《Web系统安全》课程标准.docx

《《Web系统安全》课程标准.docx》由会员分享，可在线阅读，更多相关《《Web系统安全》课程标准.docx（6页珍藏版）》请在第一文库网上搜索。

1、Web系统安全课程标准一、课程概述1 .课程性质Web系统安全是信息安全与管理专业的一门专业核心课程，针对信息安全及网络安全企业信息安全管理员、信息安全评估员、渗透测试工程师等关键岗位，经过对企业岗位典型工作任务的调研和分析后，归纳总结出来的为适应信息安全管理、web安全维护、web漏洞挖掘、web安全防范、渗透测试评估等能力要求而设置的一门专业核心课程。2 .课程任务Web系统安全课程通过与web系统漏洞相关的实际项目学习，增强学生对web系统漏洞的认识，让他们熟练掌握Web渗透工具使用，掌握常见web漏洞的攻击和防范，例如：暴力破解、命令行注入漏洞、xss漏洞攻击、csrf漏洞攻击、文件上

2、传漏洞及利用、文件包含漏洞、SQL注入漏洞及利用、用户身份识别等漏洞。从而满足企业对相应岗位的职业能力需求。3 .课程要求Web系统安全课程主要采用“项目导向，任务驱动，案例教学，理论实践一体化课堂”的教学模式开展教学，课程的理论实践一体化教学全部安排在设施先进的理实一体教室进行,教学中以学生自主学习为主，采用多种学习素材及教学手段，教师全程负责答疑解惑、指导项目制作，充分调动师生双方的积极性，达成教学目标。二、教学目标1 .知识目标（1） 了解web安全的基础知识和http协议工作原理；（2） 了解暴力破解的流程和防范措施；（3） 掌握命令行注入漏洞的攻击方式和防范；（4） 掌握xss漏洞点

3、的挖掘和漏洞攻击利用与防范；（5） 掌握csrf漏洞点的挖掘和漏洞攻击利用与防范；（6） 熟悉文件上传漏洞的攻击利用与防范、一句话木马的编写；（7） 熟悉文件包含漏洞的攻击利用与防范；（8） 了解sql注入攻击的方式、方法和防范措施；（9）掌握验证码的验证机制和缺陷利用。2 .能力目标（1）能使用安全工具完成web网站漏洞点的扫描；（2）能完成web网站常见漏洞点的挖掘；（3）能利用常见的漏洞对web网站进行攻击；（4）能完成攻击成功后的后续操作，如木马种植、权限提升等；（5）能针对web站点存在的漏洞提出有效的防范措施并实施。3 .素质目标（1）培养学生的沟通能力及团队协作精神；（2）培养学

4、生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；（5）培养学生诚实、守信、严谨的性格；（6）培养学生自主、开放的学习能力。三、与前后课程的联系1 .与前续课程的联系前续课程信息安全技术、Python程序设计、网站建设与安全维护、数据库应用与管理等让学生了解信息安全的基本知识，了解程序和数据库的基本概念，了解PHP网站的建设，为本课程的实施打好良好的基础。2 .与后继课程的关系该课程为学生后续课程毕业设计课程提供操作保障。四、教学内容与学时分配根据职业岗位信息安全管理员、信息安全工程师、渗透测试工程师和网络安全运维工程师的要求，将本课程的教学内容分解为9个

5、教学单元，课程项目结构与学时分配如表所示。课程项目结构与学时分配表序号教学单元主要教学内容教学目标学时备注1Web系统安全常识（1）如何更好地学习Web安全（2） Web安全漏洞扫描与渗透攻击工具的基本使用（3） HTTP协议解析（4）wireshar抓取HTTP数据包进行报文分析（1） 了解Web安全的特点（2） 了解Web安全漏洞扫描与渗透攻击工具（3）熟悉国际著名十大Web安全攻防（4）掌握HTTP协议的工作原理（5）掌握HTTP协议的报文格式4建议实践课时2课时2暴力破解（1）测试环境搭建（2）暴力破解原理讲解（3）burpsuite工具简介（4）使用buipsuite进行简单暴力破解

6、的应用（5）dvwa暴力破解实战（6）暴力破解的防范（1）能够独立完成web安全测试环境的搭建（2）掌握burpsuite工具的使用（3）能独立完成dvwa三个级别的暴力破解操作（4）掌握暴力破解的防范方法4建议实践课时2课时3命令行注入(1)命令行注入的原理分析(2)常见的命令拼接符(3)命令行注入漏洞分析(4)dvwa注入实战(5)命令行注入漏洞的防范(1)掌握常见的命令拼接符(2)掌握命令行注入漏洞点的分析(3)能独立完成dvwa三个级别的命令行注入漏洞操作(4)掌握命令行注入漏洞的防范4建议实践课时2课时4XSS漏洞攻击与防范(1) Xss攻击的原理分析(2) Xss的分类(3) Xs

7、s漏洞挖掘、漏洞利用(4) dvwa-xss反射型漏洞实战(5) dvwa-xss存储型漏洞实战(6)dvwa-xssD0M型漏洞实战(7)Xss的防范(1)掌握好xss攻击的原理和分类(2)掌握好xss漏洞的挖掘和利用(3)能独立完成dvwa反射型、存储型DOM型三种类型三个级别的xss漏洞利用操作(4)掌握好xss的防范技术8建议实践课时4课时5CSRF攻击(1) CSRF攻击原理(2) CSRF攻击场景分析(3) CSRF攻击案例分析(4) dvwa-CSRF漏洞攻击实战(5) CSRF漏洞攻击防范(1)掌握CSRF攻击原理(2)掌握CSRF的攻击场景(3)能独立完成dvwa三个级别的C

8、SRF漏洞攻击利用(4)掌握CSRF漏洞攻击防范4建议实践课时2课时6文件上传漏洞渗透及防御(1)文件上传漏洞原理(2)webshell与上传漏洞分析(3)小马与大马分析(4)dvwa文件上传漏洞实战(5)文件上传漏洞防范(1)掌握文件上传漏洞原理(2)掌握一句话木马代码编写(3)能独立完成dvwa三个级别的文件上传漏洞攻击利用(4)掌握文件上传漏洞的防范8建议实践课时4课时7文件包含漏洞(1)文件包含漏洞原理分析(2)本地文件包含(3)远程文件包含PHP伪协议分析dvwa实战(6)文件包含漏洞防范(1)掌握文件包含漏洞的原理(2)掌握本地文件包含和远程文件包含漏洞的利用(3)掌握PHP伪协议

9、的使用(4)能独立完成dvwa三个级别的文件包含漏洞攻击利用(5)掌握文件包含漏洞防范4建议实践课时2课时8SQL注入(1) SQL注入原理分析(2) SQL语言基础(3) SQL注入流程(4) dvwaSQL注入实战(5) sqhnap自动化注入工具简介(6) get方法注入(7) post方法注入(1)掌握SQL注入原理(2)掌握SQL语言与MySQL数据库(3)掌握SQL注入流程(4)能独立完成dvwa三个级别的SQL注入漏洞攻击利用(5)掌握sqlmap的使用12建议实践课时6课时（8）数据获取（9）SQL注入防范（6）使用sqlmap完成SQL注入攻击（7）掌握SQL注入攻击的综合利

10、用（8）掌握SQL注入防范技术9不安全的验证码（1）验证码技术原理分析（2）验证码带来的问题（3）二次验证码技术（4）dvwa不安全验证码攻击实战（5）身份识别技术的防范（1）掌握验证码技术的原理（2）掌握不安全的验证码利用（3）能独立完成dvwa三个级别的不安全验证码漏洞攻击利用（4）掌握身份识别技术的防范4建议实践课时2课时10机动复习各单元的基本概念；各单元的重点、难点；各单元实践项目的操作复习各单元的基本概念；各单元的重点难点；掌握各单元实践项目的操作2根据实际情况调整授课内容与时间11考核期末考试（闭卷）巩固学习内容，检测学习情况2合计56五、教材的选用1 .教材选取的原则按照规定选

11、用与课程标准相配套的规划优质教材，禁止不合格的教材进入课堂。建立了由专业教师、行业专家和教研人员等参与的教材选用机构，完善教材选用制度。教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Web系统安全设置防范的操作及技巧，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。2 .推荐教材（DWeb安全深度剖析作者张炳帅编著出版社：电子工业出版社ISBN：9787121255816（2）安全之路一一Web渗透技术及实战案例解析（第2版）作者：陈小兵出版社：电子工业出版社ISBN：9787121267741六、教师要求担任本课程的专任教师需要具有较强的We

12、b系统安全的运维能力；具有高校教师资格和本专业职业资格或技能等级证书；有理想信念、有良好职业道德、有扎实学识、有仁爱之心；具有信息安全技术、计算机科学技术等相关专业本科及以上学历；具备应用不同的工具进行Web渗透必备技术、常见的加密与解密攻击、Web漏洞扫描、常见的文件上传漏洞及利用、SQL注入漏洞及利用操作技巧；具有较强的信息化资源应用和开发能力。兼任教师主要从相关企业聘任，具备良好的思想政治素质、职业道德和工匠精神，具有扎实的信息安全与管理的专业知识和丰富的实际工作经验，具有中级及以上相关专业技术职称，能承担本课程教学、实习实训指导等教学任务。七、学习场地、设施要求1 .理实一体教室该课程

13、要求在理论实践一体化教室(多媒体教室)完成，要求配备多媒体投影仪一套,高性能计算机48台，以实现教、学、做合一。同时要求安装多媒体教学软件，方便下发教学任务和收集学生课堂实践结果，为了避免学生做实验对操作系统的破坏与影响，建议机房安装虚拟机软件VMWare,再在虚拟机下安装Windows网络操作系统，方便学生进行测试与防范实验操作。2 .支持信息化教学方面的基本要求具有一定网络软硬件条件及终端，能够提供数字化教学资源库线上学习、文献资料查阅、常见问题解答等信息化条件。八、课程资源的开发与利用积极开发和利用网络教学资源：课程标准、实训指导书、授课计划、电子教案、教学资源库等教学文件，及多媒体教学

14、课件、习题、案例库、试题库、网络方案、布线标准、工具软件、在线开放课程等资源。建立在线的互动交流网络学习平台。九、考核方式与标准职业教育培养高素质技术技能型人才，不但要重视学生职业技能和职业素养培养，还要求学生掌握一定的专业基础理论知识，以利于今后可持续发展。因此需要加强理论知识、职业技能和职业素养等方面的考核评定。本课程采用过程性评价和终结性评价相结合的方法进行，既有理论知识考核，又有学生学习态度、思维能力、动手能力、解决问题的能力等方面的综合考核，课程具体评价方法和内容如表所示。Web系统安全课程评价方法和内容考核类型考核方式考核内容理论知识(50%)过程性考核(10%)课堂提问、课堂纪律、平时作业、单元测试等。终结性考核(40%)期末闭卷理论考试，评价知识目标达成程度。重点考核暴力破解、命令行注入、xss漏洞攻击与防范、CSRF攻击、文件上传漏