Web安全滲透技術(shù)與應(yīng)用課程教案授課基本情況課程名稱Web安全滲透技術(shù)與應(yīng)用選課號(hào)授課班級(jí)授課教師姓名職稱教學(xué)安排教學(xué)總周數(shù)16理論教學(xué)周數(shù)16實(shí)踐環(huán)節(jié)周數(shù)16講課學(xué)時(shí)44實(shí)驗(yàn)課（含上機(jī)）學(xué)時(shí)48其他環(huán)節(jié)1習(xí)題課學(xué)時(shí)2課堂討論學(xué)時(shí)1總學(xué)時(shí)96學(xué)分6教材使用情況采用教材名稱Web基礎(chǔ)滲透與防護(hù)書號(hào)出版社名稱電子工業(yè)出版社出版（改版）年月教學(xué)參考書Web系統(tǒng)安全和滲透性測(cè)試基礎(chǔ)，航空工業(yè)出版社.2009Web安全測(cè)試，清華大學(xué)出版社.2010/實(shí)驗(yàn)（課程設(shè)計(jì)、實(shí)訓(xùn)等）指導(dǎo)書教材內(nèi)實(shí)驗(yàn)教學(xué)目標(biāo)與教學(xué)要求教學(xué)目標(biāo)本課程是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)培養(yǎng)方案中的一門核心課程。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)要求培養(yǎng)人能夠掌握Web安全滲透的基本理論和方法，具備常見相關(guān)Web安全滲透分析和測(cè)試工具的安裝、配置與使用技能，具備Web安全滲透現(xiàn)狀與安全隱患的分析能力，能夠針對(duì)不同Web系統(tǒng)特性開展針對(duì)性安全滲透部署。本課程是提供Web安全滲透測(cè)試、分析的一門專門技術(shù)，也是從事計(jì)算機(jī)網(wǎng)絡(luò)安全組建、維護(hù)、部署、加固等崗位的關(guān)鍵能力之一。教學(xué)要求（二）知識(shí)目標(biāo)（1）熟知各種Web服務(wù)器類型、各種Web編程語言。（2）熟知Web安全滲透的現(xiàn)狀、主要的Web安全滲透技術(shù)；（3）熟知網(wǎng)絡(luò)協(xié)議體系結(jié)構(gòu)，掌握各種網(wǎng)絡(luò)常用命令；（4）熟知小型Web應(yīng)用安全體系的設(shè)計(jì)與部署；（5）熟知Web服務(wù)器的基本框架結(jié)構(gòu)。（6）熟知各種Web安全滲透測(cè)試方法，掌握Web滲透攻擊與防范的實(shí)施方法；（7）熟知常見的Web滲透使用工具。（8）熟知Windows和Linux下Web服務(wù)器的滲透方法。（9）了解Web安全標(biāo)準(zhǔn)、滲透測(cè)試標(biāo)準(zhǔn)、信息安全等級(jí)保護(hù)及其他標(biāo)準(zhǔn)（三）能力目標(biāo)（1）能夠掌握最新的Web安全滲透動(dòng)態(tài)，分析Web安全滲透發(fā)展現(xiàn)狀；（2）能夠利用Web滲透測(cè)試分析工具分析常見Web應(yīng)用安全隱患；（3）能夠熟練應(yīng)用常見網(wǎng)絡(luò)命令進(jìn)行Web滲透前期的信息收集和網(wǎng)絡(luò)診斷；（4）能夠深入理解安全口令、SQL注入、跨站腳本攻擊、跨站請(qǐng)求偽造、網(wǎng)站后門和提權(quán)等Web安全滲透技術(shù)原理，并具備滲透分析和測(cè)試的能力。（5）能夠使用常見軟件完成Web滲透；（6）能夠掌握Web滲透攻擊緊急響應(yīng)的技術(shù)原理和部署方法；（7）能夠掌握中小型Web應(yīng)用安全方案的設(shè)計(jì)能力。（8）能夠?qū)indows系統(tǒng)下Web服務(wù)器進(jìn)行加固；（9）能夠?qū)inux系統(tǒng)下Web服務(wù)器進(jìn)行加固；擬采用的教學(xué)方法（授受式教學(xué)，啟發(fā)式教學(xué)，課堂討論，當(dāng)堂測(cè)試，學(xué)生講授，學(xué)生自學(xué)，案例教學(xué)，參觀實(shí)習(xí)，調(diào)研，角色游戲、活動(dòng)教學(xué)、項(xiàng)目教學(xué)、實(shí)驗(yàn)、探究……選擇其中幾項(xiàng)，或補(bǔ)充其它教學(xué)方法。）1、項(xiàng)目導(dǎo)向、任務(wù)驅(qū)動(dòng)教學(xué)法教學(xué)過程中堅(jiān)持工學(xué)結(jié)合，以項(xiàng)目為導(dǎo)向、以任務(wù)驅(qū)動(dòng)的學(xué)生技能學(xué)習(xí)。選取典型任務(wù)，涵蓋相關(guān)知識(shí)點(diǎn)。注重培養(yǎng)學(xué)生發(fā)現(xiàn)問題、分析問題、解決問題的能力以及創(chuàng)新思維與技術(shù)綜合應(yīng)用能力。2、“教、學(xué)、練、做”四位一體教學(xué)法在網(wǎng)絡(luò)安全的理論和實(shí)踐技能講授過程中，堅(jiān)持采用教、學(xué)、練、做四位一體教學(xué)法，邊講邊學(xué)，邊學(xué)邊練，邊練邊做，講、學(xué)、練、做相互交叉，學(xué)做合一、理實(shí)一體，使學(xué)生具有堅(jiān)實(shí)的理論知識(shí)和過硬的實(shí)踐技能。3、傳統(tǒng)與現(xiàn)代結(jié)合教學(xué)法傳統(tǒng)的板書與多媒體教學(xué)有機(jī)結(jié)合，使師生良好互動(dòng)與技術(shù)媒體的信息良好展示得以充分的融合。擬采用的教學(xué)手段（傳統(tǒng)講授，多媒體教學(xué)，語音教學(xué)，網(wǎng)絡(luò)教學(xué)，VCD，錄相，……選擇其中幾項(xiàng)，或補(bǔ)充其它教學(xué)手段。）1、多媒體在教學(xué)過程中全程穿插使用。2、恰當(dāng)運(yùn)用現(xiàn)代輔助教學(xué)手段。教學(xué)過程中，采用虛擬項(xiàng)目等仿真教學(xué)環(huán)境、VCD等教學(xué)手段輔助教學(xué)。3、充分利用網(wǎng)絡(luò)資源。學(xué)生可通過在網(wǎng)上直接下載本課程相關(guān)教學(xué)資源進(jìn)行學(xué)習(xí)?？己朔绞胶驮u(píng)分標(biāo)準(zhǔn)（考試/考查，開卷/閉卷，期中考試，期終考試，平時(shí)測(cè)驗(yàn)，實(shí)驗(yàn)，課堂發(fā)言，平時(shí)作業(yè)，課堂參與，課堂表現(xiàn)，考勤要求，課外論文，調(diào)研報(bào)告，市場(chǎng)調(diào)查，讀書報(bào)告，……選擇其中幾項(xiàng)，或補(bǔ)充其它考核方式，并寫出評(píng)分標(biāo)準(zhǔn)。）本課程以實(shí)踐課為主，因此采用過程考核方式，成績考核以學(xué)習(xí)的態(tài)度（出勤、聽講、參與課堂活動(dòng)）（20%）、實(shí)驗(yàn)報(bào)告（80%）。作業(yè)及輔導(dǎo)答疑安排（次數(shù)，初步安排、形式等）1、上機(jī)實(shí)驗(yàn)共8個(gè)，全部批改；2、課外作業(yè)2次，以課堂提問等方式檢查；3、輔導(dǎo)答疑：2次，以課內(nèi)答疑為主，課外通過電子郵件或約定時(shí)間面授指導(dǎo)和答疑。教師簽名：系主任簽名：學(xué)院（部）分管領(lǐng)導(dǎo)簽名：年月日蘇州市職業(yè)大學(xué)教學(xué)進(jìn)度表2022~2023學(xué)年第2學(xué)期周次日期周學(xué)時(shí)其中教學(xué)內(nèi)容摘要(章節(jié)名稱、講述內(nèi)容提要、實(shí)驗(yàn)的名稱、課堂討論的題目、作業(yè)等)講課實(shí)驗(yàn)課習(xí)題課課堂討論其他環(huán)節(jié)第一周2月20日至2月24日633課程介紹說課第1章：web應(yīng)用基礎(chǔ)1.web組件服務(wù)層次架構(gòu)2.web應(yīng)用組成第2章信息安全法律法規(guī)第二周2月27日至3月3日633第3章：命令注入漏洞1命令注入漏洞原理分析2命令注入漏洞滲透方法3命令注入漏洞防御方法上機(jī)或?qū)嶒?yàn)：命令注入漏洞攻擊與防御第三周3月6日至3月10日633第4章：文件上傳漏洞1文件上傳漏洞原理分析2文件上傳漏洞滲透方法3文件上傳漏洞防御方法上機(jī)或?qū)嶒?yàn)：文件上傳漏洞滲透過程第四周3月13日至3月17日633第5章：SQL注入漏洞1SQL注入漏洞原理分析2SQL注入漏洞滲透方法3SQL注入漏洞防御方法上機(jī)實(shí)驗(yàn)：SQL注入漏洞滲透過程1第五周3月20日至3月24日633第5章：SQL注入漏洞1SQL注入漏洞原理分析2SQL注入漏洞滲透方法3SQL注入漏洞防御方法上機(jī)實(shí)驗(yàn)：SQL注入漏洞滲透過程2第六周3月27日至3月31日211第六章SQL盲注漏洞1SQL盲注漏洞原理分析2SQL盲注漏洞滲透方法3SQL盲注漏洞防御方法上機(jī)實(shí)驗(yàn)：SQL盲注漏洞滲透與防御第七周4月3日至4月7日633第七章暴力破解漏洞1暴力破解漏洞原理分析2暴力破解漏洞滲透方法3暴力破解漏洞防御方法上機(jī)實(shí)驗(yàn)：暴力破解漏洞滲透與防御第八周4月10日至4月14日633第八章文件包含漏洞1文件包含漏洞原理分析2文件包含漏洞滲透方法3文件包含漏洞防御方法上機(jī)實(shí)驗(yàn)：文件包含漏洞滲透與防御第九周4月17日至4月21日633第九章xss跨站腳本漏洞1反射型xss漏洞原理分析2反射型xss漏洞滲透方法3反射型xss漏洞防御方法上機(jī)實(shí)驗(yàn)：反射型xss漏洞滲透與防御第十周4月24日至4月28日633習(xí)題課第十一周5月1日至5月5日633第九章xss跨站腳本漏洞1存儲(chǔ)型xss漏洞原理分析2存儲(chǔ)型xss漏洞滲透方法3存儲(chǔ)型xss漏洞防御方法上機(jī)實(shí)驗(yàn)：存儲(chǔ)型xss漏洞滲透與防御第十二周5月8日至5月12日633第十章其他漏洞1CSRF漏洞原理分析2邏輯錯(cuò)誤漏洞3代碼注入上機(jī)實(shí)驗(yàn)：CSRF漏洞滲透與防御第十三周5月15日至5月19日633信息探測(cè)與漏洞掃描1信息收集工具使用2漏洞掃描工具使用實(shí)驗(yàn)上機(jī)：針對(duì)特定網(wǎng)站進(jìn)行信息收集與漏洞掃描測(cè)試第十四周5月22日至5月26日633靶場(chǎng)測(cè)試第十五周5月29日至6月2日633第十一章實(shí)戰(zhàn)入侵與防范1開源安全程序剖析2拖庫上機(jī)實(shí)驗(yàn)：針對(duì)特定網(wǎng)站進(jìn)行實(shí)戰(zhàn)滲