PAGE2
《Web安全渗透技术与应用》课程标准
一、课程概述
课程名称
Web安全渗透技术与应用
课程代码
英文名称
WebsecuritypenetrationtechnologyandApplication
学分
6
适用专业
计算机网络技术
总学时
96
课程性质
□公共基础课程(□必修课、□选修课)
□专业课程(□专业基础课程、?专业核心课程、□专业拓展课程)
其中:
实践学时
48
课程定位
本课程是计算机网络技术培养方案中的一门核心课程。计算机网络技术专业要求培养人能够掌握Web安全渗透的基本理论和方法,具备常见相关Web安全渗透分析和测试工具的安装、配置与使用技能,具备Web安全渗透现状与安全隐患的分析能力,能够针对不同Web系统特性开展针对性安全渗透部署。本课程是提供Web安全渗透测试、分析的一门专门技术,也是从事计算机网络安全组建、维护、部署、加固等岗位的关键能力之一。
先修课程:《计算机网络基础》《网站应用开发》《MYSQL数据库》《PHP语言编程》《window操作系统及服务器配置》《Linux操作系统及服务器配置》《网络安全》
后续课程:《网络安全实战运维》《python网络爬虫》
课程目标
(一)素质目标(包括职业素养和育人目标)
(1)具有诚信品质和责任意识
(2)具有一定的创新和应变能力
(3)遵纪守法,具有良好的职业道德
(4)培养观察问题,冷静解决问题的能力
(5)培养自主学习能力、交流沟通能力、自我管理能力
(6)培养团队协作精神、基本的组织协调能力、责任心和服从意识
(二)知识目标
(1)熟知各种Web服务器类型、各种Web编程语言。
(2)熟知Web安全渗透的现状、主要的Web安全渗透技术;
(3)熟知网络协议体系结构,掌握各种网络常用命令;
(4)熟知小型Web应用安全体系的设计与部署;
(5)熟知Web服务器的基本框架结构。
(6)熟知各种Web安全渗透测试方法,掌握Web渗透攻击与防范的实施方法;
(7)熟知常见的Web渗透使用工具。
(8)熟知Windows和Linux下Web服务器的渗透方法。
(9)了解Web安全标准、渗透测试标准、信息安全等级保护及其他标准
(三)能力目标
(1)能够掌握最新的Web安全渗透动态,分析Web安全渗透发展现状;
(2)能够利用Web渗透测试分析工具分析常见Web应用安全隐患;
(3)能够熟练应用常见网络命令进行Web渗透前期的信息收集和网络诊断;
(4)能够深入理解安全口令、SQL注入、跨站脚本攻击、跨站请求伪造、网站后门和提权等Web安全渗透技术原理,并具备渗透分析和测试的能力。
(5)能够使用常见软件完成Web渗透;
(6)能够掌握Web渗透攻击紧急响应的技术原理和部署方法;
(7)能够掌握中小型Web应用安全方案的设计能力。
(8)能够对windows系统下Web服务器进行加固;
(9)能够对Linux系统下Web服务器进行加固;
二、课程内容和要求
序号
课程
单元
主要教学知识点
学习目标及能力要求
育人元素
融入途径、方式
参考学时
01
Web信息安全基础
1.当前Web信息安全形势
1.了解当前Web安全的技术
自主学习能力、交流沟通能力;遵纪守法,良好的职业道德
网络空间安全涉及到国家安全及个人安全的方方面面
4
2.Web安全防护技术
2.了解Web安全的防护方法
02
信息安全法律法规
1.信息安全法律法规
1.熟知信息安全方面的法律法规
自主学习能力、交流沟通能力;遵纪守法,良好的职业道德;
通过案例讲解,分析《中华人民共和国网络安全法》
4
2.基于法律法规的案例分析
2.熟知信息安全在未授权下渗透测试的危害与所需承担后果
03
命令注入攻击与防御
1.命令注入攻击原理
1.能清晰表述命令注入的攻击原理
诚实守信的品质、具有一定的创新和应变能力
计算机网络由最初的“可信”网络转变为现今的“不可信”网络。由网络的转变,分析系统设计思路转变。
6
2.命令注入漏洞利用
2.能够有效挖掘命令注入漏洞
3.命令注入漏洞攻击方法
3.针对漏洞的具体情况可以使用针对性的方法完成渗透
4.命令注入漏洞防御方法
4.针对漏洞具体情况能够有效的进行漏洞加固
04
文件上传攻击与防御
1.文件上传攻击原理
1.能清晰表述文件上传的攻击原理
诚信、责任心;遵纪守法,具有良好的职业道德
分析在信息注册等可能存在需要上传信息的功能中,如果存在上传漏洞,可能导致的严重后果。
6
2.文件上传漏洞利用,通过上传木马获取服务器控制权限
2.能够有效挖掘命文件上传漏洞
3.文件上传漏洞攻击方法
3.针对漏洞的具体情况可以使用针对性的方法完成渗透
4.文件上传漏洞防御方法
4.针对漏洞具体情况能够有效的进行漏洞加固
05
SQL注入