者关联程度。关联程度按高关联、中关联、低关联三 档分别表示为“H” 或。”课程教学要求”及“关联程度”中的空白栏表示该课 程与所对应的专业毕业要求条目不相关。章节名称主要内容重难点关键词学时类型1Web信息安全 基础当前Web信息安全形势 Web信息安全防护技术了解Web信息安 全的重要性和基 本概念；了解Web攻击的 类型和常见漏 洞。2理论U!2信息安全法律 法规信息安全相关管理方法 案例了解信息完全相 关的法律法规。2理论3命令注入攻击与防御项目分析实验环境命令注入攻击原理分析 利用命令注入获取信息 命令注入漏涧攻击方法 防御命令注入攻击 实训任务了解命令注入攻 击原理；能够理解命令注 入的攻击方式。 如信息获取、密 码破解等；能够利用多种手 段防御命令注入 攻击。6理论+ 实操4文件上传攻击 与防御项目分析实验环境文件上传漏洞原理分析 上传木马获取控制权 文件上传满洞攻击方法 文件上传漏洞防御方法 实训任务了解文件上传的 攻击原理；能够理解文件上 传攻击方式，如 信息获取、挂马 等；能够利用多种手 段防御文件上传 攻击。6理论+ 实操5SQL注入攻击 与防御项目分析 实验环境 SQL注入攻击原理分析 文本框输入的SQL注入方法 非文本框输入的SQL注入方法 固定提示信息的渗透方法 利用SQL注入漏洞对文件进行读 写利用sqlmap完成SQL注入 防范SQL注入 实训任务了解SQL注入的 基本原理； 掌握不同数据库 识别方法与原 理；掌握不同数据库 的特点；利用SQL注入完 成对MySQL数据 库的渗透测试； 学会程序设计中 防御SQL注入漏 洞的基本方法。8理论+ 实操6SQL盲注入攻 击与防御项目分析实验环境基于布尔值的字符注入原理 基于布尔值的字节注入原理 基于时间的注入原理非文本框输入的SQL盲注方法 固定提示信息的SQL盲注方法 利用Burp Suite暴力破解SQL 盲注了解SQL富注的 基本原理；掌握不同数据库 识别方法与原 理；掌握不同数据库 的特点；利用SQL盲注完 成对MySQL数据6理论+ 实操SQL盲注防御方法 实训任务库的渗透测试； 学会程序设计中 防御SQL盲注漏 洞的基本方法。7暴力破解攻击 与防御项目分析实验环境利用万能密码进行暴力破解利用Burp Suite进行暴力破解 在中、高等安全级别下实施暴力 破解利用Bruter实施暴力破解利用Hydra实施暴力破解 实训任务了解暴力破解的 攻击原理；能够理解常用的 暴力破解攻击方 式；熟练掌握常用的 暴力破解工具及 其优缺点；能够利用多种手 段防御暴力破解。8理论+ 实操8文件包含攻击 与防御项目分析实验环境文件包含漏洞原理文件包含上洞攻击方法绕过防御方法文件包含漏洞的几种应用方法 文件包含漏涧的防御方法 实训任务了解文件包含攻 击原理；能够理解文件包 含攻击方式，如 信息获取、挂马 等；能够利用多种手 段防御文件包含 攻击。6理论+ 实操9XSS攻击与防 御项目分析实验环境XSS攻击原理反射型XSS攻击方法存储型XSS攻击方法利用Cookie完成Session劫持XSS钓鱼攻击防范XSS攻击 实训任务了解XSS攻击的 基本概念和分 类；掌握反射型XSS 攻击的方法； 掌握存储型XSS 攻击的方法； 利用XSS攻击完 成敏感数据的窃 取测试；掌握防御XSS攻 击的基本方法。8理论+ 实操10CSRF攻击与防御项目分析 实验环境 CSRF攻击原理 显性与隐性攻击方式 模拟银行转账攻击 防范CSRF攻击 实训任务了解CSRF攻击的 基本概念和原 理；掌握CSRF攻击的 实施方式。利用CSRF攻击实 现服务器上的数8理论+ 实操据修改；掌握防御CSRF 攻击的基本方 法。11代码审计代码审计概述 常见代码审计方法 代码审计具体案例了解代码审计的 概念；掌握常见代码审 计的方法。4理论+ 实操五、考核要求及成绩评定序号成绩类别考核方式考核要求权重（%）备注1期末成绩期末考试考试50百分制，60分为及格2平时成绩实训报告11次40优、良、中、及格、不及格3平时表现出勤情况10两次未参加课程则无法获得学分注：此表中内容为该课程的全部考核方式及其相关信息。六、学生学习建议（一）学习方法建议1 .通过每个项目最后搭配的习题，巩固知识点。2 .进行练习和实践，提高自己的技能和应用能力，加深对知识的理解和记忆。3 .依据专业教学标准，结合岗位技能职业标准，通过案例展开学习，将每个项目分成 多个任务，系统化地学习。（二）学生课外阅读参考资料（三）Web基础渗透与防护，王德鹏、谭方勇主编，2019年，电子工业出版社。七、课程改革与建设本课程在系统介绍理论知识的同时，还以“项目分析”“项目训练”等栏目丰富内容。 本课程以任务驱动的项目式教学作为编写思路，注重Web信息安全的理论知识和实际项目 相结合，具有很强的可操作性，每个项目分为项目描述、项目分析、项目小结、项目训练和 实训任务几个模块，既给出了完成项目所需要学习的目标和主要任务，也给出了完成项目所 需耍的理论知识。本课程主要讲解了在Web信息安全中常见的漏洞攻击的基本原理与针对 性的防御方法。平时对学生的考核内容包括出勤情况、学生的实训报告、课堂讨论等方面，占期末总评 的50%。期末考试成绩占期末总评的50%。订人 签字：教研室主 任签字：院部负责人 签字：修订时 fnJ：年月日