滲透測(cè)試教案（首頁(yè)）學(xué)年第學(xué)期任課老師：編號(hào)：11班別時(shí)間課題滲透攻擊教學(xué)目標(biāo)知識(shí)目標(biāo)：了解滲透測(cè)試的定義、目的和重要性，以及相關(guān)的法律法規(guī)。掌握目標(biāo)分析的相關(guān)知識(shí)，理解信息收集的重要性，并熟練掌握主動(dòng)式信息收集和被動(dòng)式信息收集的各種方法。掌握Metasploit的使用方法。能力目標(biāo)：技術(shù)基礎(chǔ)：要求學(xué)生有較寬闊的知識(shí)面，包括操作系統(tǒng)、組成原理、數(shù)據(jù)庫(kù)、應(yīng)用開(kāi)發(fā)、系統(tǒng)開(kāi)發(fā)等方面的技術(shù)基礎(chǔ)。滲透測(cè)試工具的運(yùn)用：熟練運(yùn)用滲透測(cè)試工具，進(jìn)行安全漏洞的挖掘和利用。漏洞利用和代碼審計(jì)能力：具備發(fā)現(xiàn)和利用漏洞的能力，能夠通過(guò)代碼審計(jì)等手段找出系統(tǒng)或應(yīng)用程序中的安全漏洞，并利用這些漏洞進(jìn)行攻擊，以評(píng)估系統(tǒng)的安全性。情感目標(biāo)：增強(qiáng)用戶信任：通過(guò)滲透測(cè)試，增強(qiáng)Web應(yīng)用安全性信任度，提升企業(yè)形象。滿足合規(guī)要求：滲透測(cè)試是滿足網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)要求的重要手段之一，有助于企業(yè)確保其Web應(yīng)用的安全性。職業(yè)道德：滲透測(cè)試人員應(yīng)具備良好的職業(yè)道德，遵守法律法規(guī)，不進(jìn)行非法的黑客活動(dòng)，而是以提高系統(tǒng)安全性為目的進(jìn)行測(cè)試。重點(diǎn)難點(diǎn)重點(diǎn)：滲透測(cè)試的意義：理解滲透測(cè)試的重要性，包括攻擊者思路和防御者思路。脆弱點(diǎn)挖掘和利用：掌握Web應(yīng)用和操作系統(tǒng)的常見(jiàn)漏洞，以及挖掘、驗(yàn)證和利用的方法，以及Metasploit的使用。權(quán)限提升和鞏固：理解不同操作系統(tǒng)下權(quán)限劃分的不同，并掌握各種情況下提權(quán)的方式。內(nèi)網(wǎng)滲透：包括內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)、常用網(wǎng)絡(luò)命令、內(nèi)網(wǎng)嗅探和欺騙，以及域控的滲透。實(shí)踐環(huán)節(jié)：滲透測(cè)試的實(shí)踐環(huán)節(jié)是課程教學(xué)的重點(diǎn)，通過(guò)實(shí)踐學(xué)生可以更加深入地理解滲透測(cè)試的原理和技術(shù)，并提高實(shí)踐能力。難點(diǎn)：理解滲透測(cè)試的原理：包括攻擊者思路和防御者思路的不同，以及滲透測(cè)試流程的理解。Web應(yīng)用和系統(tǒng)漏洞原理：理解Web應(yīng)用常見(jiàn)漏洞的原理和系統(tǒng)漏洞原理，以及漏洞的發(fā)現(xiàn)和利用。權(quán)限提升的實(shí)現(xiàn)：在各種低權(quán)限情況下，提權(quán)的選擇和實(shí)現(xiàn)。網(wǎng)絡(luò)命令對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析：利用網(wǎng)絡(luò)命令對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，以及域控的滲透。組織形式課堂教學(xué)（√）、上機(jī)操作（√）、模擬實(shí)驗(yàn)（√）、外出參觀（）、其他（）教學(xué)方法理論講授（√）、實(shí)操演練（√）、情境教學(xué)（）、案例教學(xué)（√）、問(wèn)題導(dǎo)向（√）、合作探究（√）、任務(wù)驅(qū)動(dòng)（√）、翻轉(zhuǎn)課堂（）、其他（）教學(xué)資源PPT課件，虛擬機(jī)，Kali操作系統(tǒng)課外作業(yè)課后習(xí)題學(xué)情分析學(xué)生對(duì)網(wǎng)絡(luò)安全有一定的了解，但對(duì)滲透測(cè)試的具體操作和流程不熟悉。學(xué)生對(duì)實(shí)際操作表現(xiàn)出較高的興趣，但可能缺乏實(shí)戰(zhàn)經(jīng)驗(yàn)。學(xué)生對(duì)網(wǎng)絡(luò)安全的職業(yè)道德和法律法規(guī)意識(shí)需要加強(qiáng)。

滲透測(cè)試教案（教學(xué)過(guò)程）時(shí)間分配教師學(xué)生備注5分課程導(dǎo)入聽(tīng)課討論5分課程思政案例分享：紅十字會(huì)總部服務(wù)器遭不明黑客入侵總部設(shè)在日內(nèi)瓦的紅十字國(guó)際委員會(huì)當(dāng)?shù)貢r(shí)間2022年1月19日對(duì)外稱，存儲(chǔ)該機(jī)構(gòu)數(shù)據(jù)的服務(wù)器日前遭到不明來(lái)源的黑客侵入，來(lái)自世界各地至少60個(gè)“紅十字會(huì)”和“紅新月會(huì)”的51.5萬(wàn)份個(gè)人信息被竊，其中包括因沖突、遷移和災(zāi)難而同家人分離的人員、失蹤人員和被拘禁人員的信息。思考：你覺(jué)得應(yīng)該如何有效的保護(hù)數(shù)據(jù)安全？5分課程思政案例分享：中國(guó)首例為境外刺探、非法提供高鐵通信數(shù)據(jù)案2022年4月，國(guó)家安全機(jī)關(guān)破獲了一起為境外刺探、非法提供高鐵數(shù)據(jù)的重要案件。上海某信息科技公司銷售總監(jiān)王某等人在利益驅(qū)動(dòng)下，非法收集、向境外公司提供涉及鐵路GSM-R敏感信號(hào)等高鐵數(shù)據(jù)。這起案件是《中華人民共和國(guó)數(shù)據(jù)安全法》實(shí)施以來(lái)，首例涉案數(shù)據(jù)被鑒定為情報(bào)的案件，也是我國(guó)首例涉及高鐵運(yùn)行安全的危害國(guó)家安全類案件。思考：《中華人民共和國(guó)數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)安全保護(hù)的意義？40分理論講授、實(shí)操演練：Metasploit的使用——MS17-010（Eternalblue）復(fù)現(xiàn)聽(tīng)課討論40分任務(wù)驅(qū)動(dòng)：使用Metasploit復(fù)現(xiàn)永恒之藍(lán)漏洞利用練習(xí)25分理論講授：Metasploit后滲透攻擊聽(tīng)課討論30分任務(wù)驅(qū)動(dòng)：使用Metasploit在永恒之藍(lán)基礎(chǔ)上進(jìn)