XX大学《web安全基础》教学大纲-计科专升本.docx

web安全基础教学大纲课程信息:课程代码200622007课程类别专业选修课课程名称Web安全基础英文名称WebSecurityFoundation适用专业计算机科学与技术建议修读学期2总学分3其中：1实践教学实验学分1实习学分无实训学分无总学时48其中：16实践教学实验学时16实习学时无实训学时4先修课程程序设计基础、计算机网络、数据库原理、Web程序设计后续课程恶意代码分析考核方式平时学习和课堂参与、实验操作及报告、课程答辩、期末考试大纲拟定人大纲审核人一、课程简介web安全基础课程是计算机科学与技术专业网络安全方向的一门专业选修课。课程内容主要涉及国内外Web安全面临的形势，Web安全的基础知识、常见Web安全漏洞、常见Web攻击及防御等,常见的Web安全技术及工具,培养理论知识与实践技能有机融合的能力，增强Web系统开发中的网络安全意识，为进一步学习专业课程和构建稳健的Web系统打下良好基础。二、课程目标课程目标1：阐述Web安全形势和Web安全前沿技术；分析web系统基础语言；解释Web安全基本理论；解释常见Web安全攻防原理及方法；辨析Web系统中存在的各种安全威胁，及针对这些威胁选择合适的安全机制和方法。（支撑毕业要求1）课程目标2：辨析Web安全攻防案例中的问题，并熟练运用常见Web安全攻防技术和工具解决相关问题；实现常见Web靶场的搭建，挖掘靶场漏洞并设计修复漏洞的策略。（支撑毕业要求5）课程目标3：在Web系统开发项目中应用网络安全策略提升网络安全意识，在实践中创新性地发现并解决Web系统安全问题、提升沟通合作意识。（支撑毕业要求11）三、课程目标与毕业要求的对应关系毕业要求毕业要求分解（观测）点支撑度课程目标1.工程知识1.3能够运用计算机领域工程原理和专业知识，针对具体工程问题进行设计及实现特定功能。M课程目标15.使用现代工具5.1能够运用专业常用设备及软硬件开发工具的使用原理和方法针对具体计算机工程问题进行预测，并理解其局限性。H课程目标211.项目管理11.1能够熟悉工程项目管理与决策原理，掌握计算机应用领域的工程项目中涉及的管理与决策方法。M课程目标3四、课程目标与教学内容、方法的对应关系教学内容教学方法课程目标1第一章、第二章、第三章、第四章、第五章、第六章、第七章、第八章讲授法、案例法、练习法课程目标2弟一早、弟二早、弟四早、弟五早、第六章、第七章、第八章、第九章讲授法、案例法、练习法、讨论法课程目标3弟四早、弟五早、弟八早、弟七早、第八章、第九章讲授法、案例法、讨论法五、教学内容、重难点和课时安排第一章Web安全语言基础（支撑课程目标1）教学目标和要求：描述HTML的基本结构及语法规则；阐述CSS的基本语法及选择器的应用；解释JavaScript的使用方法、语法规则及获取操作元素的方法；解析PHP语法规则及使用方法;解析Web系统代码。教学重点：JavaScript的语法规则及使用方法，PHP语法规则及使用方法。教学难点：解析Web系统代码教学学时：总学时6（理论学时4、实验学时2）实验内容：一个简单的Web系统的设计开发。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节HTML一、HTML基本结构二、HTML文档的头部三、HTML文档的主体第二节CSS一、CSS基本语法二、CSS选择器三、CSS样式四、CSS盒子模型五、CSS块元素第三节JavaScript一、JavaScript应用场景二、JavaScript语法规则三、JavaScript元素第四节PHP一、PHP简介二、PHP语法规则第二章HTTP基础（支撑课程目标1、2）教学目标和要求：描述WWW概念及网站模型；解析HTTP协议；辨析HTTP协议与HTTPS协议的区别。教学重点：HTTP协议解析。教学难点：HTTP协议与HTTPS协议的区别教学学时：总学时4（理论学时2、实验学时2）实验内容：HTTP协议解析。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节WWW简介一、WWW的概念二、简单的网站模型第二节HTTP协议解析HTTP协议第三节HTTP协议与HTTPS协议的区别HTTP协议与HTTPS协议的区别。第三章Web安全基础（支撑课程目标1、2）教学目标和要求：阐述当前网络安全现状及相关问题；解析网络安全从业者的职能职责；描述网络安全法律法规；描述CTF；解析常见Web安全漏洞；实现常见Web靶场的搭建。教学重点：常见Web安全漏洞。教学难点：Web靶场的搭建。教学学时：理论学时4教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、案例分析法教学内容：第一节网络安全现状一、网络安全问题二、网络安全相关术语三、CTF比赛中的Web安全第二节常见Web安全漏洞一、常见Web安全漏洞二、网络安全相关法律法规三、常见Web靶场搭建第四章信息收集（支撑课程目标1、2、3）教学目标和要求：描述信息收集的分类及内容；正确使用NmaP工具；完成BUrPSUite工具的安装、配置及简单使用；明确BUrPSUite工具主要组件及功能。使用合适工具完成信息收集。教学重点：信息收集的内容；NnIaP工具使用；BurpSUite工具主要组件及功能。教学难点：使用工具完成信息收集教学学时：总学时6（理论学时4、实践学时2）实验内容：NnIaP工具的使用；BurpSUite工具的安装、配置及简单使用。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节信息收集概述一、信息收集的概念、分类及内容第二节Nmap工具一、Nmap的安装、扫描方式及扫描结果分析第三节BurpSuite工具一、BurpSUite工具的安装及代理配置二、BurpSUite工具的简单使用第五章SQL注入攻击及防护（支撑课程目标1、2、3）教学目标和要求：解释SQL注入的原理及判断；阐述SQL注入的危害；辨别SQL注入的分类；实施MySQL注入；解释其他数据库注入；熟练使用自动化SQL注入工具；比较不同注入形式执行SQL注入绕过方法。教学重点：SQL注入的分类；MySQL注入；自动化SQL注入工具；SQL注入绕过方法。教学难点：SQL注入及绕过。教学学时：总学时8（理论学时4、实验学时4）实验内容：DVWA靶场中SQL注入及绕过。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节SQL注入简介一、SQL注入原理二、SQL注入的判断三、SQL注入危害第二节SQL注入的分类一、按数据类型分类二、按返回结果分类三、其他类型第三节MySQL注入一、注入函数二、注释三、information_schema数据库四、UniOn联合查询五、报错注入六、bool注入七、SIeeP注入第四节其他数据库注入一、SQLServer注入二、Oracle注入三、Access注入第五节自动化SQL注入工具一SQLMapSQLMap工具的简介及使用第六节SQL注入绕过各种SQL注入方法第六章XSS攻击及防护（支撑课程目标1、2、3）教学目标和要求：解释XSS攻击的原理；辨析XSS攻击的分类；实现XSS漏洞的检测及XSS攻击的防护与绕过。教学重点：XSS攻击的原理；XSS攻击的分类；XSS攻击的防护与绕过。教学难点：XSS攻击的防护与绕过教学学时：总学时6（理论学时4、实验学时2）实验内容：XSS攻击与防护。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节XSS攻击介绍XSS攻击的概念及理解第二节XSS攻击的原理XSS攻击的原理第三节XSS攻击的分类一、反射型XSS攻击二、存储型XSS攻击三、DOM型XSS攻击第四节XSS漏洞的检测一、XSS攻击的条件二、XSS漏洞检测步骤。第五节XSS攻击的防护及绕过一、script标签过滤二、正则匹配过滤script标签过滤三、设置白名单四、使用实体化编码第七章用户名及口令猜解（支撑课程目标1、2、3）教学目标和要求：描述常见用户名和弱口令；阐述口令安全防护；比较口令防猜解常用措施并实现。教学重点：弱口令安全防护。教学难点：弱口令爆破教学学时：总学时4（理论学时2、实验学时2）实验内容：口令暴力破解及防护。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节弱口令概述一、常见用户名和弱口令第二节口令安全防护一、口令字典二、弱口令猜解第三节口令猜解常用措施一、口令猜解常用措施及实现。第八章文件上传攻击（支撑课程目标1、2、3）教学目标和要求：阐述文件上传攻击相关概念；辨析文件上传攻击的原理及条件；实现文件上传攻击的检测及绕过；实现Web系统中漏洞的解析。教学重点：文件上传攻击的原理及条件；文件上传攻击的检测及绕过。教学难点：文件上传攻击的检测及绕过教学学时：总学时8（理论学时6、实验学时2）实验内容：文件上传攻击及防护。教与学的方式方法：教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容：第一节文件上传攻击简介一、文件上传攻击相关介绍第二节文件上传攻击的原理及条件二、文件上传攻击的原理及条件第三节文件上传攻击的检测及绕过一、客户端检测二、服务器端检测三、文件内容检测及绕过第四节解析漏洞一、HS解析漏洞二、APaChe解析漏洞第九章Web安全技术应用（支撑课程目标2、3）教学目标和要求：阐述相关Web安全漏洞及攻击的基本理论、应用场景及原理；熟悉使用相关Web安全漏洞防护方法；根据Web系统应用场景，发现Web安全漏洞，提出防护策略，并进行阐述与总结。教学重点：Web安全漏洞及攻击的基本理论、应用场景及原理；Web安全漏洞防护方法。教学难点：发现Web安全漏洞并提出防护策略教学学时：理论学时2教与学的方式方法：教师课堂讲授法、学生分组答辩法教学内容：一、问题阐述二、根据场景提出漏洞挖掘方法三、提出安全防护策略六、课程教学方法本课程是以理论知识为支撑的注重实践技能的课程，主要采用课堂讲授、项目实训的教学方式，并充分采取师生互动、学生平台自主学习、小组合作、实验练习等多种方式促进学生积极思考、主动参与、深入学习、探索应用。1 .课堂讲授法讲授法主要用于重点难点问题的学习。在运用讲授法时，更注重发挥教师引导者的作用，启发、引导学生进行深入思考，充分发挥线下讲授法的效能。2 .师生互动教学法教师在课上深入学生，根据教学目标和学生的课堂反映及时进行多种形式的线上线下教学互动；课下利用自建课程学习群和课程平台及时沟通答疑、反馈指导，体现学生中心和学为中心。3 .学生合作研讨法通过目标明确的讨论专题，组织小组交流，提高项目实训成效，提升