《Web应用安全与防护》
课程标准
开课部门:计算机系
制定日期:2021年9月
修订日期:
教务处印制
一、课程信息
表1课程基本信息
课程名称
Web应用安全与防护
开课部门
计算机系
课程代码考核性质
考试
前导课程
网信安全基础
后续课程
信息安全综合实训
总学时
72
课程类型
理论课
是□
实践课
是□
理论+实践
是?
适用专业
信息安全与管理专业
表2课程标准开发团队名单
序号
姓名
工作单位
职称/职务
1
2
3
4
二、课程定位
(一)课程性质
本课程是信息安全与管理专业的一门专业必修课程,是该专业课程体系中重要的组成部分,在整个专业中的地位处于承上启下的作用。
(二)课程作用
本课程以漏洞为核心,从Web应用架构、漏洞原理、利用方式与防御方法等多方面剖析Web应用安全的相关知识,并以此为基础学习渗透测试的流程,熟悉渗透测试工具的使用。通过本课程的学习,主要培养学生了解渗透测试的相关理论,熟练使用网络安全渗透测试工具,增强信息安全意识,最终达到对目标主机发现漏洞、利用漏洞,修复漏洞的渗透技能。
三、课程目标
(一)素质目标
1.规范安全操作能力——遵守网络安全法,文明上网
2.团结协作能力——互相协作、共同学习
3.自我学习能力——使用网络解决学习遇到的问题
(二)知识目标
1.掌握linux/window平台的web漏洞环境搭建
2.掌握信息收集的方法
3.掌握nmap工具的使用
4.掌握Burpsuite工具的使用
5.掌握AWVS工具的使用
6.掌握sqlmap工具的使用
7.掌握中国菜刀工具的使用
8.掌握metasploit渗透框架
9.掌握命令执行漏洞的利用与加固
10.掌握文件上传漏洞的利用与加固
11.掌握文件包含漏洞的利用与加固
12.掌握任意文件下载漏洞的利用与加固
13.掌握sql注入漏洞的利用与加固
14.掌握xss漏洞的利用与加固
15.掌握csrf漏洞的利用与加固
(三)能力目标
1.能够具备洞悉网络安全技术,熟悉渗透测试流程,熟练使用多种渗透测试工具的能力。
2.能够具备对Web基础安全漏洞利用与防御的技能。
四、课程内容
表3课程整体设计
序号
项目(模块)
教学目标
教学内容
教学条件
学时
理论
实践
小计
1
Web安全实践环境部署
1.了解Web安全系统架构、常用术语
2.掌握搭建Web漏洞环境
1.web安全起源
2.web体系结构
3.Web应用安全分析
4.web常见名词及术语的含义
教材、课件、教学视频、教案、虚拟机、授课教授,实验实训室
4
4
8
2
常用Web安全工具应用
掌握常用的安全工具使用
nmap工具
Burpsuite抓包工具
Wireshark工具
中国菜刀工具
教材、课件、教学视频、教案、虚拟机、授课教授,实验实训室
8
8
16
3
典型Web漏洞利用与防护
1.了解Web典型漏洞的定义、危害
2.理解Web
典型漏洞的的原理、攻击流程
3.掌握Web
典型漏洞利用与防御方法
1.命令执行漏洞利用与防御
2.文件包含漏洞用与防御
3.文件上传漏洞利用与防御
4.任意文件读取漏洞利用与防御
5.SQL注入漏洞利用与防御
6.XSS漏洞利用与防御
教材、课件、教学视频、教案、虚拟机、授课教授,实验实训室
20
20
40
4
渗透测试综合实训
掌握渗透测试流程
掌握渗透测试报告编写
渗透测试概述
渗透测试流程
文件上传系统渗透测试
企业管理系统渗透测试
教材、课件、教学视频、教案、虚拟机、授课教授,实验实训室
4
4
8
表4课程项目(模块)教学组织设计
项目
(模块)
子项目
素质要求
知识要求
能力要求
实施步骤
课时
1.Web安全实践环境部署
1.1Web安全系统架构
1.具有较强的学习能力
2.具有较好的记忆能力
3.具有较强的动手操作能力
1.web安全起源
2.web体系结构
3.Web应用安全分析
1.能对浏览器安全设置
2.能对服务器安全配置
1.学生讨论与教师演示
2.教师引导和帮助学生解决问题
3.总结
4
1.2Web漏洞环境搭建
1.具有较强的学习能力
2.具有较好的记忆能力
3.具有较强的动手操作能力
1.web常见名词及术语的含义
2.kaillinux安装与msf框架的更新
3.web漏洞环境部署
1.能部署linuxweb漏洞环境
2.能部署windowweb漏洞环境
1.学生讨论与教师演示
2.教师引导和帮助学生解决问题
3.总结
4
常用Web安全工具应用
2.1
nmap工具
1.具有较强的学习能力
2.具有较好的记忆能力
3.具有较强的动手操作能力
1.信息收集的定义,目的,分类
2.社会工程学信息收集
3.DNS收集的方式