Web基础渗透与防护-教学大纲.docxVIP

《Web基础渗透与防护》 教学大纲 一、课程信息 课程名称：Web基础渗透与防护 课程类别：素质选修课/专业基础课 课程性质：选修/必修 计划学时：64 计划学分：4 先修课程：无 选用教材：《Web基础渗透与防护》，王德鹏、谭方勇主编，2019年，电子工业出版社。 适用专业：本课程既可以作为高等职业院校计算机网络与信息安全等相关专业的教学 课程，也可以作为信息安全从业的学习指导课程。 课程负责人： 二、课程简介 本课程介绍了 Web中高危漏洞的形成原理、利用方法、加固和防御方法。全课程共11 章，第「2章为基础知识与法律法规，主要论述了当前的信息安全状况、存在的问题。第 3?10章为漏洞分析、利用、加固和防御，主要介绍了命令注入、文件上传、SQL注入、SQL 盲注、文件包含、暴力破解、XSS跨站请求、CSRF跨站请求等漏洞原理、利用方法与针对性 加固方法。第11章为代码审计部分，主要分析了代码审计的必要性、代码审计的方法，以 及代码审计的案例。 三、课程教学要求 序号 专业毕业要求 课程教学要求 关联程度 1 工程知识 本课程针对OWASP每年公布的TOP 10 Web应用风险与 攻防，主要分析了命令注入、文件上传、SQL注入与盲 注、暴力破解、文件保护、XSS跨站、CSRF等的方法， 结合主流的hacker实验平台DVWA,分析原理，利用方 法，加固措施等。Web信息安全是一把双刃剑，在理解 攻击原理后，可以针对性地设计加固与防御方案，同时 也可以根据原理设计新的攻击方式，因此信息安全从业 人员需要守住自己的底线。为了加强安全意识，本课程 利用一章的篇幅讲解信息安全方面的法律法规。为了加 强防御方法，本课程最后分析了代码审计对软件的必要 性。 L 2 问题分析 在网络空间安全提出之前，从事网络安全工作的人员， 都是专业的技术人员，大多从高级程序员、设备驱动程 序开发人员转换而来，具有丰富、扎实的软件开发、网 络编程等技术知识。因此，目前涉及网络安全基础知识 H 的课程籍较少，学生学习网络安全基础知识的入门教材 更是难寻。为了方便计算机专业的学生学习Web信息安 全的基础知识，以及信息安全爱好人员学习网络安全知 识，主编团队特编写了本课程。 3 设计/开发解决方案 在理解攻击原理后，可以针对性地设计加固与防御方案, 同时也可以根据原理设计新的攻击方式，因此信息安全 从业人员需耍守住自己的底线。为了加强安全意识，本 课程利用一章的篇幅讲解信息安全方面的法律法规。为 了加强防御方法，本课程最后分析了代码审计对软件的 必要性。 H 4 研究 L 5 使用现代工具 Python2.7、DVWA1.9、XAMPP、Burp Suit Bruter、 Hydra M 6 工程与社会 学会将相应技术应用于实际生产和社会服务中，为社会 做出贡献。 L 7 环境和可持续发展 L 8 职业规范 L 9 个人和团队 学会个人发展和团队合作，提高个人和团队的综合素质。 H 10 沟通 学会进行有效的沟通和表达，与客户、同事和上级保持 良好的沟通和协作。 M 11 项目管理 L 12 终身学习 学会进行自我学习和自我提升，不断提高自身的专业水 平和创新能力。 H 、课程教学内容注：“课程教学要求”栏中内容为针对该课程适用专业的专业毕业要求与相关教学要求的具 体描述。“关联程度”栏中字母表示二者关联程度。关联程度按高关联、中关联、低关联三 档分别表示为“H” 或。”课程教学要求”及“关联程度”中的空白栏表示该课 程与所对应的专业毕业要求条目不相关。 、课程教学内容 章节 名称 主要内容 重难点关键词 学时 类型 1 Web信息安全 基础 当前Web信息安全形势 Web信息安全防护技术 了解Web信息安 全的重要性和基 本概念； 了解Web攻击的 类型和常见漏 洞。 2 理论 U! 2 信息安全法律 法规 信息安全相关管理方法 案例 了解信息完全相 关的法律法规。 2 理论 3 命令注入攻击 与防御 项目分析 实验环境 命令注入攻击原理分析 利用命令注入获取信息 命令注入漏涧攻击方法 防御命令注入攻击 实训任务 了解命令注入攻 击原理； 能够理解命令注 入的攻击方式。 如信息获取、密 码破解等； 能够利用多种手 段防御命令注入 攻击。 6 理论+ 实操 4 文件上传攻击 与防御 项目分析 实验环境 文件上传漏洞原理分析 上传木马获取控制权 文件上传满洞攻击方法 文件上传漏洞防御方法 实训任务 了解文件上传的 攻击原理； 能够理解文件上 传攻击方式，如 信息获取、挂马 等； 能够利用多种手 段防御文件上传 攻击。 6 理论+ 实操 5 SQL注入攻击 与防御 项目分析 实验环境 SQL注入攻击原理分析 文本框输入的SQL注入方法 非文本框输入的SQL注入方