XX大學研究生課程教學大綱Web安全課程代碼課程英文名稱WebSecurity開課單位網絡空間安全學院授課對象¨博士■碩士■學術學位研究生■專業(yè)學位研究生■內地生¨港澳臺僑研究生¨留學生課程類別¨公共學位課¨專業(yè)學位課¨公共選修課■專業(yè)選修課學時、學分18學時1學分開課學期第2學期需先修課程無使用院系及專業(yè)范圍網絡空間安全學院授課教師XXX撰寫人XXX教材：（包括教材名稱，作者，出版社及出版時間）Web安全基礎,清華大學出版社,劉志全等,2025年Web安全實踐,清華大學出版社,劉志全等,2025年教學目標：（建立體現畢業(yè)要求的課程目標）本課程《Web安全》是面向網絡空間安全相關專業(yè)的一門基礎教育選修課程，涵蓋Web安全概述、SQL注入、遠程代碼執(zhí)行、文件上傳、文件包含、XSS、SSRF等常見Web安全漏洞的原理、利用與防御策略。通過本課程的學習，學生能夠具備識別和應對常見網絡安全威脅的能力，并理解網絡安全相關法律法規(guī)的基本要求，為未來從事網絡安全相關工作奠定理論與實踐基礎。教學要求：本課程采用理論教學方式。在課堂教學中，教師主要負責授課，同時應加強與學生之間的互動，鼓勵學生提問并及時解答他們的疑問。同時，教師需加強與學生的互動，及時解答學生在學習過程中的疑問，耐心指導學生完成各項實踐任務，幫助學生提高對信息安全技術的理解與應用能力。此外，鼓勵學生進行自主學習，查找相關資料，以拓寬安全知識面，培養(yǎng)獨立思考和解決問題的能力。教學內容及學時安排：本課程主要講授Web安全基礎的相關知識和技能，主要教學內容及學時安排如下：學習單元第一章Web安全概述與法律法規(guī)概述學時1學時學習目標了解Web安全的基本概念了解Web安全的發(fā)展歷程了解Web應用與Web安全了解Web安全現狀了解相關法律法規(guī)如《網絡安全法》、《數據安全法》等學習內容知識點了解掌握重點難點Web安全定義√常見威脅類型√主要安全標準與框架√Web安全與開發(fā)關系√當前網絡安全形勢√網絡安全基本原則√法律責任√數據處理與安全責任√學習單元第二章SQL注入漏洞學時3學時學習目標了解SQL注入的基本概念與分類掌握SQL注入的利用方法了解SQL注入的防御技術和SQLMap工具的使用掌握SQL注入繞過技術學習內容知識點了解掌握重點難點SQL注入概述√SQL注入分類√字符型注入與數字型注入√UNIONSELECT聯合注入√堆疊注入√報錯注入√SQL盲注√二次注入√SQLMap工具使用√SQL注入繞過技術√學習單元第三章遠程代碼執(zhí)行漏洞與遠程命令執(zhí)行漏洞學時3學時學習目標了解遠程代碼執(zhí)行與命令執(zhí)行漏洞原理掌握常用函數與利用方法掌握繞過技術理解防御措施學習內容知識點了解掌握重點難點遠程代碼執(zhí)行漏洞概述√常用的代碼執(zhí)行函數與結構√其他造成代碼執(zhí)行的情況√遠程代碼執(zhí)行漏洞防御√遠程命令執(zhí)行漏洞簡介√命令執(zhí)行的利用方式√命令執(zhí)行的繞過√命令執(zhí)行的防御√學習單元第四章文件上傳漏洞學時3學時學習目標了解文件上傳漏洞原理掌握Web服務器解析漏洞掌握繞過技術理解防御措施學習內容知識點了解掌握重點難點文件上傳漏洞簡介√Web服務器解析問題√文件上傳漏洞的繞過√文件上傳漏洞的防御√學習單元第五章文件包含漏洞學時3學時學習目標了解文件包含漏洞原理掌握分類與利用方法掌握繞過技術理解防御措施學習內容知識點了解掌握重點難點文件包含漏洞簡介√文件包含漏洞的分類√文件包含漏洞的利用方式√文件包含漏洞的繞過√學習單元第六章XSS漏洞學時3學時學習目標了解XSS漏洞原理掌握分類與利用方法掌握繞過技術理解防御措施學習內容知識點了解掌握重點難點XSS漏洞簡介√XSS漏洞分類√XSS漏洞的利用方式√XSS漏洞的繞過√利用XSS平臺進行攻擊√XSS漏洞的防御√學習單元第七章SSRF漏洞學時2學時學習目標了解SSRF漏洞原理掌握分類與利用方法掌握繞過技術理解防御措施學習內容知識點了解掌握重點難點SSRF漏洞簡介√SSRF漏洞的回顯分類√SSRF漏洞利用方式√SSRF漏洞的繞過√SSRF漏洞的防御√以上共計18個理論學時。教學重點與難點：本課程的教學重點為Web安全的基本概念與發(fā)展現狀，以及常見Web漏洞（如SQL注入、遠程代碼執(zhí)行、文件上傳、XSS、SSRF等）的原理、利用方法和防御策略。教學難點在于指導學生綜合運用所學知識進行實際安全評估與攻防實踐，包括熟練使用安全工具（如BurpSuite、SQLMap等）、掌握漏洞繞過技術（如關鍵字過濾、編碼繞過等）、搭建靶場并實施漏洞測試，使學生能夠有效識別和應對網絡安全威脅，同時為今后深入學習更復雜的網絡安全技術（如高級漏洞挖掘、防護體系設計等）奠定堅實基礎。主要教學方式：本課程采用理論教學方式。在課堂教學中，教師主要負責授課，同時應加強與學生之間的互動，鼓勵學生提問并及時解答他們的疑問。在課后，通過編程實踐、實驗和小組討論等形式，讓學生主動參與，親自實踐所學知識。同時，教師將耐心指導學生完成各項作業(yè)任務，幫助其熟練掌握相關的安全技術和工具應用，增強對網絡安全領域的實際理解與運用能力。課程考核方式：本課程考核采用平時成績與課程報告成績相結合的方法：1）平時成績=(第一次作業(yè)成績+第二次作