職業(yè)技術學校《Web安全與滲透測試》課程標準

《Web安全與滲透測試》課程標準課程代碼[541403]課程類別[專業(yè)核心課]學分[5.0]學時[80]開課部門[信息工程系]適用專業(yè)[信息安全技術應用]制定人[XXX]制定日期[202X年6月]審核人[XXX]審核日期[202X年6月]一、課程性質(zhì)與任務本課程是信息安全技術應用的專業(yè)核心課程，是依據(jù)信息安全技術應用專業(yè)人才培養(yǎng)目標和相關職業(yè)崗位（群）的能力要求而設置的，對本專業(yè)抽面向的信息安全崗位（群）所需要的知識、技能和素質(zhì)目標的達成起支撐作用。在課程設置上，前導課程有《Web前端開發(fā)》、《數(shù)據(jù)庫應用》、《網(wǎng)絡系統(tǒng)建設與運維》、《PHP+MySQL動態(tài)網(wǎng)站開發(fā)》。二、課程目標本課程實操性極強，通過本課程的教學，使學生掌握常用Web滲透測試原理和工具的使用，掌握基本的滲透測試技巧，能夠查找漏洞并修補漏洞。1.知識目標信息收集方法，漏洞環(huán)境搭建，SQLMap、BurpSuite、Nmap工具的使用，SQL注入、XSS原理，文件上傳漏洞，暴力破解、命令執(zhí)行漏洞等。2.技能目標通過對本課程的學習，使學生掌握信息收集方法，能夠搭建漏洞環(huán)境，能夠利用SQLMap、BurpSuite、Nmap等進行信息查找，能夠完成SQL注入、XSS攻擊，能夠進行暴力破解和利用命令執(zhí)行漏洞進行攻擊，能夠利用Metasploit技術實現(xiàn)滲透測試等。3.素質(zhì)目標通過對課程理論的解析和實操練習，培養(yǎng)學生的問題分析能力、技術/工具應用能力，積累項目實戰(zhàn)經(jīng)驗，樹立法律底線意識，培養(yǎng)良好的職業(yè)道德，通過分組完成項目任務，培養(yǎng)學生的團隊協(xié)作精神，鍛煉學生溝通交流、自我學習的能力。三、課程設計（一）課程設計思路針對高職學生的認知特點，與行業(yè)企業(yè)專家合作進行課程項目設計與開發(fā)，形成從簡單到復雜的系統(tǒng)化教學項目，突出學生的教學主體作用，重視職業(yè)能力的培養(yǎng)，充分體現(xiàn)課程教學的職業(yè)性、實踐性和開放性，為學生今后的就業(yè)打下良好的基礎。該課程打破以知識傳授為主要特征的傳統(tǒng)學科課程模式，轉變?yōu)橐怨ぷ魅蝿諡橹行慕M織課程內(nèi)容，并讓學生在完成具體項目的過程中學會完成相應工作任務，并構建相關理論知識，發(fā)展職業(yè)能力。課程內(nèi)容突出對學生職業(yè)能力的訓練，理論知識的選取緊緊圍繞工作任務完成的需要來進行，同時又充分考慮了高等職業(yè)教育對理論知識學習的需要，并融合了相關職業(yè)資格證書對知識、技能和態(tài)度的要求。教學過程中，采取工學結合、項目化教學等形式，充分開發(fā)學習資源，給學生提供豐富的實踐機會。教學效果評價采取過程性評價與結果性評價相結合，理論與實踐相結合，理論考試重點考核與實踐能力緊密相關的知識，重點評價學生的職業(yè)能力。（二）課程內(nèi)容與教學要求1.課時分配表項目（或模塊）名稱序號任務內(nèi)容學時分配備注項目1：滲透測試準備1信息收集62搭建漏洞環(huán)境63常用的滲透測試工具6項目2：Web安全原理剖析4漏洞利用85代碼攻擊12項目3：Metasploit技術應用6Metasploit滲透攻擊127后滲透攻擊6項目4：PowerShell攻擊8PowerSploit工具使用69Empire工具使用69Nishang工具使用6機動、復習、答疑106總學時962.任務設計項目（或模塊）滲透測試準備任務1信息收集學時理論實踐一體化6學習目標課程目標：知識目標常識性知識：域名、域名備案、端口信息、社會工程學。能力目標掌握基本的網(wǎng)站信息收集能力。素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘瘛＝虒W內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1域名備案法律意識講授法+演示法2域名愛國主義講授法+演示法3社會工程學人文精神講授法+演示法項目（或模塊）滲透測試準備任務2搭建漏洞環(huán)境學時理論實踐一體化6學習目標課程目標：知識目標LANMP、WAMP。能力目標能夠搭建LANMP和WAMP平臺，能夠搭建DVWA漏洞環(huán)境平臺，能夠搭建SQL注入和XSS測試平臺。素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘瘛＝虒W內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1LANMP/WAMP學習遷移講授法+演示法2DVWA平臺工匠精神講授法+演示法3SQL注入平臺科學素養(yǎng)演示法項目（或模塊）滲透測試準備任務3常用的滲透測試工具學時理論實踐一體化6學習目標課程目標：知識目標SQLMap、BurpSuite、Nmap。能力目標掌握SQLMap參數(shù)作用，能夠完成SQLMap、BurpSuite、Nmap及相似工具的安裝與配置。素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘?。教學內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1SQLMap學習遷移講授法+演示法2BurpSuite抓主要矛盾講授法+演示法3Nmap/Zmap工匠精神講授法+演示法項目（或模塊）Web安全原理剖析任務4漏洞利用學時理論實踐一體化8學習目標課程目標：1.知識目標SQL注入，XSS，漏洞文件上傳，邏輯漏洞挖掘，CSRF漏洞，SSRF漏洞。2.能力目標能夠完成SQL注入攻擊，能夠利用XSS漏洞、CSRF漏洞、SSRF漏洞進行攻擊。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘瘛＝虒W內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1邏輯漏洞挖掘安全意識演示法+實踐2SQL注入科學素養(yǎng)演示法+實踐3漏洞文件上傳工匠精神演示法+實踐項目（或模塊）Web安全原理剖析任務5代碼攻擊學時理論實踐一體化12學習目標課程目標：1.知識目標SQL注入、暴力破解、命令執(zhí)行。2.能力目標能夠進行SQL注入攻擊、XSS漏洞代碼攻擊、暴力破解攻擊及遠程執(zhí)行命令。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘?。教學內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1遠程執(zhí)行命令科學素養(yǎng)演示法+實踐2暴力破解學習遷移演示法+實踐3XSS漏洞代碼安全意識演示法+實踐項目（或模塊）Metasploit技術應用任務6Metasploit滲透攻擊學時理論實踐一體化12學習目標課程目標：1.知識目標主機掃描、漏洞掃描、進程管理。2.能力目標能夠利用漏洞掃描工具進行目標主機的發(fā)現(xiàn)和漏洞利用。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘?。教學內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1漏洞掃描工匠精神演示法+實踐2進程管理學習遷移演示法+實踐3主機發(fā)現(xiàn)科學素養(yǎng)演示法+實踐項目（或模塊）Metasploit技術應用任務7Metasploit后滲透攻擊學時理論實踐一體化6學習目標課程目標：1.知識目標提權、移植漏洞利用代碼、后門。2.能力目標能夠在滲透成功后利用Metasploit進行進一步滲透測試：提權、移植漏洞利用代碼、放置后門。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘瘛＝虒W內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1提權學習遷移演示法+實踐2移植漏洞利用代碼科學素養(yǎng)演示法+實踐3后門工匠精神演示法+實踐項目（或模塊）PowerShell攻擊任務8PowerSploit工具使用學時理論實踐一體化6學習目標課程目標：1.知識目標PowerShell、PowerSploit、PowerUp。2.能力目標能夠安裝PowerSploit并利用其模塊進行滲透測試。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘瘛＝虒W內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1PowerSploit學習遷移演示法+實踐2PowerShell科學素養(yǎng)演示法+實踐3PowerUp工匠精神演示法+實踐項目（或模塊）PowerShell攻擊任務9Empire工具使用學時理論實踐一體化6學習目標課程目標：1.知識目標Empire工具。2.能力目標能夠安裝Empire并利用其模塊進行滲透測試（監(jiān)聽、放置木馬、權限提升等）。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘瘛＝虒W內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1Empire設置監(jiān)聽學習遷移演示法+實踐2Empire生成木馬科學素養(yǎng)演示法+實踐3Empire橫向滲透工匠精神演示法+實踐項目（或模塊）PowerShell攻擊任務10Nishang工具使用學時理論實踐一體化6學習目標課程目標：1.知識目標Nishang工具，WebShell后門。2.能力目標能夠安裝Nishang并利用其進行滲透測試（后門）。3.素質(zhì)目標培養(yǎng)動手實踐能力。課程德育目標：揭示事物發(fā)展規(guī)律，樹立正確的人生觀、世界觀和價值觀，培養(yǎng)學生愛國主義情懷、良好的科學素養(yǎng)和嚴謹?shù)墓そ尘?。教學內(nèi)容選擇與安排：（挖掘和提煉專業(yè)課程蘊含的思政元素，如愛國情懷、創(chuàng)新意識、科學素養(yǎng)、人文精神、工匠精神等3個以上，找準思政元素融入點，描述課程教學中能將思想政治教育內(nèi)容與專業(yè)知識技能教育內(nèi)容有機融合的領域）序號授課內(nèi)容思政元素與融入點授課形式與教學方法備注1Nishang模塊工匠精神演示法+實踐2隱藏通信遂道科學素養(yǎng)演示法+實踐3WebShell后門學習遷移演示法+實踐四、課程實施（一）教學方法建議教學過程中，始終堅持理論與實際相結合、知識傳授與行為養(yǎng)成相結合、面向全體與個別指導相結合、課程教學與日常管理相結合的原則。教師應根據(jù)學生的認知水平、前期課程的基礎以及計算機硬件基礎的掌握情況，結合專業(yè)特點，使用啟發(fā)式、直觀式、討論式及案例教學等教學方法，授課過程中充分利用圖片,實物以及借助網(wǎng)絡,盡可能的調(diào)動學生主動學習的積極性，提高課堂教學實效。（二）師資條件要求任職教師對Web安全有著深入了解，建議校內(nèi)專任教師具備2年以上滲透測試經(jīng)驗或帶隊參加CTF競賽經(jīng)驗并具備相關企業(yè)資格認證，校外兼職教師就具備5年以上滲透測試經(jīng)驗，在授課過程中結合個人工作經(jīng)歷和相關項目經(jīng)驗，重點培養(yǎng)學生持續(xù)學習、獨立解決問題、職業(yè)道德和責任心、合作意識、交流和溝通的職業(yè)能力。（三）教學條件基本要求一體化實驗室、DVWA、SQLMap、Metasploit、多瀏覽器平臺等（四）教學資源基本要求1、教材的選