还剩4页未读,继续阅读
文本内容:
课程教学设计课程名称_____________Web渗透测试与防护授课对象信息安全技术应用、密码技术应用专业课程学分3总学时54课程性质专业核心课所属系部_______________网络空间安全学院设计人(团队)Web渗透测试与防护课程教学团队审核人批准人
一、课程目标设计
1、总体目标本课程是信息安全技术应用专业和密码技术应用专业的核心课程,主要面向网络安全运维和渗透测试工程师岗位课程以Web网站安全攻击与防护为主,以主流的攻击手段为主线,设计并安排课程内容,重视规范化流程,重视学生团队分析和解决问题的能力以模拟真实应用场景作为任务设计的基础,更加贴近行业应用,是对前导课程《网络操作系统》、《信息安全技术基础》和《数据库管理》课程的进一步加深应用,也为各后续课程的学习打下良好基础通过本课程的学习,学生可建立起Web渗透测试的基本概念,能根据客户具体需求,运用信息收集,网络扫描,漏洞测试,风险评估等方法,正确完成目标测评本课程在培养学生的基础知识、分析和解决实际问题的能力,以及工程实践能力等方面,发挥着积极的作用
2、能力目标1能对Web网站安全现状进行分析;2能安装DVWA环境和渗透测试相关软件;3能使用PHP连接MySql数据库,并对数据进行操作;4能利用常规的安全漏洞进行渗透测试;5能够进行Web安全巡检、安全防护;6能根据具体客户需求,综合运用所学专业知识熟练完成目标测评
3、知识目标1了解Web安全漏洞常见类型,掌握HTTP协议原理;2掌握PHP基础语法和结构语句;3掌握SQL注入方式和防范;4掌握反射型和存储型XSS的工作原理;5掌握CSRF的攻击与防护;6掌握命令注入的方式和防范;7熟练常见的文件上传防护绕过方式;8掌握文件包含漏洞的利用与防御
4、素质目标1培养学生团队协作精神,树立诚信意识,锻炼学生沟通交流、提高学生的语言表达能力;2提高学生的动手能力,激发学生的创新能力、自主学习能力和分析问题、解决问题的能力,掌握知识的贯通与应用,并具有一定的知识迁移能力;3培养学生知识分享、互相学习的意识,自我学习能力
5、思政育人目标1培养学生潜意识的安全意识和行为习惯,居安思危,不断反思,增强忧患意识2培养学生对国家和社会所负责任的认知,培养学生社会主义核心价值观,增强学生政治认同3正确使用网络工具,培养学生励志壮行的道德素养,树立学生的法治意识,培养遵纪守法的良好习惯4基于开源平台进行创新探索,在实践中增强创新意识,鼓励学生勇于探索、实践创新
二、课程内容设计1课程内容设计本课程教学内容设计为8个教学项目,每个项目包含若干个教学任务,在教学实施时,按照从项目1到项目8的顺序进行,对任务逐步展开实施即可,并最后将所有实验综合练习,并进行考核表课程内容表1序号内容模块名称学时1项目lTYeb安全基础及平台搭建62项目2-PHP基础知识83项目3-SQL注入漏洞与防护144项目4-XSS漏洞与防护65项目5-CSRF漏洞与防护46项目6-命令注入漏洞与防护47项目7-文件上传漏洞与防护48项目8-文件包含漏洞与防护49复习测试4合计54注理论课学时数22,实践课学时数32O2思政内容设计《Web渗透测试与防护》是信息安全技术应用专业与密码技术应用专业开设的专业核心课程,本课程将思想政治教育融入每个单元的专业课程内容,在专业课的教学中引入课程思政的理念,提倡工匠精神,服务于行业企业,为以后的工作打基础结合本课程的教学内容,强化育人育才统一,筑牢课程思政与立德树人的关系具体内容见表2表思政内容设计表2序号单元名称引例名称思政小课堂思政育人目标•培养学生良好的编程习惯PHP PHP基础知识细致见真章1•引导学生从思维的细致处入手•树立学生的法治意识,培养遵纪守法的良好习惯安全至上,探•基于开源平台进行创新探索,在实践中增强创新意SQL注入工具注入2识索创新•培养学生对国家和社会所负责任的认知履行社会责■培养学生社会主义核心价值观,增强学生政治XSS XSS的配置3任,体现社会认同担当用诚信美化•帮助学生培养讲诚信、无虚伪、不欺诈,励志壮行的4CSRF CSRF的原埋道德素养心灵,用法治规范社会•培养学生潜意识的安全意识和行为习惯,居安思危,居安思危,防不断反思命令注入命令注入的防范5•树立学生的法治意识,培养遵纪守法的良好习惯范未然勇往直前,大•发现问题,解决问题,注重思维发散、思维创新才能文件上传文件上传的防护6赢得成功胆创新防人之心必•培养学生潜意识的安全意识和行为习惯文件包含文件包含的防护7•居安思危,不断反思,增强忧患意识须有
三、能力训练项目设计其他内容序号学时单元标题能力目标知识目标WEB安全概述;HTTP协
1、WEB基础12项目1-1WEB基础议基础;法律法规信息安全常识
2、HTTP项目1-2dvwa平台安装前注意事项;
1、web服务器基础
241、环境平台测试搭建搭建dvwa平台并正常使用
2、计算机网络基础
1、PHP的语法结构PHP基础语法38项目2PHp基础知识
2、SQL数据库和PHP的PHP中常见的命令PHP连接数据库连接项目3-1SQL注入漏能根据任务要求设计、调试、
1、数据库基础
41、学生自行测试环境4洞基础运行简单的漏洞环境
2、SQL注入原理漏洞演示;项目3-2SQL注入测510漏洞攻击语句测试;熟练理注入语句理解学生自测试解注入语句
1、示例案例分析
2、漏洞环境测试
1、编码转换项目4-1XSS漏洞基熟练掌握XSS漏洞的原理了
623、要求学生作好课前
2、XSS漏洞原理础解编码如何转换资料准备XSS漏洞的原理和测试理解
1、XSS漏洞测试项目4-2XSS漏洞攻74如何攻击测试熟练理解如何
2、漏洞防护击进行防护
1、CSRF的漏洞原理CSRF漏洞的原理与测试如84项目5CSRF漏洞
2、解析漏洞的原理和测何防范CSRF漏洞试攻击原理
1、常用的攻击方法94项目6命令注入漏洞利用命令注入获取信息
2、防御攻击测试
1、常见上传漏洞原理熟练掌握各种常见上传漏洞
1022、测试方法项目7-1上传漏洞的原理和测试方法
3、防护方法模拟漏洞演示与讲解
1、案例分析项目7-2上传漏洞实112实际案例分析
2、防护测试测防护方法
1、文件包含漏洞的防御文件包含漏洞原理方法文件包含漏洞攻击方法124项目8文件包含漏洞
2、文件包含漏洞的几种绕过防御方法应用方法要求学生完成相关实验,134单元测试单元测试单元测试并将解题过程形式报告
六、考核方案设计:L学生课程成绩评价总体要求学生课程成绩评价立足培养高素质技术技能型人才和提升教学品质,加快建立能力和素质等多方面结合的学生课程成绩综合评价体系,坚持形成性评价和终结性评价相结合,突出学习、实践、科研、创新等多方面素质和能力的考评,逐步形成创新型、应用型、复合型、技能型人才培养的多层次、多元化评价方式
2.学生课程成绩评价内容该课程的考核改变单一的终结性评价方式,采用态度性考核、知识性考核、技能性考核相结合,与创新性评价附件分一并合计计算的形成性考核方式其中态度性评价占20%,知识性评价占40%,技能型评价占40%,另外对于学生的创新性评价,总分不得超过10分灵活多样的考核方式可以全面考核学生的学习效果
3.学生学业成绩分类评价标准理论•实践一体化类课程(无期中考试)考核分类考核项目考核要求考核形式分数比例(%)采用扣分制,按20分计课堂上出现迟到、早退,仪容不整,不带书本、从事与课堂教学无关事项、打瞌睡、不参与团组活动以及其他学习主动性明显不足现象的,每次扣1分;无故旷课、严重态度性评价平时表现20影响课堂秩序的,每次扣2分,直至该平时检查项成绩扣完如一课程缺课累计达总课时的三分之一及以上者,依照学院《学生学分制学籍管理规定》第十一条,该课程成绩按零分计,直接重修单元小测验平单元小测验平均成绩、期末成绩按50:50测验知识性评价均成绩40(百分制)计入知识性评价成绩考试期末成绩
1.PHP基础
2.SQL注入对每次实践操作完成情况评价,项目
1、
3.XSS项目
2、项目
3、项目
4、项目5按20技能性评价
4.CSRF和命令40实践操作打分20202020(百分制)计入注入技能性评价成绩
5.文件上传和文件包含对于取得与本课程知识、技术相关的证书如专利授权证书、软件等专业产品登记证书等,在院级及以上学科(专业)相关的竞赛获奖、市级以上刊物发表论文,社会技术服务取得明显成效,或者创新性评价附加分在课程学习中有突出创新的学生,经本人申请,相关课程授课教师审定通过并提供佐证材料,报学生所在二级学院(部)认定后,每项成果可给予一门相关课程不超过10分的附加分奖励并计入学业成绩总分100合计
七、教材、资料教材《Web渗透测试与防护》虞菊花著,人民邮电出版社,2023年7月参考教材《网络攻防与实践(第2版)》刘坤著,北京理工大学出版社,2019年11月;《网络安全协议分析》龙翔著,机械工业出版社,2019年8月;《数据库安全》虞菊花著,机械工业出版社,2020年7月;《渗透测试常用工具应用》李建新著,机械工业出版社,2020年8月。