1、Web漏洞檢測實踐實習教學大綱課程編號：sa067262英文名稱：Web Vulnerability Detection Practice實習類型：實踐教學課程要求：選修學時/學分：2周/2適用專業(yè)：軟件工程 一、實習性質(zhì)與任務“Web漏洞檢測實踐”是軟件工程專業(yè)信息安全方向的一門選修課，是應用Web漏洞檢測技術實現(xiàn)網(wǎng)絡安全的實踐課。本課程主要研究漏洞檢測問題，分析SQL注入攻擊漏洞、XSS漏洞、文件上傳漏洞、CSRF攻擊等的特點，并設計漏洞檢測程序，對提高學生對Web漏洞的認知和檢測能力有重要作用。課程的任務是通過對設計項目的分析與實現(xiàn)，加深對Web漏洞檢測技術的理解，并應用于Web漏洞檢測

2、程序設計中，著重漏洞檢測能力的訓練，重點培養(yǎng)學生解決復雜問題的能力；使學生能掌握Web漏洞檢測并能夠開發(fā)相應的應用軟件，從而掌握Web漏洞檢測的基本技能，為今后進行工程化軟件開發(fā)工作打下扎實的理論基礎。二、 實習與其他課程或教學環(huán)節(jié)的聯(lián)系先修課程：數(shù)據(jù)庫安全開發(fā)技術、應用系統(tǒng)安全檢測技術、病毒與防控技術等。后續(xù)課程：畢業(yè)設計（論文）。課程依賴“數(shù)據(jù)庫安全開發(fā)技術”課程建立對網(wǎng)絡安全過程及各階段主要任務的理解，依賴“應用系統(tǒng)安全檢測技術”建立對網(wǎng)絡漏洞分析、設計方案的標準化表示能力和對經(jīng)典設計理論的理解及運用能力，依賴“病毒與防控技術”對應用開發(fā)的技術基礎和工具環(huán)境的應用能力。本課程所設計的項目

3、為后續(xù)畢業(yè)設計設計的項目提供框架支持。三、實習教學目標 1.通過課程設計使學生能明確闡述SQL注入漏洞檢測、XSS漏洞檢測、文件上傳漏洞檢測、CSRF漏洞檢測的方法，并通過對文獻的查找及開發(fā)實踐，培養(yǎng)解決信息安全工程問題的能力。（支撐畢業(yè)能力要求2）2.通過對漏洞問題的分析，應用Java EE軟件開發(fā)技術開發(fā)針對漏洞檢測的軟件，使學生能夠使用所學知識進行軟件功能的分析和設計。（支撐畢業(yè)能力要求5）3.培養(yǎng)學生調(diào)查研究、查閱技術文獻、資料、手冊以及編寫技術文獻、撰寫文檔的能力。(支撐畢業(yè)能力要求3)4.把學生進行分組實驗，對每組的實驗結果以及組中的各個成員進行分別考核，鍛煉學生團結協(xié)作的能力。（

4、支撐畢業(yè)能力要求9）四、實習內(nèi)容與基本要求 序號教學內(nèi)容教學要求學時教學方式對應課程教學目標1 一、漏洞檢測實踐1.SQL注入攻擊漏洞檢測。2.XSS漏洞檢測。3.文件上傳漏洞檢測。4.CSRF攻擊檢測。2天分組討論1、2、42 二、SQL注入漏洞檢測系統(tǒng)程序設計1.使用Eclipse+oracle數(shù)據(jù)庫完成安全漏洞檢測系統(tǒng)開發(fā)。2.使安全漏洞檢測系統(tǒng)具備可以檢測SQL注入漏洞的功能。2天分組上機1、2、43三、XSS漏洞和表單繞過漏洞檢測系統(tǒng)程序設計1.使安全漏洞檢測系統(tǒng)具備可以檢測XSS漏洞的功能。2.使安全漏洞檢測系統(tǒng)具備可以檢測表單繞過漏洞的功能。2天分組上機1、2、44四、弱口令和代

5、碼審計系統(tǒng)程序設計1.使安全漏洞檢測系統(tǒng)具備可以檢測弱口令的功能。2.使安全漏洞檢測系統(tǒng)具備針對某一種編程語言進行代碼審計的功能。3天分組上機1、2、45 五、答辯1.認真撰寫報告。2.參加答辯。1天上機情景模擬3五、實習地點 大連華信計算機技術股份有限公司。六、實習方式 以企業(yè)實際項目開發(fā)進行訓練。七、考核及成績評定方式成績采用百分制，成績由平時表現(xiàn)、課題完成情況、答辯情況和報告（文檔）質(zhì)量組合而成。各部分內(nèi)容及所占比例如下：平時表現(xiàn)：10%。主要考核實習過程中態(tài)度是否端正，獨立完成設計情況。課題完成情況：30%。主要考核目標系統(tǒng)是否功能完整，運行狀況是否正確穩(wěn)定、用戶體驗是否良好等，本部分成績由組內(nèi)所有成員共享，組長負責具體分配。答辯情況：40%。主要考核能否正確解釋所承擔開發(fā)工作的設計思路及技術細節(jié)。報告成績：20%。主要考核報告撰寫是否規(guī)范正確，內(nèi)容是否齊全、工整。本部分成績由組內(nèi)所有成員共享，組長負責具體分配。八、指導書及參考資料1指導書：1 秦志光，張鳳荔計算機病毒原理與防范(第2版)人民郵電出版社，20162參考資料：1 Mark Rhode