滲透測試教案（首頁）學年第學期任課老師：編號：12班別時間課題滲透攻擊教學目標知識目標：了解滲透測試的定義、目的和重要性，以及相關的法律法規(guī)。掌握目標分析的相關知識，理解信息收集的重要性，并熟練掌握主動式信息收集和被動式信息收集的各種方法。掌握Metasploit的使用方法。能力目標：技術基礎：要求學生有較寬闊的知識面，包括操作系統(tǒng)、組成原理、數(shù)據(jù)庫、應用開發(fā)、系統(tǒng)開發(fā)等方面的技術基礎。滲透測試工具的運用：熟練運用滲透測試工具，進行安全漏洞的挖掘和利用。漏洞利用和代碼審計能力：具備發(fā)現(xiàn)和利用漏洞的能力，能夠通過代碼審計等手段找出系統(tǒng)或應用程序中的安全漏洞，并利用這些漏洞進行攻擊，以評估系統(tǒng)的安全性。情感目標：增強用戶信任：通過滲透測試，增強Web應用安全性信任度，提升企業(yè)形象。滿足合規(guī)要求：滲透測試是滿足網(wǎng)絡安全法規(guī)和標準要求的重要手段之一，有助于企業(yè)確保其Web應用的安全性。職業(yè)道德：滲透測試人員應具備良好的職業(yè)道德，遵守法律法規(guī)，不進行非法的黑客活動，而是以提高系統(tǒng)安全性為目的進行測試。重點難點重點：滲透測試的意義：理解滲透測試的重要性，包括攻擊者思路和防御者思路。脆弱點挖掘和利用：掌握Web應用和操作系統(tǒng)的常見漏洞，以及挖掘、驗證和利用的方法，以及Metasploit的使用。權限提升和鞏固：理解不同操作系統(tǒng)下權限劃分的不同，并掌握各種情況下提權的方式。內網(wǎng)滲透：包括內網(wǎng)拓撲結構、常用網(wǎng)絡命令、內網(wǎng)嗅探和欺騙，以及域控的滲透。實踐環(huán)節(jié)：滲透測試的實踐環(huán)節(jié)是課程教學的重點，通過實踐學生可以更加深入地理解滲透測試的原理和技術，并提高實踐能力。難點：理解滲透測試的原理：包括攻擊者思路和防御者思路的不同，以及滲透測試流程的理解。Web應用和系統(tǒng)漏洞原理：理解Web應用常見漏洞的原理和系統(tǒng)漏洞原理，以及漏洞的發(fā)現(xiàn)和利用。權限提升的實現(xiàn)：在各種低權限情況下，提權的選擇和實現(xiàn)。網(wǎng)絡命令對網(wǎng)絡拓撲結構的分析：利用網(wǎng)絡命令對網(wǎng)絡拓撲結構進行分析，以及域控的滲透。組織形式課堂教學（√）、上機操作（√）、模擬實驗（√）、外出參觀（）、其他（）教學方法理論講授（√）、實操演練（√）、情境教學（）、案例教學（√）、問題導向（√）、合作探究（√）、任務驅動（√）、翻轉課堂（）、其他（）教學資源PPT課件，虛擬機，Kali操作系統(tǒng)課外作業(yè)課后習題學情分析學生對網(wǎng)絡安全有一定的了解，但對滲透測試的具體操作和流程不熟悉。學生對實際操作表現(xiàn)出較高的興趣，但可能缺乏實戰(zhàn)經(jīng)驗。學生對網(wǎng)絡安全的職業(yè)道德和法律法規(guī)意識需要加強。

滲透測試教案（教學過程）時間分配教師學生備注5分課程導入聽課討論5分課程思政案例分享：某大型金融機構近期遭遇了一次嚴重的網(wǎng)絡安全事件。攻擊者通過精心設計的釣魚郵件，誘使一名員工點擊了帶有惡意附件的鏈接，該鏈接下載了用于遠程控制和數(shù)據(jù)竊取的惡意軟件。一旦惡意軟件在員工計算機上執(zhí)行，它就開始掃描內部網(wǎng)絡，尋找可以進一步傳播的路徑。盡管該機構在其核心網(wǎng)絡上部署了防火墻，但由于防火墻配置不當和缺乏及時的更新，攻擊者成功繞過了防火墻的防護，訪問了關鍵的數(shù)據(jù)服務器。思考：你平時如何防御釣魚攻擊？5分課程思政案例分享：某電商平臺曾遭受頻繁的端口掃描和SQL注入攻擊。攻擊者試圖通過掃描開放端口和注入惡意SQL代碼來竊取用戶數(shù)據(jù)和破壞網(wǎng)站的正常運行。然而，由于該平臺部署了先進的防火墻系統(tǒng)，這些攻擊均被成功攔截。防火墻通過檢測和過濾惡意流量，保護了電商平臺的數(shù)據(jù)安全和用戶隱私。思考：除了使用防火墻以外你還知道如何防御sql注入攻擊？40分理論講授：內網(wǎng)滲透的思路聽課討論40分任務驅動：使用Metasploit進行內網(wǎng)滲透練習25分實操演練：利用ms10_002漏洞攻擊IE瀏覽器聽課討論30分任務驅動：利用ms10_002漏洞攻擊IE瀏覽