渗透测试教案-5-渗透攻击2

渗透测试教案（首页）学年第学期任课老师：编号：11班别时间课题渗透攻击教学目标知识目标：了解渗透测试的定义、目的和重要性，以及相关的法律法规。掌握目标分析的相关知识，理解信息收集的重要性，并熟练掌握主动式信息收集和被动式信息收集的各种方法。掌握Metasploit的使用方法。能力目标：技术基础：要求学生有较宽阔的知识面，包括操作系统、组成原理、数据库、应用开发、系统开发等方面的技术基础。渗透测试工具的运用：熟练运用渗透测试工具，进行安全漏洞的挖掘和利用。漏洞利用和代码审计能力：具备发现和利用漏洞的能力，能够通过代码审计等手段找出系统或应用程序中的安全漏洞，并利用这些漏洞进行攻击，以评估系统的安全性。情感目标：增强用户信任：通过渗透测试，增强Web应用安全性信任度，提升企业形象。满足合规要求：渗透测试是满足网络安全法规和标准要求的重要手段之一，有助于企业确保其Web应用的安全性。职业道德：渗透测试人员应具备良好的职业道德，遵守法律法规，不进行非法的黑客活动，而是以提高系统安全性为目的进行测试。重点难点重点：渗透测试的意义：理解渗透测试的重要性，包括攻击者思路和防御者思路。脆弱点挖掘和利用：掌握Web应用和操作系统的常见漏洞，以及挖掘、验证和利用的方法，以及Metasploit的使用。权限提升和巩固：理解不同操作系统下权限划分的不同，并掌握各种情况下提权的方式。内网渗透：包括内网拓扑结构、常用网络命令、内网嗅探和欺骗，以及域控的渗透。实践环节：渗透测试的实践环节是课程教学的重点，通过实践学生可以更加深入地理解渗透测试的原理和技术，并提高实践能力。难点：理解渗透测试的原理：包括攻击者思路和防御者思路的不同，以及渗透测试流程的理解。Web应用和系统漏洞原理：理解Web应用常见漏洞的原理和系统漏洞原理，以及漏洞的发现和利用。权限提升的实现：在各种低权限情况下，提权的选择和实现。网络命令对网络拓扑结构的分析：利用网络命令对网络拓扑结构进行分析，以及域控的渗透。组织形式课堂教学（√）、上机操作（√）、模拟实验（√）、外出参观（）、其他（）教学方法理论讲授（√）、实操演练（√）、情境教学（）、案例教学（√）、问题导向（√）、合作探究（√）、任务驱动（√）、翻转课堂（）、其他（）教学资源PPT课件，虚拟机，Kali操作系统课外作业课后习题学情分析学生对网络安全有一定的了解，但对渗透测试的具体操作和流程不熟悉。学生对实际操作表现出较高的兴趣，但可能缺乏实战经验。学生对网络安全的职业道德和法律法规意识需要加强。

渗透测试教案（教学过程）时间分配教师学生备注5分课程导入听课讨论5分课程思政案例分享：红十字会总部服务器遭不明黑客入侵总部设在日内瓦的红十字国际委员会当地时间2022年1月19日对外称，存储该机构数据的服务器日前遭到不明来源的黑客侵入，来自世界各地至少60个“红十字会”和“红新月会”的51.5万份个人信息被窃，其中包括因冲突、迁移和灾难而同家人分离的人员、失踪人员和被拘禁人员的信息。思考：你觉得应该如何有效的保护数据安全？5分课程思政案例分享：中国首例为境外刺探、非法提供高铁通信数据案2022年4月，国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。上海某信息科技公司销售总监王某等人在利益驱动下，非法收集、向境外公司提供涉及铁路GSM-R敏感信号等高铁数据。这起案件是《中华人民共和国数据安全法》实施以来，首例涉案数据被鉴定为情报的案件，也是我国首例涉及高铁运行安全的危害国家安全类案件。思考：《中华人民共和国数据安全法》对于数据安全保护的意义？40分理论讲授、实操演练：Metasploit的使用——MS17-010（Eternalblue）复现听课讨论40分任务驱动：使用Metasploit复现永恒之蓝漏洞利用练习25分理论讲授：Metasploit后渗透攻击听课讨论30分任务驱动：使用Metasploit在永恒之蓝基础上进