Web渗透测试与防护（慕课版）-课程标准-Web渗透测试与防护

《Web渗透测试与防护》课程标准课程名称Web渗透测试与防护课程性质专业群核心课课程代码学分3学时54适用专业信息安全技术应用、密码技术应用制定人审核人课程目标知识目标.了解Web安全漏洞常见类型，掌握HTTP协议原理；.掌握php基础语法和结构语句；.掌握SQL注入方式和防范；.掌握反射型和存储型XSS的工作原理；.掌握CSRF的攻击与防护；.掌握命令注入的方式和防范；.熟练常见的文件上传防护绕过方式；.掌握文件包含漏洞的利用与防御。能力目标.能对Web网站安全现状进行分析；.能安装DVWA环境和渗透测试相关软件；.能使用php连接MySql数据库，并对数据进行操作；.能利用常规的安全漏洞进行渗透测试；.能够进行Web安全巡检、安全防护；.能根据具体客户需求，综合运用所学专业知识熟练完成目标测评。素质目标.培养学生团队协作精神，树立诚信意识，锻炼学生沟通交流、提高学生的语言表达能力；.提高学生的动手能力，激发学生的创新能力、自主学习能力和分析问题、解决问题的能力，掌握知识的贯通与应用，并具有一定的知识迁移能力；.培养学生知识分享、互相学习的意识，自我学习能力。思政育人目标.培养学生潜意识的安全意识和行为习惯，居安思危，不断反思，增强忧患意识；.培养学生对国家和社会所负责任的认知，培养学生社会主义核心价值观，增强学生政治认同；.正确使用网络工具，培养学生励志壮行的道德素养，树立学生的法治意识，培养遵纪守法的良好习惯；.基于开源平台进行创新探索，在实践中增强创新意识，鼓励学生勇于探索、实践创新。王要内容序号知识点建议学时1WEB安全基础22DVWA部署和渗透测试软件安装43PHP基础语法84SQL注入漏洞与防护145XSS漏洞与防护66CSRF漏洞与防护47命令注入漏洞与防护48文件上传漏洞与防护49文件包含漏洞与防护410复习测试4合计54.教学方式建议本课程采用任务驱动式的教学方式，将理论的学习融入于任务完成的过程中，主要目的是增加学生自主式学习的兴趣，提高学生学习的热情，培养学生工程实践能力和自学能力。本课程的教学结合在线开放课程平台，采用线上线下相结合的混合式教学方式，综合运用现代化信息教学手段，借助案例，运用通俗易懂、简洁的语言进行讲解，让学生充分掌握所学知识。.教材建议•教材：教

学

建

议《Web渗透测试与防护》虞菊花著，人民邮电出版社，2023年7月。教

学

建

议•参考教材：《网络攻防与实践(第2版)》刘坤著，北京理工大学出版社，2019年11月；《网络安全协议分析》龙翔著，机械工业出版社，2019年8月；《数据库安全》虞菊花著，机械工业出版社，2020年7月；《渗透测试常用工具应用》李建新著，机械工业出版社，2020年8月。.实训条件建议(1)教学硬件：机房、网络。(2)教学软件：XAMPP、DVWA平台、Hbuilder>BurpSuite>Kali、WindowsServer2012>netcat、教学广播软件。(3)教师准备：教材、教案及课件、素材。.考核方式建议学生课程成绩评价立足培养高素质技术技能型人才和提升教学品质，加快建立能力和素质等多方面结合的学生课程成绩综合评价体系，坚持形成性评价和终结性评价相结合，突出学习、实践、科研、创新等多方面素质和能力的考评，逐步形成创新型、应用型、复合型、技能型人才培养的多层次、多元化评价方式。该课程的考核改变单一的终结性评价方式，采用态度性考核、知识性考核、技能性考核相结合，与创新性评价附件分一并合计计算的形成性考核方式。其中态度性评价占20%,知识性评价占40%,技能型评价占40%,另外对于学生的创新性评价，总分不得超过10分。灵活多样的考核方式可以全面考核学生的学习效果。课程考核方式如表1下所示。表1形成性考核一览表考核分类考核项目分数比例（%）考核要求考核形式态度性评价平时表现20采用扣分制，按20分计。课堂上出现迟到、早退，仪容不整，不带书本、从事与课堂教学无关事项、打瞌睡、不参与团组活动以及其他学习主动性明显不足现象的，每次扣1分；无故旷课、严重影响课堂秩序的，每次扣2分，直至该项成绩扣完。如一课程缺课累计达总课时的三分之一及以上者，依照学院《学生学分制学籍管理规定》第十一条，该课程成绩按零分计，直接重修。平时检查知识性评价单元小测验平均成绩40单元小测验平均成绩、期末成绩按50:50（百分制）计入知识性评价成绩。测验考试期末成绩技能性评价1.PHP基础40对每次实践操作完成情况评价，项目1、项目2、项目3、项目4、项目5按20：20：20：20：20（百分制）计入技能性评价成绩。实践操作打分2.SQL注入3.XSS4.CSRF和命令注入5.文件上传和文件包含创新性评价附加分对于取得与本课程知识、技术相关的证书如专利授权证书、软件等专业产品登记证书等，在院级及以上学木斗（专业）相关的竞赛获奖、市级以上刊物发表论文，社会技术服务取得明显成效，或者在课程学习中有突出创新的学生