Web基础渗透与防护-教学大纲

《基础渗透与防护》Web教学大纲

一、课程信息课程名称基础渗透与防护Web课程类别素质选修课/专业基础课课程性质选修/必修计划学时64计划学分4先修课程无选用教材《基础渗透与防护》，王德鹏、谭方勇主编，年，电子工业出版社Web2019适用专业本课程既可以作为高等职业院校计算机网络与信息安全等相关专业的教学课程，也可以作为信息安全从业的学习指导课程课程负责人

二、课程简介本课程介绍了中高危漏洞的形成原理、利用方法、加固和防御方法全课程共章，Web11第「章为基础知识与法律法规，主要论述了当前的信息安全状况、存在的问题第章为漏23〜10洞分析、利用、加固和防御，主要介绍了命令注入、文件上传、注入、盲注、文件包含、SQL SQL暴力破解、跨站请求、跨站请求等漏洞原理、利用方法与针对性加固方法第章为XSS CSRF11代码审计部分，主要分析了代码审计的必要性、代码审计的方法，以及代码审计的案例

三、课程教学要求专业毕业要求序号课程教学要求关联程度本课程针对每年公布的应用风险与OWASP TOP10Web攻防，主要分析了命令注入、文件上传、注入与盲注、SQL暴力破解、文件保护、跨站、等的方法，结合XSS CSRF主流的实验平台分析原理，利用方法，加hacker DVWA,固措施等信息安全是一把双刃剑，在理解攻击原理Web1工程知识后，可以针对性地设计加固与防御方案，同时也可以根据L原理设计新的攻击方式，因此信息安全从业人员需要守住自己的底线为了加强安全意识，本课程利用一章的篇幅讲解信息安全方面的法律法规为了加强防御方法，本课程最后分析了代码审计对软件的必要性在网络空间安全提出之前，从事网络安全工作的人员，都是专业的技术人员，大多从高级程序员、设备驱动程序开2问题分析H发人员转换而来，具有丰富、扎实的软件开发、网络编程等技术知识因此，目前涉及网络安全基础知识的课程籍较少，学生学习网络安全基础知识的入门教材更是难寻为了方便计算机专业的学生学习信息安全Web的基础知识，以及信息安全爱好人员学习网络安全知识，主编团队特编写了本课程在理解攻击原理后，可以针对性地设计加固与防御方案,同时也可以根据原理设计新的攻击方式，因此信息安全从业人员需耍守住自己的底线为了加强安全意识，本课程3设计/开发解决方案H利用一章的篇幅讲解信息安全方面的法律法规为了加强防御方法，本课程最后分析了代码审计对软件的必要性4研究L5使用现代工具M、、、、Python

2.7DVWA

1.9XAMPP BurpSuit BruterHydra学会将相应技术应用于实际生产和社会服务中，为社会做6工程与社会L出贡献7环境和可持续发展L8职业规范L9个人和团队学会个人发展和团队合作，提高个人和团队的综合素质H学会进行有效的沟通和表达，与客户、同事和上级保持良10沟通M好的沟通和协作11项目管理L学会进行自我学习和自我提升，不断提高自身的专业水平12终身学习H和创新能力注“课程教学要求”栏中内容为针对该课程适用专业的专业毕业要求与相关教学要求的具体描述“关联程度”栏中字母表示二者关联程度关联程度按高关联、中关联、低关联三档分别表示为或”课程教学要求”及“关联程度”中的空白栏表示该课程与所对应的专业毕业要求“H”条目不相关U!、课程教学内容章节名称主要内容重难点关键词学时类型了解信息安Web全的重要性和基本Web信息安全当前Web信息安全形势Web信息概念；12理论基础安全防护技术了解攻击的Web类型和常见漏洞信息安全法律了解信息完全相2信息安全相关管理方法案例2理论法规关的法律法规了解命令注入攻击原理；项目分析能够理解命令注实验环境入的攻击方式如命令注入攻击理论+实3命令注入攻击原理分析利用命令注6信息获取、密码破与防御操入获取信息命令注入漏涧攻击方法解等；防御命令注入攻击实训任务能够利用多种手段防御命令注入攻击了解文件上传的攻击原理；项目分析能够理解文件上实验环境传攻击方式，如信文件上传攻击理论+实4文件上传漏洞原理分析上传木马获息获取、挂马等；6与防御操取控制权文件上传满洞攻击方法能够利用多种手文件上传漏洞防御方法实训任务段防御文件上传攻击了解注入的SQL基本原理；掌握不同数据库识别方法与原理；掌握不同数据库的特点；SQL注入攻击理论+实5项目分析实验环境SQL注入攻击利用SQL注入完8与防御操原理分析文本框输入的注入方SQL成对数据MySQL法非文本框输入的注入方法SQL库的渗透测试；学固定提示信息的渗透方法利用SQL会程序设计中防御注入漏洞对文件进行读写注入漏洞的基SQL利用完成注入防范sqlmap SQL本方法注入实训任务SQL项目分析了解富注的SQL实验环境基本原理；基于布尔值的字符注入原理基于布掌握不同数据库尔值的字节注入原理基于时间的注识别方法与原理；盲注入攻理论+实SQL6入原理掌握不同数据库6击与防御操非文本框输入的SQL盲注方法固定的特点；提示信息的SQL盲注方法利用利用SQL盲注完Burp Suite暴力破解SQL盲注成对MySQL数据盲注防御方法实训任务库的渗透测试；学SQL会程序设计中防御盲注漏洞的基SQL本方法了解暴力破解的攻击原理；能够理解常用的暴力破解攻击方项目分析式；暴力破解攻击实验环境理论+7熟练掌握常用的8与防御利用万能密码进行暴力破解实操暴力破解工具及其利用进行暴力破解在中、Burp Suite优缺点；高等安全级别下实施暴力破解能够利用多种手利用实施暴力破解Bruter段防御暴力破利用实施暴力破解实训任务Hydra解了解文件包含攻项目分析击原理；实验环境能够理解文件包文件包含漏洞原理含攻击方式，如信文件包含攻击理论+8文件包含上洞攻击方法息获取、挂马等；6与防御实操绕过防御方法能够利用多种手文件包含漏洞的几种应用方法文件段防御文件包含攻包含漏涧的防御方法实训任务击了解攻击的XSS基本概念和分类；项目分析掌握反射型攻XSS实验环境击的方法；掌握存XSS攻击原理储型XSS攻击的方法；利用攻击反射型攻击方法XSSXSS攻击与防理论+实XSS9完成敏感数据的窃8存储型攻击方法XSS御操取测试；利用完成劫持Cookie Session掌握防御攻XSS钓鱼攻击XSS击的基本方法防范攻击实训任务XSS项目分析实验环境CSRF攻击原理了解CSRF攻击的显性与隐性攻击方式模拟银行转账基本概念和原理；攻击防范CSRF攻击实训任务掌握CSRF攻击的CSRF攻击与理论+10实施方式8防御实操利用攻击实CSRF现服务器上的数据修改；掌握防御攻CSRF击的基本方法了解代码审计的代码审计概述常见代码审计方法理论+实概念；11代码审计4代码审计具体案例操掌握常见代码审计的方法

五、考核要求及成绩评定序号成绩类别考核方式考核要求权重（%）备注百分制，分为及格1期末成绩期末考试考试50602实训报告11次40优、良、中、及格、不及格平时成绩3平时表现出勤情况10两次未参加课程则无法获得学分注此表中内容为该课程的全部考核方式及其相关信息

六、学生学习建议

（一）学习方法建议通过每个项目最后搭配的习题，巩固知识点

1.进行练习和实践，提高自己的技能和应用能力，加深对知识的理解和记忆

2.依据专业教学标准，结合岗位技能职业标准，通过案例展开学习，将每个项目分成多个任

3.务，系统化地学习

（二）学生课外阅读参考资料

（三）《基础渗透与防护》，王德鹏、谭方勇主编，年，电子工业出版社Web2019

七、课程改革与建设本课程在系统介绍理论知识的同时，还以“项目分析”“项目训练”等栏目丰富内容本课程以任务驱动的项目式教学作为编写思路，注重信息安全的理论知识和实际项目相结合，Web具有很强的可操作性，每个项目分为项目描述、项目分析、项目小结、项目训练和实训任务几个模块，既给出了完成项目所需要学习的目标和主要任务，也给出了完成项目所需耍的理论知识本课程主要讲解了在信息安全中常见的漏洞攻击的基本原理与针对性的防御方法Web平时对学生的考核内容包括出勤情况、学生的实训报告、课堂讨论等方面，占期末总评的期末考试成绩占期末总评的50%50%教研室主院部负责人订人签字任签字签字修订时fnJ年月日。