Web安全滲透技術(shù)與應用課程教案授課基本情況課程名稱Web安全滲透技術(shù)與應用選課號授課班級授課教師姓名職稱教學安排教學總周數(shù)16理論教學周數(shù)16實踐環(huán)節(jié)周數(shù)16講課學時44實驗課（含上機）學時48其他環(huán)節(jié)1習題課學時2課堂討論學時1總學時96學分6教材使用情況采用教材名稱Web基礎滲透與防護書號出版社名稱電子工業(yè)出版社出版（改版）年月教學參考書Web系統(tǒng)安全和滲透性測試基礎，航空工業(yè)出版社.2009Web安全測試，清華大學出版社.2010/實驗（課程設計、實訓等）指導書教材內(nèi)實驗教學目標與教學要求教學目標本課程是計算機網(wǎng)絡技術(shù)培養(yǎng)方案中的一門核心課程。計算機網(wǎng)絡技術(shù)專業(yè)要求培養(yǎng)人能夠掌握Web安全滲透的基本理論和方法，具備常見相關(guān)Web安全滲透分析和測試工具的安裝、配置與使用技能，具備Web安全滲透現(xiàn)狀與安全隱患的分析能力，能夠針對不同Web系統(tǒng)特性開展針對性安全滲透部署。本課程是提供Web安全滲透測試、分析的一門專門技術(shù)，也是從事計算機網(wǎng)絡安全組建、維護、部署、加固等崗位的關(guān)鍵能力之一。教學要求（二）知識目標（1）熟知各種Web服務器類型、各種Web編程語言。（2）熟知Web安全滲透的現(xiàn)狀、主要的Web安全滲透技術(shù)；（3）熟知網(wǎng)絡協(xié)議體系結(jié)構(gòu)，掌握各種網(wǎng)絡常用命令；（4）熟知小型Web應用安全體系的設計與部署；（5）熟知Web服務器的基本框架結(jié)構(gòu)。（6）熟知各種Web安全滲透測試方法，掌握Web滲透攻擊與防范的實施方法；（7）熟知常見的Web滲透使用工具。（8）熟知Windows和Linux下Web服務器的滲透方法。（9）了解Web安全標準、滲透測試標準、信息安全等級保護及其他標準（三）能力目標（1）能夠掌握最新的Web安全滲透動態(tài)，分析Web安全滲透發(fā)展現(xiàn)狀；（2）能夠利用Web滲透測試分析工具分析常見Web應用安全隱患；（3）能夠熟練應用常見網(wǎng)絡命令進行Web滲透前期的信息收集和網(wǎng)絡診斷；（4）能夠深入理解安全口令、SQL注入、跨站腳本攻擊、跨站請求偽造、網(wǎng)站后門和提權(quán)等Web安全滲透技術(shù)原理，并具備滲透分析和測試的能力。（5）能夠使用常見軟件完成Web滲透；（6）能夠掌握Web滲透攻擊緊急響應的技術(shù)原理和部署方法；（7）能夠掌握中小型Web應用安全方案的設計能力。（8）能夠?qū)indows系統(tǒng)下Web服務器進行加固；（9）能夠?qū)inux系統(tǒng)下Web服務器進行加固；擬采用的教學方法（授受式教學，啟發(fā)式教學，課堂討論，當堂測試，學生講授，學生自學，案例教學，參觀實習，調(diào)研，角色游戲、活動教學、項目教學、實驗、探究……選擇其中幾項，或補充其它教學方法。）1、項目導向、任務驅(qū)動教學法教學過程中堅持工學結(jié)合，以項目為導向、以任務驅(qū)動的學生技能學習。選取典型任務，涵蓋相關(guān)知識點。注重培養(yǎng)學生發(fā)現(xiàn)問題、分析問題、解決問題的能力以及創(chuàng)新思維與技術(shù)綜合應用能力。2、“教、學、練、做”四位一體教學法在網(wǎng)絡安全的理論和實踐技能講授過程中，堅持采用教、學、練、做四位一體教學法，邊講邊學，邊學邊練，邊練邊做，講、學、練、做相互交叉，學做合一、理實一體，使學生具有堅實的理論知識和過硬的實踐技能。3、傳統(tǒng)與現(xiàn)代結(jié)合教學法傳統(tǒng)的板書與多媒體教學有機結(jié)合，使師生良好互動與技術(shù)媒體的信息良好展示得以充分的融合。擬采用的教學手段（傳統(tǒng)講授，多媒體教學，語音教學，網(wǎng)絡教學，VCD，錄相，……選擇其中幾項，或補充其它教學手段。）1、多媒體在教學過程中全程穿插使用。2、恰當運用現(xiàn)代輔助教學手段。教學過程中，采用虛擬項目等仿真教學環(huán)境、VCD等教學手段輔助教學。3、充分利用網(wǎng)絡資源。學生可通過在網(wǎng)上直接下載本課程相關(guān)教學資源進行學習。考核方式和評分標準（考試/考查，開卷/閉卷，期中考試，期終考試，平時測驗，實驗，課堂發(fā)言，平時作業(yè)，課堂參與，課堂表現(xiàn)，考勤要求，課外論文，調(diào)研報告，市場調(diào)查，讀書報告，……選擇其中幾項，或補充其它考核方式，并寫出評分標準。）本課程以實踐課為主，因此采用過程考核方式，成績考核以學習的態(tài)度（出勤、聽講、參與課堂活動）（20%）、實驗報告（80%）。作業(yè)及輔導答疑安排（次數(shù)，初步安排、形式等）1、上機實驗共8個，全部批改；2、課外作業(yè)2次，以課堂提問等方式檢查；3、輔導答疑：2次，以課內(nèi)答疑為主，課外通過電子郵件或約定時間面授指導和答疑。教師簽名：系主任簽名：學院（部）分管領(lǐng)導簽名：年月日蘇州市職業(yè)大學教學進度表2022~2023學年第2學期周次日期周學時其中教學內(nèi)容摘要(章節(jié)名稱、講述內(nèi)容提要、實驗的名稱、課堂討論的題目、作業(yè)等)講課實驗課習題課課堂討論其他環(huán)節(jié)第一周2月20日至2月24日633課程介紹說課第1章：web應用基礎1.web組件服務層次架構(gòu)2.web應用組成第2章信息安全法律法規(guī)第二周2月27日至3月3日633第3章：命令注入漏洞1命令注入漏洞原理分析2命令注入漏洞滲透方法3命令注入漏洞防御方法上機或?qū)嶒灒好钭⑷肼┒垂襞c防御第三周3月6日至3月10日633第4章：文件上傳漏洞1文件上傳漏洞原理分析2文件上傳漏洞滲透方法3文件上傳漏洞防御方法上機或?qū)嶒灒何募蟼髀┒礉B透過程第四周3月13日至3月17日633第5章：SQL注入漏洞1SQL注入漏洞原理分析2SQL注入漏洞滲透方法3SQL注入漏洞防御方法上機實驗：SQL注入漏洞滲透過程1第五周3月20日至3月24日633第5章：SQL注入漏洞1SQL注入漏洞原理分析2SQL注入漏洞滲透方法3SQL注入漏洞防御方法上機實驗：SQL注入漏洞滲透過程2第六周3月27日至3月31日211第六章SQL盲注漏洞1SQL盲注漏洞原理分析2SQL盲注漏洞滲透方法3SQL盲注漏洞防御方法上機實驗：SQL盲注漏洞滲透與防御第七周4月3日至4月7日633第七章暴力破解漏洞1暴力破解漏洞原理分析2暴力破解漏洞滲透方法3暴力破解漏洞防御方法上機實驗：暴力破解漏洞滲透與防御第八周4月10日至4月14日633第八章文件包含漏洞1文件包含漏洞原理分析2文件包含漏洞滲透方法3文件包含漏洞防御方法上機實驗：文件包含漏洞滲透與防御第九周4月17日至4月21日633第九章xss跨站腳本漏洞1反射型xss漏洞原理分析2反射型xss漏洞滲透方法3反射型xss漏洞防御方法上機實驗：反射型xss漏洞滲透與防御第十周4月24日至4月28日633習題課第十一周5月1日至5月5日633第九章xss跨站腳本漏洞1存儲型xss漏洞原理分析2存儲型xss漏洞滲透方法3存儲型xss漏洞防御方法上機實驗：存儲型xss漏洞滲透與防御第十二周5月8日至5月12日633第十章其他漏洞1CSRF漏洞原理分析2邏輯錯誤漏洞3代碼注入上機實驗：CSRF漏洞滲透與防御第十三周5月15日至5月19日633信息探測與漏洞掃描1信息收集工具使用2漏洞掃描工具使用實驗上機：針對特定網(wǎng)站進行信息收集與漏洞掃描測試第十四周5月22日至5月26日633靶場測試第十五周5月29日至6月2日633第十一章實戰(zhàn)入侵與防范1開源安全程序剖析2拖庫上機實驗：針對特定網(wǎng)站進行實戰(zhàn)滲