滲透測試教案（首頁）學(xué)年第學(xué)期任課老師：編號(hào)：9班別時(shí)間課題漏洞掃描與驗(yàn)證——漏洞驗(yàn)證方法教學(xué)目標(biāo)知識(shí)目標(biāo)：了解漏洞危險(xiǎn)等級(jí)的分類標(biāo)準(zhǔn)，包括低危、中危和高危漏洞的定義和特征。了解常見漏洞的種類、表現(xiàn)形式以及對(duì)應(yīng)的手工驗(yàn)證技巧。了解手工驗(yàn)證漏洞時(shí)所需的工具和技術(shù)，以及如何根據(jù)不同漏洞類型選擇合適的方法。能力目標(biāo)：能夠獨(dú)立運(yùn)用手工方法對(duì)常見漏洞進(jìn)行準(zhǔn)確驗(yàn)證，并能合理評(píng)估其風(fēng)險(xiǎn)等級(jí)。。能夠根據(jù)漏洞的實(shí)際情況撰寫詳細(xì)的漏洞驗(yàn)證報(bào)告，包括漏洞描述、驗(yàn)證過程、風(fēng)險(xiǎn)等級(jí)評(píng)定等內(nèi)容。能夠具備綜合運(yùn)用手工驗(yàn)證方法，在模擬或?qū)嶋H環(huán)境中對(duì)系統(tǒng)進(jìn)行全面漏洞檢查的能力。情感目標(biāo)：培養(yǎng)學(xué)生對(duì)網(wǎng)絡(luò)安全漏洞驗(yàn)證工作的責(zé)任感，使學(xué)生認(rèn)識(shí)到準(zhǔn)確驗(yàn)證漏洞對(duì)于保障系統(tǒng)安全的重要性。增強(qiáng)學(xué)生的團(tuán)隊(duì)合作意識(shí)，通過小組討論和實(shí)踐操作，讓學(xué)生學(xué)會(huì)在漏洞驗(yàn)證工作中相互協(xié)作、交流經(jīng)驗(yàn)。讓學(xué)生養(yǎng)成嚴(yán)謹(jǐn)、細(xì)致的工作態(tài)度，在操作過程中注重細(xì)節(jié)。重點(diǎn)難點(diǎn)重點(diǎn)：通過實(shí)際案例分析,使學(xué)生對(duì)漏洞危險(xiǎn)等級(jí)有更直觀的認(rèn)識(shí)。教授學(xué)生如何利用基本的網(wǎng)絡(luò)工具（如瀏覽器開發(fā)者工具、網(wǎng)絡(luò)抓包工具等）進(jìn)行手工漏洞驗(yàn)證，包括工具的操作技巧和如何解讀工具輸出的結(jié)果。詳細(xì)介紹漏洞驗(yàn)證報(bào)告的結(jié)構(gòu)和內(nèi)容要求，包括漏洞概述、驗(yàn)證過程、發(fā)現(xiàn)時(shí)間、危險(xiǎn)等級(jí)評(píng)估、影響范圍、建議修復(fù)措施等方面。難點(diǎn)：掌握如何區(qū)分相似現(xiàn)象的漏洞類型。漏洞的危險(xiǎn)等級(jí)評(píng)估在不同環(huán)境下會(huì)有所不同，如何結(jié)合業(yè)務(wù)情況進(jìn)行科學(xué)的漏洞評(píng)級(jí)。如何撰寫高質(zhì)量的漏洞驗(yàn)證報(bào)告。組織形式課堂教學(xué)（√）、上機(jī)操作（√）、模擬實(shí)驗(yàn)（）、外出參觀（）、其他（）教學(xué)方法理論講授（√）、實(shí)操演練（√）、情境教學(xué)（）、案例教學(xué)（√）、問題導(dǎo)向（√）、合作探究（√）、任務(wù)驅(qū)動(dòng)（√）、翻轉(zhuǎn)課堂（）、其他（）教學(xué)資源PPT課件，虛擬機(jī)課外作業(yè)課后習(xí)題學(xué)情分析學(xué)生已學(xué)習(xí)了與客戶的滲透測試概論、前期交流和信息收集的相關(guān)知識(shí)。學(xué)生具備一定的計(jì)算機(jī)操作基礎(chǔ)，但操作專業(yè)的網(wǎng)絡(luò)安全工具可能會(huì)遇到困難部分學(xué)生可能對(duì)理論知識(shí)的學(xué)習(xí)興趣不高，更傾向于實(shí)踐操作，因此在教學(xué)過程中需要合理安排理論與實(shí)踐的比例，提高學(xué)生的學(xué)習(xí)積極性。

滲透測試教案（教學(xué)過程）時(shí)間分配教師學(xué)生備注5分課程導(dǎo)入聽課討論5分課程思政案例分享：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十六條：開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。思考：應(yīng)如何在合法的情況下進(jìn)行漏洞驗(yàn)證？5分課程思政案例分享：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十七條：任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng)；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。思考：如何看待對(duì)漏洞驗(yàn)證結(jié)果的保密行為？10分理論講授：講授漏洞類型講授漏洞類型評(píng)級(jí)標(biāo)準(zhǔn)聽課討論10分任務(wù)驅(qū)動(dòng)：通過小組探討開源漏洞靶場DVWA各功能的漏洞評(píng)級(jí)練習(xí)15分理論講授：講授常見的低危漏洞類型。演示手工驗(yàn)證常見低危漏洞的方式聽課討論30分任務(wù)驅(qū)動(dòng)：使用AWVS對(duì)testphp靶場進(jìn)行漏洞掃描，并根據(jù)漏洞報(bào)告，對(duì)顯示低危漏洞進(jìn)行手工驗(yàn)證。練習(xí)10分理論講授：講授常見的中危漏洞類型。演示手工驗(yàn)證常見中危漏洞的方式聽課討論25分任務(wù)驅(qū)動(dòng)：對(duì)AWVS生成的testphp靶場報(bào)告中，手工驗(yàn)證顯示的中危漏洞。練習(xí)10分理論講授：講授常見的高危漏洞類型。演示手工驗(yàn)證常見高危漏洞的方式聽課討論25分任務(wù)驅(qū)動(dòng)：對(duì)AWVS生成的testphp靶場報(bào)告中，手工驗(yàn)證顯示的高危漏洞。