职业技术学校《Web安全与渗透测试》课程标准.docx

«Web安全与渗透测试课程标准课程代码541403学分5,0开课部门信息工程系课程类别专业核心课学时80制定人XXX审核人XXX适用专业信息安全技术应用制定日期202X年6月审核日期202X年6月一、课程性质与任务本课程是信息安全技术应用的专业核心课程，是依据信息安全技术应用专业人才培养目标和相关职业岗位（群）的能力要求而设置的，对本专业抽面向的信息安全岗位（群）所需要的知识、技能和素质目标的达成起支撑作用。在课程设置上，前导课程有Web前端开发、数据库应用、网络系统建设与运维、PHP+MySQ1.动态网站开发。二、课程目标本课程实操性极强，通过本课程的教学，使学生掌握常用Web渗透测试原理和工具的使用，掌握基本的渗透测试技巧，能够查找漏洞并修补漏洞。1 .知识目标.信息收集方法，漏洞环境搭建,SQ1.MapXBurpSuite,NmapX具的使用，SQ1.注入、XSS原理，文件上传漏洞，暴力破解、命令执行漏洞等。2 .技能目标.通过对本课程的学习，使学生掌握信息收集方法，能够搭建漏洞环境，能够利用SQ1.Map,BurpSuite、Nmap等进行信息查找，能够完成SQ1.注入、XSS攻击，能够进行暴力破解和利用命令执行漏洞进行攻击，能够利用Metasp1.oit技术实现渗透测试等。3 .素质目标通过对课程理论的解析和实操练习，培养学生的问题分析能力、技术/工具应用能力，积累项目实战经验，树立法律底线意识，培养良好的职业道德，通过分组完成项目任务，培养学生的团队协作精神,锻炼学生沟通交流、自我学习的能力。三、课程设计（一）课程设计思路针对高职学生的认知特点，与行业企业专家合作进行课程项目设计与开发，形成从简单到复杂的系统化教学项目，突出学生的教学主体作用，重视职业能力的培养，充分体现课程教学的职业性、实践性和开放性，为学生今后的就业打下良好的基础。该课程打破以知识传授为主要特征的传统学科课程模式，转变为以工作任务为中心组织深程内容，并让学生在完成具体项目的过程中学会完成相应工作任务,并构定相关理论知识，发展职业能力。课程内容突出对学生职业能力的训练，理论知识的选取紧紧围绕工作任务完成的需要来进行，同时又充分考虑了高等职业教育对理论知识学习的需要，并融合了相关职业资格证书对知识、技能和态度的要求。教学过程中，采取工学结合、项目化教学等形式，充分开发学习资源，给学生提供丰富的实践机会。教学效果评价采取过程性评价与结果性评价相结合，理论与实践相结合，理论考试重点考核与实践能力紧密相关的知识，重点评价学生的职业能力。（二）课程内容与教学要求1.课时分配表项目（或模块）名称序号任务内容学时分配备注Aiin1：渗透测试准备1信息收集62搭建漏洞环境63常用的渗透测试工具6项目2：Heb安全原理剖析4漏洞利用85代码攻击12项目3：NeIaSPIOi1.技术应用6Metasp1.oit渗透攻击127后逐透攻击6项目4：POWerSheU攻击8PowerSp1.oit工具使用69Empire工具使用69Nishang工具使用6机动、”习、答疑106总学时962.任务设计项目（或模块）渗透测试H1.ffr任务I信息收集学时理论实践一体化6学习目标课程目标:1 .知识目标常识性知识：域名、域名备案、渊口信息、社会工程学.2 .能力目标掌握眶本的网站信息收蛆能力.3 .素质目标培养动手实践能力.课程在育目标:揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱因主义情怀、良好的科学本养和严通的工匠精神I,教学内容选界与安排：（挖掘和提域专业课程含的思政元索，如爱国情怀、创新意但、科学素养、人文精神、工匠精神等3个以上，找准思政元素R1.入点，描述课程被学中能将思想政治做育内容与专业知识技能教育内容有机合的覆旗）序号授课内容思政元素与看入点法一意识授课形式与教学方法讲授法-演示法备注1域名法案2域名爱国主义讲授法演示法I3社会1.程:学人文精神讲授法+演示法项目（或模块）诲，透测式准否任务2搭建涵洞环境学时理论实践一体化6课程目标：1 .知识目标1.ANMP、WAMP.2 .能力目标能够搭建1.RNMP和WAMP平台，能助搭建Dv1.A海洞环境平台，住筋搭建SQ1.注入和XSS测试平台。3 .素质目标培养动手实践能力.课程他闫目标:揭示物发展规律，树立正确的人生观、世界观和价俏观，培养学生爱国主义情怀、良好的科学素养和再谨的工近精神.教学内容选界与安排：（挖掘和提燥专业课程含的思政元索，如爱国情怀、倒新，织、科学素养、人文精神、工匠精神等3个以上，找准思政元素I1.入点，描述课程敕学中能将思IB政治较Ir内容与专业知识技能教育内容有机融合的IK城）序号授修内容思政元素与ik入点授课形式与教学方法备注11.ANMP/IAMP学习迁移讲授法+演示法2DVWA平台工匠精神讲授法+演示法3SQ1.注入平台科学素养演示法项目（或模块）“透祗试准备任务3常用的海透测试工具学时理论实践二体化6学习日标课程F1.标；1 .知识目标SQ1.Map.BurpSuite、Nnuip“2 .能力目标掌握SQ1.YaP参数作用，能够完成W1.Map、BUrPSUite、WaP及相似工具的安装与配置.3 .素质目标培养动手实践能力.课程错育目标：揭示事物发展规律,树立正确的人生观、世界观和价位观,培养学生爱国主义情怀、良好的科学素养和严谓的工匠精神，教学内容逸算与安排I（挖掘和提煤专业课松K含的思政元索，如爱国情怀、创薪意识、科学索养、人文精神、工匠精神等3个以上，找准思政元索入点，抵述课程教学中能将思想政治教育内容与专业知火技能教育内容有机合的域）序号授谭内容明政元索与Ik入点投售彩式与教学方法备注1SQ1.Map学习迁移讲授法+演示法2BurpSuite抓主要矛盾讲授法+演示法3NmapZ三ap工匠前神讲授法+演示法项目（或模块）Web安全监理E'JWr任务4漏洞利用学时理论实践一体化8学习目标课程目标：1 .知识目标SQ1.注入，XSS,漏洞文件上传，选辑漏洞挖掘，CSRF漏洞，SSRF漏洞。2 .能力目标能够完成Sq1.注入攻击，能够利用XsS漏洞、CSRF踊洞、SSRFM洞进行攻击.3 .素旗目标培养动手实践能力.课程的育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观,培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神.教学内容选算与安排I（挖掘和提煤专业课段K含的总政元累，如爱国情怀、创新意识、科学素养、人文精笄、工匠精神答3个以上，找准总政元素入点，描述课程教学中能将思想政治校育内容与专业知织技能教育内容有机融合的IJWD序号1授修内容逻辑漏涧粒掘思政元素与ItA点安全意识授课形式与教学科演示法+实践备注2SQ1.注入科学素养演示法实践漏洞文件.上传匠精神演示法+实践项目（或模块）Web安全原理驰析任务5代码攻击学时理论实践一体化12学习目标课程目标：1 .知识目标SQ1.注入、暴力破解、命令执行。2 .能力目标能终进行SQ1.注入攻击、XSS漏洞代码攻击、暴力破解攻击及远程执行命令.3 .素质目标培养动手实践能力，课程错育目标：揭示事物发展规律,树立正确的人生观、世界观和价值观，培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神.教学内容选界与安排，（挖掘和提煤专业课检K含的思政元素，如爱国情怀、创新意识、科学索养、人文精林、工匠常神等3个以上，找准愚政元索Q点，抵述课程教学中的带思想政治教育内容与专业知识技能教育内的T机合的W域）序号授等内容总政元素与点授课形式与教学方法备注1远程执行命令科学家养演示法+实践2暴力做解学习迁移演示法，实践I；XSS漏洞代码安全意识演避+实践项目（或模块）Metasp1.oit技，M用任务6Metasp1.oit涂透攻击学时理论实践一体化12学习目标课程目标：1 .知识目标主机扫描、漏洞扫描、进程管理，2 .能力目标能第利用漏洞扫描工具进行目标主机的发现和漏洞利用。3 .素质目标培养动手实践能力.课程迩自用标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱国主义情杯、良好的科学洪界和严通的工匠精神教学内容选界与安樗：（挖掘和期专业课程，含的超政元素，如爱国情怀、创新意织、科学素养、人文精神、工匠精神等3个以上，找准思政元索*入点.描述课程教学中能将思想政治教育内容与专业知识技能教育内容有机愚合的领域）序号1授课内容漏洞扫描思政元素与Ii入点工匠神投等形式与教学方法，Ck备注2进程管理学习迁移演示法实践3主机发现科学素养演示法，实践项目（或模块）Metasp1.oit技；K应用任务7Metasp1.oit后渗透攻击学时理论实践一体化6学习目标课程目标；1 .知识目标提权、移植漏洞利用代码、后门.2 .能力目标能够在法透成功后利用MetaSP1.oit进行进一步法透测试：提权、移位踊洞利用代码、放置后门.3 .素质目标培养动手实践能力.课程错苻目标：揭示事物发展规律,树立正确的人生观、世界观和价值观,培养学生爱国主义情怀、良好的科学素养和严谨的工匠精神.教学内容选界与安排I（挖掘和提炼专业课程M含的总政元索，如爱国情怀、创斫好、科学素养、人文精神、工匠精神答3个以上，找准总政元素Ii入点，描述课程教学中能将思想政治校育内容与专业知识技能铁肓内容有机合的域）序号授课内容总政元素与H1.入点授课形式与教学方法备注1提权学习迁移演示法+实践2移植一洞利用代码科学素养演示法+实践3后门工匠精神演示法+实践项目（或模块PowerShe1.1攻击任务8PowerSp1.oit工具使用学时理论实践一体化6学习目标课程目标：1 .知识目标PowerShe1.1PowerSp1.oit%PowerUp.2 .能力目标能够安装PowerSp1.oit并利用其模块进行渗透测试。3 .素质目标培养耳!手实践能外课程物自目标：揭示事物发展规律，树立正确的人生观、世界观和价值观，培养学生爱因主义情怀、良好的科学索养和浮通的工匠精神.教学内容选舞与安捧：（挖掘和提煤专业课程含的国政元索，如受舀情怀、创新意识、科学素养、人文精神、工匠精抻等3个以上，找准思政元素Ik入点，描述课程教学中他将思想政治收肓内容与专业知识技能教育内的T机融合的领址）序号内容森政元素与in入点授课形式与教学方法备注1PowerSp1.oit学习迁移演示法+实践2PowerShe1.1.科学素养演示法+实践3Power1.1.p工匠精神演示法+实践项目（或模块）PowerShe1.1攻击任务9Empire工具使用学时理论实践一体化6学习目标课程目标，1 .知识目标Empire工具。2 .能力目标能够安装E三pire并利用其模块进行渗透测鼠（监听、放置木马、权限提升等）。3 .素质目标培养动手实践能力.课程ifi目标；揭示事物发展规律，树立正谛的人生观、世界观和价值观，培养学生国主义情怀、良好的科学素养和严遂的工匠精神.教学内容选舞与安铮：（挖掘和提煤专业课程含的思政元索，如爱国情怀、创新意识、科学索养、人文精神、工匠精神等3个以上，找海里政元索I1.入点，描述课程帙学中能将思想政治教育内容与专业知识技能教育内容有机融合的领域）序号授课内容思政元素与融入点授课形式与教学方法备注1Empire½H;学习迁移演小法，实践2Kmpire生成木马科学素养演示法+实践3Empire横向滋透工匠精神演小法，夷践项目或模块）PowerShe1.1.攻击任务10Nishang工具使用学时理论实践一体化6学习目标课程目标：1 .知识目标NiShang工具,WebShe1.1.后门.2 .能力目标能够安装NiShang并利用其进行海透测试（后门）.3 .素质目标培养动手实践能力.课程的育目标：揭示事物发展规律，树立正确的人生观、世界观和价值观,培笄学生爱国主义情怀、良好的科学素养和再谋的工匠梢神，敦学内容选界与安排：（挖掘和提燥专业课程含的思政元素，如爱国情怀、创新意识、科学素养、人文精神、工匠用神等3个以上，找准思政元IfIi入点，描述课程假学中能将思IB政治教育内容与专业知识技能敦宣内容有机融合的G城）序号授课内容思政元索与Ik入点授课形式与假学方法备注1ishang模块工匠精神演小法实践2除微通信遂遒科学素养演示法+实践3WcbShe1.1.后门学习迂移演示法+实践四、课程实施（一）教学方法建议教学过程中，始终坚持理论与实际相结合、知识传授与行为养成相结合、面向全体与个别指导相结合、课程教学与日常管理相结合的原则。教师应根据学生的认知水平、前期课程的基础以及计算机硬件基础的掌握情况，结合专业特点，使用启发式、直观式、讨论式及案例教学等教学方法，授课过程中充分利用图片，实物以及借助网络，尽可能的调动学生主动学习的积极性，提高课堂教学实效。（二）师资条件要求任职教师对Web安全有着深入了解，建议校内专任教师具备2年以上渗透测试经验或带队参加CTF竞赛经验并具备相关企业资格认证，校外兼职教师就具备5年以上渗透测试经验，在授课过程中结合个人工作经历和相关项目经验，重点培养学生持续学习、独立解决问题、职业道德和责任心、合作意识、交流和沟通的职业能力。（三）教学条件基本要求一体化实验室、DVWA.SQ1.Map.MetaSPIO化、多浏览器平台等（W）教学资源基本要求1、教材的选用与编写：CWeb安全攻防：渗透测试实战指南（第1版），电子工业出版社，2018年7月，徐武等；2、网络资源建设：51Test3、信息化教学资源建设：多媒体课件4、其它教学资源的开发与利用：教学文件和资料、案例、试题库、实训指导书五、教学评价、考核要求平时成绩占50%,期末考试以期末试卷卷面成绩为准，卷面成绩为百分制，占总评成绩的50缸考评项目考评内容评价标准分值平时成绩学生的考勤，上课提问情况旷课一次减两分，次数达到学校规定，取消考试资格；迟到一次减1分。25分三次大作业根据作业完成程度打分25分期末期末考试根据题目要求及各要求分50分测试值打分，完成该功能得分，否则不得分