滲透測試教案（首頁）學年第學期任課老師：編號：5班別時間課題信息收集教學目標知識目標：掌握子域名信息收集的方法和工具，通過常用工具如subDomainsBrute、OneForAll等收集目標網(wǎng)站的子域名信息。了解如何使用Nmap進行操作系統(tǒng)識別、版本掃描及如何通過URL大小寫判斷操作系統(tǒng)。了解使用Nmap、Masscan等工具進行端口掃描的方法，分析端口開放情況及其安全性。掌握目錄掃描的技術和工具使用，使用dirb、dirsearch、7kbscan等工具掃描網(wǎng)站的敏感文件和目錄。能力目標：掌握如何使用子域名掃描工具收集和分析目標網(wǎng)站的子域名信息。能夠使用Nmap等工具識別目標主機的操作系統(tǒng)及服務版本能夠運用Nmap、Masscan等工具進行端口掃描，識別開放端口及其對應服務。掌握使用指紋識別工具獲取目標網(wǎng)站CMS、Web容器、技術棧等信息。具備使用各種目錄掃描工具（如dirb、dirsearch、7kbscan等）發(fā)現(xiàn)潛在敏感目錄和文件的能力。情感目標：在實踐中提高對網(wǎng)絡攻防的理解，培養(yǎng)學生面對復雜情況時的應變能力和攻擊思維。培養(yǎng)學生在網(wǎng)絡滲透測試中注重細節(jié)的能力，增強其在分析掃描結果時的觀察力和判斷力。鼓勵學生通過實踐操作，培養(yǎng)其動手解決問題的能力，同時提升其獨立查找資料和自學的能力。重點難點重點：工具的使用方法：如何安裝和使用各類子域名收集、端口掃描、指紋識別及目錄掃描工具。學生需掌握每個工具的具體使用方法及其應用場景。操作系統(tǒng)和服務的識別：如何通過掃描分析目標的操作系統(tǒng)和服務版本，并根據(jù)掃描結果進行分析。敏感文件和目錄的掃描技巧：如何通過字典暴力破解和爬蟲技術掃描敏感目錄，幫助學生理解目錄掃描的流程和技巧。難點：子域名信息收集的準確性：子域名收集工具的使用可能因字典的不同、網(wǎng)絡環(huán)境的變化以及防火墻等安全措施的干擾而產(chǎn)生偏差。教學時要特別強調(diào)如何處理掃描中的誤報和漏報問題。端口掃描的優(yōu)化與選擇：如何選擇合適的端口掃描策略，并優(yōu)化掃描過程中的參數(shù)，以減少掃描時間和提升掃描結果的準確性，這部分需要學生在實踐中逐步掌握。敏感目錄的深度掃描與分析：目錄掃描中的字典選擇、字典更新及掃描策略的優(yōu)化等方面是教學中的難點。需要深入講解如何選擇合適的字典和工具，提高掃描的效果和準確性。組織形式課堂教學（√）、上機操作（√）、模擬實驗（）、外出參觀（）、其他（）教學方法理論講授（√）、實操演練（√）、情境教學（）、案例教學（√）、問題導向（√）、合作探究（√）、任務驅(qū)動（√）、翻轉(zhuǎn)課堂（）、其他（）教學資源PPT課件，虛擬機課外作業(yè)課后習題學情分析學生基礎較為薄弱，部分學生對網(wǎng)絡安全工具和滲透測試概念了解不深。教學需要循序漸進，結合實踐操作增強學生對工具使用的掌握，提高其分析問題和解決問題的能力，培養(yǎng)信息安全意識。

滲透測試教案（教學過程）時間分配教師學生備注5分課程導入聽課討論5分課程思政案例分享：董大風（化名）通過租賃境外網(wǎng)絡虛擬主機，遠程運行其在網(wǎng)絡上下載的捕獲網(wǎng)站域名軟件和掃描軟件，欲利用掃描到的網(wǎng)站漏洞對網(wǎng)站進行攻擊。在多次對平羅縣政府信息網(wǎng)站進行掃描時，被防火墻攔截。網(wǎng)站技術人員發(fā)現(xiàn)該問題后及時報警，兩天后，平羅縣公安局民警在廈門高崎國際機場將董大風抓獲歸案。董大風利用掃描工具對平羅縣政府信息網(wǎng)站進行非法掃描，試圖尋找并利用網(wǎng)站漏洞進行攻擊。這種攻擊行為不僅違反了國家法律規(guī)定，而且嚴重威脅了政府網(wǎng)站的安全。平羅法院審理后認為，董大風違反國家法律規(guī)定，侵入國家事務的計算機系統(tǒng)，對政府網(wǎng)站的安全構成威脅，其行為已觸犯刑法，構成非法侵入計算機信息系統(tǒng)罪。鑒于董大風認罪悔罪，其犯罪行為未造成重大危害后果，結合其犯罪情節(jié)、性質(zhì)等，依法對其判處有期徒刑9個月。思考：該案例中的攻擊者使用了捕獲網(wǎng)站域名軟件和掃描工具，這些工具本身在合法的安全研究中也會使用。如何在網(wǎng)絡安全防護中，管理和規(guī)范漏洞掃描工具的使用，防止被不法分子利用進行非法掃描和攻擊？5分課程思政案例分享：某社交媒體公司為了優(yōu)化推薦算法和廣告投放，秘密收集并分析了用戶的私人聊天記錄、位置信息和瀏覽習慣。盡管這些信息收集行為在法律上可能并未直接違反規(guī)定，但公司未充分告知用戶，也未獲得用戶的明確同意，且收集的信息超出了合理范圍，侵犯了用戶的隱私權和知情權。此外，該公司還利用收集到的用戶數(shù)據(jù)進行了不道德的商業(yè)行為，如將用戶數(shù)據(jù)出售給第三方廣告公司，導致用戶頻繁收到騷擾信息和廣告。這些行為不僅損害了用戶的利益，也破壞了社交媒體平臺的公信力和社會形象。思考：如何在信息收集和使用過程中平衡商業(yè)利益、用戶權益和社會責任之間的關系。20分理論講授：子域名信息查詢介紹子域名信息收集工具subDomainsBrute的安裝和使用子域名信息收集工具OneForAll的安裝和使用其他子域名信息收集工具的使用聽課討論25分任務驅(qū)動：完成subDomainsBrute、OneForAll的安裝和使用練習25分理論講授：服務器類型分析端口掃描指紋識別旁站和C段掃描聽課討論10分合作探究：小組討論，在什么情況下可以進行端口掃描？未經(jīng)授權的掃描行為會導致怎樣的后果？討論30分理論講授：敏感目錄/文件掃描介紹dirb目錄掃描dirsearch目錄掃描7kbscan目錄掃描御劍目錄掃描聽課討論20分任務驅(qū)動：完成dirb、dirsearch、7kbscan、御劍的安裝和使用練習5分理論講授：本章知識內(nèi)容小結聽課討論10