《Web应用与安全防护》课程标准

《Web应用安全与防护》课程标准开课部门：计算机系制定日期：2021年9月修订日期：教务处印制一、课程信息表1课程基本信息课程名称Web应用安全与防护开课部门计算机系课程代码22245024考核性质考试前导课程网信安全基础后续课程信息安全综合实训总学时72课程类型理论课是□实践课是□理论+实践是适用专业信息安全与管理专业表2课程标准开发团队名单序号姓名工作单位职称/职务1234二、课程定位（一）课程性质本课程是信息安全与管理专业的一门专业必修课程，是该专业课程体系中重要的组成部分，在整个专业中的地位处于承上启下的作用。（二）课程作用本课程以漏洞为核心，从Web应用架构、漏洞原理、利用方式与防御方法等多方面剖析Web应用安全的相关知识，并以此为基础学习渗透测试的流程，熟悉渗透测试工具的使用。通过本课程的学习，主要培养学生了解渗透测试的相关理论，熟练使用网络安全渗透测试工具，增强信息安全意识，最终达到对目标主机发现漏洞、利用漏洞，修复漏洞的渗透技能。三、课程目标（一）素质目标1.规范安全操作能力——遵守网络安全法，文明上网2.团结协作能力——互相协作、共同学习3.自我学习能力——使用网络解决学习遇到的问题（二）知识目标1.掌握linux/window平台的web漏洞环境搭建2.掌握信息收集的方法3.掌握nmap工具的使用4.掌握Burpsuite工具的使用5.掌握AWVS工具的使用6.掌握sqlmap工具的使用7.掌握中国菜刀工具的使用8.掌握metasploit渗透框架9.掌握命令执行漏洞的利用与加固10.掌握文件上传漏洞的利用与加固11.掌握文件包含漏洞的利用与加固12.掌握任意文件下载漏洞的利用与加固13.掌握sql注入漏洞的利用与加固14.掌握xss漏洞的利用与加固15.掌握csrf漏洞的利用与加固（三）能力目标1.能够具备洞悉网络安全技术，熟悉渗透测试流程，熟练使用多种渗透测试工具的能力。2.能够具备对Web基础安全漏洞利用与防御的技能。四、课程内容表3课程整体设计序号项目（模块）教学目标教学内容教学条件学时理论实践小计1Web安全实践环境部署1.了解Web安全系统架构、常用术语2.掌握搭建Web漏洞环境1.web安全起源2.web体系结构3.Web应用安全分析4.web常见名词及术语的含义教材、课件、教学视频、教案、虚拟机、授课教授，实验实训室4482常用Web安全工具应用掌握常用的安全工具使用nmap工具Burpsuite抓包工具Wireshark工具中国菜刀工具教材、课件、教学视频、教案、虚拟机、授课教授，实验实训室88163典型Web漏洞利用与防护1.了解Web典型漏洞的定义、危害2.理解Web典型漏洞的的原理、攻击流程3.掌握Web典型漏洞利用与防御方法1.命令执行漏洞利用与防御2.文件包含漏洞用与防御3.文件上传漏洞利用与防御4.任意文件读取漏洞利用与防御5.SQL注入漏洞利用与防御6.XSS漏洞利用与防御教材、课件、教学视频、教案、虚拟机、授课教授，实验实训室2020404渗透测试综合实训掌握渗透测试流程掌握渗透测试报告编写渗透测试概述渗透测试流程文件上传系统渗透测试企业管理系统渗透测试教材、课件、教学视频、教案、虚拟机、授课教授，实验实训室448表4课程项目（模块）教学组织设计项目（模块）子项目素质要求知识要求能力要求实施步骤课时1．Web安全实践环境部署1.1Web安全系统架构1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.web安全起源2.web体系结构3.Web应用安全分析1.能对浏览器安全设置2.能对服务器安全配置1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结41.2Web漏洞环境搭建1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.web常见名词及术语的含义2.kaillinux安装与msf框架的更新3.web漏洞环境部署1.能部署linuxweb漏洞环境2.能部署windowweb漏洞环境1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结4常用Web安全工具应用2.1nmap工具1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.信息收集的定义，目的，分类2.社会工程学信息收集3.DNS收集的方式4.nmap工具收集主机信息能利用nmap工具收集主机信息1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结42.2Burpsuit工具1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.漏洞扫描的定义、意义2.常用的漏洞扫描工具3.brupsuite工具的使用2.能利用brupsuit工具抓包1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结2常用Web安全工具应用2.3wireshark工具1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.wireshark工具介绍2.显示过滤器使用2.能利用wireshark工具进行流量分析1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结42.4中国菜刀工具1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.一句话木马介绍2.中国菜刀工具3.冰蝎工具介绍能利用中国菜刀工具连接一句话木马1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结43.典型漏洞的渗透与防御3.1命令执行漏洞1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.了解命令执行漏洞的原因、利用2.掌握OS执行命令3.掌握命令执行漏洞加固能利用命令执行漏洞及其加固1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结43.2文件包含漏洞1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.了解文件包含漏洞产生的原因2.掌握文件包含漏洞的利用3.掌握文件包含漏洞加固能利用文件包含漏洞及其加固1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结43.3文件上传漏洞1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.了解文件上传漏洞的概念、原因、危害2.理解文件上传漏洞的测试流程3.掌握文件上传漏洞的利用与加固措施能利用文件上传漏洞及其加固1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结43.4任意文件读取漏洞1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.了解文件包含漏洞产生的原因2.掌握文件包含漏洞的利用3.掌握文件包含漏洞加固能利用文件读取漏洞及其加固1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结43.5-3.7SQL注入漏洞1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.了解SQL注入漏洞的基本概念、危害，分类2.理解SQL注入漏洞的测试流程、测试字符串3.掌握数据库的基本操作4.掌握手工注入&工具注入5.掌握SQL注入漏洞的利用与加固能利用SQL注入漏洞及其加固1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结123.8XSS漏洞1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.了解xss漏洞的基本概念、分类2.理解xss漏洞的测试流程3.掌握xss漏洞的利用与加固能利用XSS漏洞及其加固1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结43.渗透测试综合实训4.1企业管理系统渗透1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力1.渗透测试流程概述2.渗透测试报告编写2.各类安全工具综合应用能够进行黑盒渗透测试，并获取控制权1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结44.2文件上传管理系统渗透1.具有较强的学习能力2.具有较好的记忆能力3.具有较强的动手操作能力能够进行黑盒渗透测试，并获取控制权1.学生讨论与教师演示2.教师引导和帮助学生解决问题3.总结4五、课程考核表5课程总评表考核类别考核项目考核方式权重过程性考核课堂考勤随堂考勤10%课堂表现积极互动10%终结性考核实践考核实践表现、实践报告等40%理论考核考试(闭卷)40%六、实施建议（一）师资配备建议主讲教师师德好、事业心强、治学严谨。及时跟踪产业发展趋势和行业动态，分析职业岗位能力要求和更新变化，并及时纳入教学内容。教学实施过程注重学生实践能力培养，教学能力强，教学特色突出，专业技能水平高。专业教师具有一定企业经历和行业影响力。教学团队具有合理的知识、年龄结构。专任教师中“双师”型教师的比例、专业教师中来自行业企业的兼职教师的比例均较合理。根据课程需要配备辅导教师。教学团队的教师专业素质较高。承担有省部级以上教学研究或改革项目。有省部级以上教学成果或获得过相应教学奖励。教学改革有创意，通过对外技术服务与合作，促进教学改革与实践，成效明显。（二）实践教学条件建议1.校内实训室（一个实训室一张表）表6-1计算机应用实训室实训室名称计算机应用实训室面积要求90平方米序号核心设备数量要求备注1PC机90台4G以上内存表6-2信息安全实训室实训室名称计算机应用实训室面积要求90平方米序号核心设备数量要求备注1攻防平台1套支持50人同时在线2.校外实训基地表7校外实训基地序号校外实习基地名称合作企业名称用途1安徽邮电职业技术学院校外实训基地中国通服和信科技有限公司顶岗实习、学生就业23教材选用建议教材选用校本教材：金京犬主编《Web应用安全与防护》。数字化资源/s/1SaQe85qoIvdSuaJ3ososxA，提取码:9fi2。信息化教学建议1.增强老师的交互意识。信息技术教学环境下，教师仍然占据着主导地位，教学交互行为要考老师来引导，只有老师的交互意识增强了，才能提升课堂中的教学交互活动，促进学生积极参与到教学活动中。2.充分利用现代信息化教学媒体。现代教学媒体不应该知识作为呈现教学内容的载体，教师和学生应该充分利用它来辅助教和学，用丰富的图片、动画、视屏创设只管、立体、生动的学习情境，让课堂更加丰富多彩、灵活多样，增强师生之间的交流沟通。课程改革