課程教學(xué)設(shè)計

課程名稱_____________Web滲透測試與防護_______________

授課對象信息安全技術(shù)應(yīng)用、密碼技術(shù)應(yīng)用專業(yè)

課程學(xué)分3總學(xué)時54課程性質(zhì)專業(yè)核心課

所屬系部_____________網(wǎng)絡(luò)空間安全學(xué)院______________

設(shè)計人（團隊）Web滲透測試與防護課程教學(xué)團隊

審核人批準(zhǔn)入

一、課程目標(biāo)設(shè)計

I、總體目標(biāo)

本課程是信息安全技術(shù)應(yīng)用專業(yè)和密碼技術(shù)應(yīng)用專業(yè)的核心課程，主要面向網(wǎng)絡(luò)安全運維和滲

透測試工程師崗位。課程以gb網(wǎng)站安全攻擊與防護為主，以主流的攻擊手段為主線，設(shè)計并安排

課程內(nèi)容，重視規(guī)范化流程，重視學(xué)生團隊分析和解決問題的能力。以模擬真實應(yīng)用場景作為任務(wù)

設(shè)計的基礎(chǔ)，更加貼近行業(yè)應(yīng)用，是對前導(dǎo)課程《網(wǎng)絡(luò)操作系統(tǒng)》、《信息安全技術(shù)基礎(chǔ)》和《數(shù)

據(jù)庫管理》課程的進一步加深應(yīng)用，也為各后續(xù)課程的學(xué)習(xí)打下良好基礎(chǔ)。

通過木課程的學(xué)習(xí)，學(xué)生可建立起Wob滲透測試的基本概念，能根據(jù)客戶具體需求，運用信息

收集，網(wǎng)絡(luò)掃描，漏洞測試，風(fēng)險評估等方法，正確完成口標(biāo)測評。本課程在培養(yǎng)學(xué)生的基礎(chǔ)知識、

分析和解決實際問題的能力，以及工程實踐能力等方面，發(fā)揮著積極的作用。

2、能力目標(biāo)

(1)能對Web網(wǎng)站安全現(xiàn)狀進行分析：

(2)能安裝DVWA環(huán)境和滲透測試相關(guān)軟件；

(3)能使用PHP連接MySql數(shù)據(jù)庫，并對數(shù)據(jù)進行操作；

(4)能利用常規(guī)的安全漏洞進行滲透測試；

(5)能夠進行Web安全巡檢、安全防護；

(6)能根據(jù)具體客戶需求，綜合運用所學(xué)專業(yè)知識熟練完成目標(biāo)測評。

3、知識目標(biāo)

(1)了解Web安全漏洞常見類型,掌握HTTP協(xié)議原理;

(2)掌握PHP基礎(chǔ)語法和結(jié)構(gòu)語句；

(3)掌握SQL注入方式和防范；

(4)掌握反射型和存儲型XSS的工作原理；

(5)掌握CSRF的攻擊與防護；

(6)掌握命令注入的方式和防范；

(7)熟練常見的文件上傳防護繞過方式；

(8)掌握文件包含漏洞的利用與防御。

4、素質(zhì)目標(biāo)

(1)培養(yǎng)學(xué)生團隊協(xié)作精神，樹立誠信意識，鍛煉學(xué)生溝通交流、提高學(xué)生的語言表達能力；

(2)提高學(xué)生的動手能力，激發(fā)學(xué)生的創(chuàng)新能力、自主學(xué)習(xí)能力和分析問題、解決問題的能力，掌

握知識的貫通與應(yīng)用，并具有一定的知識遷移能力；

(3)培養(yǎng)學(xué)生知識分享、互相學(xué)習(xí)的意識，自我學(xué)習(xí)能力。

5、思政育人目標(biāo)

(1)培養(yǎng)學(xué)生潛意識的安全意識和行為習(xí)慣，居安思危，不斷反思，增強憂患意識。

(2)培養(yǎng)學(xué)生對國家和社會所負責(zé)任的認知，培養(yǎng)學(xué)生社會主義核心價值觀，增強學(xué)生政治認同。

(3)正確使用網(wǎng)絡(luò)工具，培養(yǎng)學(xué)生勵志壯行的道德素養(yǎng)，樹立學(xué)生的法治意識，培養(yǎng)遵紀(jì)守法的良

好習(xí)慣。

(4)基于開源平臺進行創(chuàng)新探索，在實踐中增強創(chuàng)新意識，鼓勵學(xué)生勇于探索、實踐創(chuàng)新.

二、課程內(nèi)容設(shè)計

(1)課程內(nèi)容設(shè)計

本課程教學(xué)內(nèi)容設(shè)計為8個教學(xué)項目，每個項目包含若干個教學(xué)任務(wù)，在教學(xué)實施時，按照從

項目1到項目8的順序進行，對任務(wù)逐步展開實施即可，并最后將所有實驗綜合練習(xí)，并進行考核。

表1課程內(nèi)容表

序號內(nèi)容模塊名稱學(xué)時

1項目1-Web安全基礎(chǔ)及平臺搭建6

2項目2-PHP基礎(chǔ)知識8

3項目3-SQL注入漏洞與防護14

4項目4-XSS漏洞與防護6

5項目5-CSRF漏洞與防護4

6項目6-命令注入漏洞與防護4

7項目7-文件_L傳漏洞與防護4

8項目8-文件包含漏洞與防護4

9復(fù)習(xí)測試4

合計54

注：理論課學(xué)時數(shù)：22,實踐課學(xué)時數(shù)：32。

(2)思政內(nèi)容設(shè)計

《Web滲透測試與防護》是信息安全技術(shù)應(yīng)用專業(yè)與密碼技術(shù)應(yīng)用專業(yè)開設(shè)的專業(yè)核心課程,

本課程將思想政治教育融入每個單元的專業(yè)課程內(nèi)容，在專業(yè)課的教學(xué)中引入課程思政的理念，提

倡工匠精神，服務(wù)于行業(yè)企業(yè)，為以后的工作打基礎(chǔ)。結(jié)合本課程的教學(xué)內(nèi)容，強化育人育才統(tǒng)一,

筑牢課程思政與立德樹人的關(guān)系。具體內(nèi)容見表2。

1、示例案例分析

1、編碼轉(zhuǎn)換

項目4-1XSS漏洞基熟練掌握XSS漏洞的原理2、漏洞環(huán)境測試

622、XSS漏洞原理

礎(chǔ)了解編碼如何轉(zhuǎn)換3、要求學(xué)生作好課前

資料準(zhǔn)備

XSS漏洞的原理和測試

項目4-2XSS漏洞1、XSS漏洞測試

74理解如何攻擊測試

攻擊2、漏洞防護

熟練理解如何進行防護

1、CSRF的漏洞原理

CSRF漏洞的原理與測試

84項目5CSRF漏洞2、解析漏洞的原理和

如何防范CSRF漏洞

測試

項目6命令注入漏攻擊原1、常用的攻擊方法

94

洞利用命令注入獲取信息2、防御攻擊測試

1、常見上傳漏洞原理

項目7-1上傳漏熟練掌握各種常見上傳漏

1022、測試方法

洞洞的原理和測試方法

3、防護方法

模擬漏洞演示與講解

項目7-2上傳漏1、案例分析

112實際案例分析

洞實測2、防護測試

防護方法

1、文件包含漏洞的防

文件包含漏洞原理

項目8文件包含漏御方法

124文件包含漏洞攻擊方法

洞2、文件包含漏洞的兒

繞過防御方法

種應(yīng)用方法

要求學(xué)生完成相關(guān)實驗，

134單元測試單元測試單元測試

并將解題過程形式報告

六、考核方案設(shè)計

1.學(xué)生課程成績評價總體要求

學(xué)生課程成績評價立足培養(yǎng)高素質(zhì)技術(shù)技能型人才和提升教學(xué)品質(zhì)，加快建立能力和素質(zhì)等多

方面結(jié)合的學(xué)生課程成績綜合評價體系，堅持形成性評價和終結(jié)性評價相結(jié)合，突出學(xué)習(xí)、實踐、

科研、創(chuàng)新等多方面素質(zhì)和能力的考評，逐步形成創(chuàng)新型、應(yīng)用型、復(fù)合型、技能型人才培養(yǎng)的多層

次、多元化評價方式。

2.學(xué)生課程成績評價內(nèi)容

該課程的考核改變單一的終結(jié)性評價方式，采用態(tài)度性考核、知識性考核、技能性考核相結(jié)合,

與創(chuàng)新性評價附件分一并合計計算的形成性考核方式。其中態(tài)度性評價占20%,知識性評價占40%,

技能型評價占40%,另外對于學(xué)生的創(chuàng)新性評價，總分不得超過10分。靈活多樣的考核方式可以全

面考核學(xué)生的學(xué)習(xí)效果。

3.學(xué)生學(xué)業(yè)成績分類評價標(biāo)準(zhǔn)

理論?實踐一體化類課程（無期中考試）

分?jǐn)?shù)比例

考核分類考核項目考核要求考核形式

（%）

采用扣分制，按20分計。課堂上出

現(xiàn)遲到、早退，儀容不整，不帶書本、

從事與課堂教學(xué)無關(guān)事項、打瞌睡、

不參與團組活動以及其他學(xué)習(xí)主動

性明顯不足現(xiàn)象的，每次扣1分；無

態(tài)度性評

平時表現(xiàn)20故曠課、嚴(yán)重影響課堂秩序的，每次平時檢查

價

扣2分，直至該項成績扣完。如一課

程缺課累計達總課時的三分之一及

以上者，依照學(xué)院《學(xué)生學(xué)分制學(xué)籍

管理規(guī)定》第十一條，該課程成績按

零分計，直接重修。

單元小測驗

知識性評單元小測驗平均成績、期末成績按測驗

平均成績40

價50:50（百分制）計入知識性評價成績。考試

期末成績

1.PHP基礎(chǔ)

2.SQL注入

對每次實踐操作完成情況評價，項目

3.XSS

技能性評1、項目2、項目3、項目4、項目5實踐操作

4.CSRF和命40

價按20：20：20：20：20（百分制）計打分

令注入

入技能性評價成績。

5.文件上傳

和文件包含

對于取得與本課程知識、技術(shù)相關(guān)的

證書如專利授權(quán)證書、軟件等專業(yè)產(chǎn)

品登記證書等，在院級及以上學(xué)科（專