1、web安全基础教学大纲课程信息:课程代码200622007课程类别专业选修课课程名称Web安全基础英文名称WebSecurityFoundation适用专业计算机科学与技术建议修读学期2总学分3其中:1实践教学实验学分1实习学分无实训学分无总学时48其中:16实践教学实验学时16实习学时无实训学时4先修课程程序设计基础、计算机网络、数据库原理、Web程序设计后续课程恶意代码分析考核方式平时学习和课堂参与、实验操作及报告、课程答辩、期末考试大纲拟定人大纲审核人一、课程简介web安全基础课程是计算机科学与技术专业网络安全方向的一门专业选修课。课程内容主要涉及国内外Web安全面临的形势,Web安全的
2、基础知识、常见Web安全漏洞、常见Web攻击及防御等,常见的Web安全技术及工具,培养理论知识与实践技能有机融合的能力,增强Web系统开发中的网络安全意识,为进一步学习专业课程和构建稳健的Web系统打下良好基础。二、课程目标课程目标1:阐述Web安全形势和Web安全前沿技术;分析web系统基础语言;解释Web安全基本理论;解释常见Web安全攻防原理及方法;辨析Web系统中存在的各种安全威胁,及针对这些威胁选择合适的安全机制和方法。(支撑毕业要求1)课程目标2:辨析Web安全攻防案例中的问题,并熟练运用常见Web安全攻防技术和工具解决相关问题;实现常见Web靶场的搭建,挖掘靶场漏洞并设计修复漏洞
3、的策略。(支撑毕业要求5)课程目标3:在Web系统开发项目中应用网络安全策略提升网络安全意识,在实践中创新性地发现并解决Web系统安全问题、提升沟通合作意识。(支撑毕业要求11)三、课程目标与毕业要求的对应关系毕业要求毕业要求分解(观测)点支撑度课程目标1.工程知识1.3能够运用计算机领域工程原理和专业知识,针对具体工程问题进行设计及实现特定功能。M课程目标15.使用现代工具5.1能够运用专业常用设备及软硬件开发工具的使用原理和方法针对具体计算机工程问题进行预测,并理解其局限性。H课程目标211.项目管理11.1能够熟悉工程项目管理与决策原理,掌握计算机应用领域的工程项目中涉及的管理与决策方法
4、M课程目标3四、课程目标与教学内容、方法的对应关系教学内容教学方法课程目标1第一章、第二章、第三章、第四章、第五章、第六章、第七章、第八章讲授法、案例法、练习法课程目标2弟一早、弟二早、弟四早、弟五早、第六章、第七章、第八章、第九章讲授法、案例法、练习法、讨论法课程目标3弟四早、弟五早、弟八早、弟七早、第八章、第九章讲授法、案例法、讨论法五、教学内容、重难点和课时安排第一章Web安全语言基础(支撑课程目标1)教学目标和要求:描述HTML的基本结构及语法规则;阐述CSS的基本语法及选择器的应用;解释JavaScript的使用方法、语法规则及获取操作元素的方法;解析PHP语法规则及使用方法;解析
5、Web系统代码。教学重点:JavaScript的语法规则及使用方法,PHP语法规则及使用方法。教学难点:解析Web系统代码教学学时:总学时6(理论学时4、实验学时2)实验内容:一个简单的Web系统的设计开发。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节HTML一、HTML基本结构二、HTML文档的头部三、HTML文档的主体第二节CSS一、CSS基本语法二、CSS选择器三、CSS样式四、CSS盒子模型五、CSS块元素第三节JavaScript一、JavaScript应用场景二、JavaScript语法规则三、JavaScript元素第四节PHP一、P
6、HP简介二、PHP语法规则第二章HTTP基础(支撑课程目标1、2)教学目标和要求:描述WWW概念及网站模型;解析HTTP协议;辨析HTTP协议与HTTPS协议的区别。教学重点:HTTP协议解析。教学难点:HTTP协议与HTTPS协议的区别教学学时:总学时4(理论学时2、实验学时2)实验内容:HTTP协议解析。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节WWW简介一、WWW的概念二、简单的网站模型第二节HTTP协议解析HTTP协议第三节HTTP协议与HTTPS协议的区别HTTP协议与HTTPS协议的区别。第三章Web安全基础(支撑课程目标1、2)教学
7、目标和要求:阐述当前网络安全现状及相关问题;解析网络安全从业者的职能职责;描述网络安全法律法规;描述CTF;解析常见Web安全漏洞;实现常见Web靶场的搭建。教学重点:常见Web安全漏洞。教学难点:Web靶场的搭建。教学学时:理论学时4教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、案例分析法教学内容:第一节网络安全现状一、网络安全问题二、网络安全相关术语三、CTF比赛中的Web安全第二节常见Web安全漏洞一、常见Web安全漏洞二、网络安全相关法律法规三、常见Web靶场搭建第四章信息收集(支撑课程目标1、2、3)教学目标和要求:描述信息收集的分类及内容;正确使用NmaP工具;完
8、成BUrPSUite工具的安装、配置及简单使用;明确BUrPSUite工具主要组件及功能。使用合适工具完成信息收集。教学重点:信息收集的内容;NnIaP工具使用;BurpSUite工具主要组件及功能。教学难点:使用工具完成信息收集教学学时:总学时6(理论学时4、实践学时2)实验内容:NnIaP工具的使用;BurpSUite工具的安装、配置及简单使用。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节信息收集概述一、信息收集的概念、分类及内容第二节Nmap工具一、Nmap的安装、扫描方式及扫描结果分析第三节BurpSuite工具一、BurpSUite工具的
9、安装及代理配置二、BurpSUite工具的简单使用第五章SQL注入攻击及防护(支撑课程目标1、2、3)教学目标和要求:解释SQL注入的原理及判断;阐述SQL注入的危害;辨别SQL注入的分类;实施MySQL注入;解释其他数据库注入;熟练使用自动化SQL注入工具;比较不同注入形式执行SQL注入绕过方法。教学重点:SQL注入的分类;MySQL注入;自动化SQL注入工具;SQL注入绕过方法。教学难点:SQL注入及绕过。教学学时:总学时8(理论学时4、实验学时4)实验内容:DVWA靶场中SQL注入及绕过。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节SQL注入
10、简介一、SQL注入原理二、SQL注入的判断三、SQL注入危害第二节SQL注入的分类一、按数据类型分类二、按返回结果分类三、其他类型第三节MySQL注入一、注入函数二、注释三、information_schema数据库四、UniOn联合查询五、报错注入六、bool注入七、SIeeP注入第四节其他数据库注入一、SQLServer注入二、Oracle注入三、Access注入第五节自动化SQL注入工具一SQLMapSQLMap工具的简介及使用第六节SQL注入绕过各种SQL注入方法第六章XSS攻击及防护(支撑课程目标1、2、3)教学目标和要求:解释XSS攻击的原理;辨析XSS攻击的分类;实现XSS漏洞的
11、检测及XSS攻击的防护与绕过。教学重点:XSS攻击的原理;XSS攻击的分类;XSS攻击的防护与绕过。教学难点:XSS攻击的防护与绕过教学学时:总学时6(理论学时4、实验学时2)实验内容:XSS攻击与防护。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节XSS攻击介绍XSS攻击的概念及理解第二节XSS攻击的原理XSS攻击的原理第三节XSS攻击的分类一、反射型XSS攻击二、存储型XSS攻击三、DOM型XSS攻击第四节XSS漏洞的检测一、XSS攻击的条件二、XSS漏洞检测步骤。第五节XSS攻击的防护及绕过一、script标签过滤二、正则匹配过滤script标
12、签过滤三、设置白名单四、使用实体化编码第七章用户名及口令猜解(支撑课程目标1、2、3)教学目标和要求:描述常见用户名和弱口令;阐述口令安全防护;比较口令防猜解常用措施并实现。教学重点:弱口令安全防护。教学难点:弱口令爆破教学学时:总学时4(理论学时2、实验学时2)实验内容:口令暴力破解及防护。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节弱口令概述一、常见用户名和弱口令第二节口令安全防护一、口令字典二、弱口令猜解第三节口令猜解常用措施一、口令猜解常用措施及实现。第八章文件上传攻击(支撑课程目标1、2、3)教学目标和要求:阐述文件上传攻击相关概念;辨析
13、文件上传攻击的原理及条件;实现文件上传攻击的检测及绕过;实现Web系统中漏洞的解析。教学重点:文件上传攻击的原理及条件;文件上传攻击的检测及绕过。教学难点:文件上传攻击的检测及绕过教学学时:总学时8(理论学时6、实验学时2)实验内容:文件上传攻击及防护。教与学的方式方法:教师课堂讲授法、学生自主学习法、学生小组研讨、实验练习法教学内容:第一节文件上传攻击简介一、文件上传攻击相关介绍第二节文件上传攻击的原理及条件二、文件上传攻击的原理及条件第三节文件上传攻击的检测及绕过一、客户端检测二、服务器端检测三、文件内容检测及绕过第四节解析漏洞一、HS解析漏洞二、APaChe解析漏洞第九章Web安全技术应
14、用(支撑课程目标2、3)教学目标和要求:阐述相关Web安全漏洞及攻击的基本理论、应用场景及原理;熟悉使用相关Web安全漏洞防护方法;根据Web系统应用场景,发现Web安全漏洞,提出防护策略,并进行阐述与总结。教学重点:Web安全漏洞及攻击的基本理论、应用场景及原理;Web安全漏洞防护方法。教学难点:发现Web安全漏洞并提出防护策略教学学时:理论学时2教与学的方式方法:教师课堂讲授法、学生分组答辩法教学内容:一、问题阐述二、根据场景提出漏洞挖掘方法三、提出安全防护策略六、课程教学方法本课程是以理论知识为支撑的注重实践技能的课程,主要采用课堂讲授、项目实训的教学方式,并充分采取师生互动、学生平台自
15、主学习、小组合作、实验练习等多种方式促进学生积极思考、主动参与、深入学习、探索应用。1 .课堂讲授法讲授法主要用于重点难点问题的学习。在运用讲授法时,更注重发挥教师引导者的作用,启发、引导学生进行深入思考,充分发挥线下讲授法的效能。2 .师生互动教学法教师在课上深入学生,根据教学目标和学生的课堂反映及时进行多种形式的线上线下教学互动;课下利用自建课程学习群和课程平台及时沟通答疑、反馈指导,体现学生中心和学为中心。3 .学生合作研讨法通过目标明确的讨论专题,组织小组交流,提高项目实训成效,提升学生综合素质。4 .自主学习法基本知识方面的内容,以组织学生自主学习为主;利用学习平台及实践训练平台推送
16、学习资源,组织学生进行课前预习、课后深入学习和实践技能锻炼。注意自主学习要明确要求,加强指导和监控。5 .实验练习法根据每章的实验要求,学生通过上机进行实验,锻炼学生的知识和理论整合能力及应用能力,教师加强过程指导和方法传授。6 .学生分组答辩法学生自主分组,结合本课程的学习,挖掘本组在Web安全领域的兴趣点及此兴趣点相关的Web安全技术,制作PPT并进行答辩,PPT内容包括基本概念、原理、应用场景、应用方法、存在缺陷及解决对策等。七、实践教学安排本课程有16学时的实验学时,其具体实验学时安排设计如下表所示:教学专题课内实践所占学时一个简单的Web系统的设计开发应用HTML、CSS、JS、PH
17、P,从Web前端到Web后端,设计并开发一个简单完整的Web系统。2学时HTTP协议解析查看HTTP报文并解析其含义2学时Nmap工具的使用;BurpSuite工具的安装、配置及简单使用。Nmap的配置及使用;BurpSUite工具的安装、配置及简单使用。2学时SQL注入及绕过配置DVWA实验平台并正确运行;对平台中SQL注入模块进行攻击实验。4学时XSS攻击与防护对DVWA平台中XSS攻击模块进行攻击实验。2学时口令暴力破解及防护对DVWA平台中暴力破解模块进行攻击实验。2学时文件上传攻击及防护对DVWA平台中文件上传攻击模块进行攻击实验。2学时八、课程教学评价本课程综合运用平时成绩、期末测
18、试等方式进行课程评价。评价方式为过程性评价,其中(1)平时成绩50%,由平时学习和课堂参与、实验操作及报告、课程答辩;(2)期末考试(教师评价)50%,以闭卷方式进行。课程教学目标考核内容评价依据课程目标1:阐述Web安全形势和Web安全前沿技术;分析Web系统基础语言;解释Web安全基本理论;解释常见Web安全攻防原理及方法;辨析Web系统中存在的各种安全威胁,及针对这些威胁选择合适的安全机制和方法。1. Web安全形势;Web安全前沿技术。2. Web安全所需HTML、CSS、JavaScriptPHP语言基础、HTTP相关理论、常见Web安全漏洞。1 .期末考试2 .平时学习和课堂参与课
19、程目标2:辨析Web安全攻防案例中的问题,并熟练运用常见Web安全攻防技术和工具解决相关问题;实现常见Web靶场的搭建,挖掘靶场漏洞并设计修复漏洞的策略。1 .信息收集及工具使用。2 .课程答辩PPT的制作及演讲。3 .Web漏洞攻击及防御的操作实现。1 .实验操作及报告2 .课程答辩3 .期末考试课程目标3:在Web系统开发中应用网络安全策略提升网络安全意识,在实践中创新性地发现并解决Web系统安全问题、提升沟通合作意识。1 .课程答辩PPT的制作及演讲。2 .课下主动学习、课上和平台积极参与互动、锻炼实践能力。3 .实验报告的表述及撰写。1.平时学习与课堂参与2.课程答辩3.实验报告九、课
20、程考核与成绩评定(一)综合计分法评定方式:综合运用平时成绩、期末测试等方式进行课程评价。评价方式为过程性评价(1)平时成绩50%(其中平时学习及课堂参与20%(包括线上学习、课堂表现、章节测试、主题讨论等),实验操作及报告20%,课程答辩10%;在分目标考核中,按实际考核项计算);(2)期末考试50%,以闭卷方式进行。平时成绩50%期末考试50%课程分目标达成评价方法实验操作及报告20%平时学习和课堂参与20%课程答辩10%课程目标140分目标达成度=0.5x(期末考试成绩/分目标总分)+0.5课程目标260课程目标3X(平均成绩/分目标总分)(一)评分方法1 .课堂表现成绩根据上课态度、课堂
21、参与度、回答问题质量、师生和互动等情况给出成绩,按百分制评分。随堂练习、主题讨论按照学时在学习通的互动情况(回答与否、答对与答错分别有加分),系统自动给定分数。2 .实验操作及报告按照整体教学过程中的实验要求,布置8次实验作业,根据作业上交情况、作业完成情况,由任课教师批阅后给出成绩,按百分制或者实际目标分满分评定分数。3 .主题讨论在超星泛雅平台根据课程主题发起主题讨论,根据学生回答是否全面、正确、深入,是否具有反思性成果,给定分数。4 .线上学习在超星泛雅线上学习平台/智慧树完成每学时的任务点,按照完成比例,系统自动赋分。(线上课程任务点)5 .章节测试根据课程教学内容,每章节结束后布置章
22、节测试,超星泛雅课程平台自动判卷、评分。6 .课程答辩学生自主分组,结合本课程的学习,挖掘本组在网络安全领域的兴趣点及此兴趣点相关的网络安全技术,制作PPT并进行答辩。答辩成绩按百分制由任课教师(60%)和学生(40%)共同给出。7 .期末考试闭卷考试,成绩采用百分制,卷面成绩总分100分。主要考核学生对网络安全技术的基本理论、基本知识、基本原理和方法的掌握,学生综合运用所学知识分析问题、解决问题的能力,题型主要有选择题、判断题、填空题、分析题、论述题等。按照期末考试的标准答案或要求,按百分制评分。(三)各考核环节评分标准(见下页)课程目标评分标准(详述过程性考核)90-10080-8970-
23、7960-690-59优良中及格不及格课程目标1:阐述Web安全形势和Web安全前沿技术;分析Web系统基础语言;解释Web安全基本理论;解释常见Web安全攻防原理及方法;辨析Web系统中存在的各种安全威胁,及针对这些威胁选择合适的安全机制和方法。平时学习及课堂参与:根据超星泛雅课程任务点完成、主题讨论、随堂练习、签到数据自动生成。章节测试:超星泛雅课程平台自动判卷、评分。期末考试:见试卷参考答案平时学习及课堂参与:根据超星泛雅课程任务点完成、主题讨论、随堂练习、签到数据自动生成。章节测试:超星泛雅课程平台自动判卷、评分。期末考试:见试卷参考答案平时学习及课堂参与:根据超星泛雅课程任务点完成、
24、主题讨论、随堂练习、签到数据自动生成。章节测试:超星泛雅课程平台自动判卷、评分。期末考试:见试卷参考答案平时学习及课堂参与:根据超星泛雅课程任务点完成、主题讨论、随堂练习、签到数据自动生成。章节测试:超星泛雅课程平台自动判卷、评分。期末考试:见试卷参考答案平时学习及课堂参与:根据超星泛雅课程任务点完成、主题讨论、随堂练习、签到数据自动生成。章节测试:超星泛雅课程平台自动判卷、评分。期末考试:见试卷参考答案课程目标2:辨析Web安全攻防案例中的问题,并熟练运用常见Web安全攻防技术和工具解决相关问题;实现常见Web靶场的搭建,挖掘靶场漏洞并设计修复漏洞的策略。实验操作及报告:能够根据实验要求,提
25、出可行性高的实验对策,应用适当的技术或工具,准确详细的完成实验操作,并撰写详细的实验报告。课程答辩:根据应用场景,详细阐述其中存在的Web安全问题,提出可行性高的解决方案,能实验操作及报告:能够根据实验要求,提出可行性较高的实验对策,应用较适当的技术或工具,准确详细的完成实验操作,并撰写较详细的实验报告。课程答辩:根据应用场景,较详细阐述其中存在的Web安全问题,提出可行性较高的解决方实验操作及报告:能够根据实验要求,提出具有可行性的实验对策,应用较适当的技术或工具,准确的完成实验操作,并撰写实验报告。课程答辩:根据应用场景,阐述其中存在的Web安全问题,提出具有可行性的解决方案,能够实验操作
26、及报告:能够根据实验要求,提出相应的实验对策,应用技术或工具,完成实验操作,并撰写简单的实验报告。课程答辩:根据应用场景,简单描述其中存在的Web安全问题,提出相应的解决方案,实现解决过程。实验操作及报告:能够根据实验要求,不能提出实验对策,不能完成实验操作,撰写的实验报告不完整。课程答辩:根据应用场景,不能描述其中存在的Web安全问题及其解决方案,不能选择合适的技术或工具实现解决过程。够选择合适的技术或工具实现解决过程。期末考试:见试卷评分标准案,能够选择较合适的技术或工具实现解决过程。期末考试:见试卷评分标准采用技术或工具实现解决过程。期末考试:见试卷评分标准期末考试:见试卷评分标准期末考
27、试:见试卷评分标准课程目标3:在Web系统开发中应用网络安全策略提升网络安全意识,在实践中创新性地发现并解决Web系统安全问题、提升沟通合作意识。平时学习及课堂表现:积极主动自主学习,课上积极发言,与师生积极沟通。课程答辩:体现出非常强烈的网络安全意识、创新应用和沟通合作意识。实验操作及报告:在上机实践中,对Web系统开发及使用中的网络安全意识及护网能力体现非常强。平时学习及课堂表现:主动自主学习,课上能够积极发言,与师生积极沟通。课程答辩:体现出很强的网络安全意识、创新应用和沟通合作意识。实验操作及报告:在上机实践中,对Web系统开发及使用中的网络安全意识及护网能力体现强。平时学习及课堂表现
28、能够自主学习,课上能够发言,课下能够与同学沟通。课程答辩:体现出较强的网络安全意识、创新应用和沟通合作意识。实验操作及报告:在理论学习及上机实践中,对web系统开发及使用中的网络安全意识及护网能力体现较强。平时学习及课堂表现:积极主动自主学习,课上偶尔发言,与师生有时沟通。课程答辩:体现网络安全意识、创新应用和沟通合作意识。实验操作及报告:在理论学习及上机实践中,对web系统开发及使用中的网络安全意识及护网能力。平时学习及课堂表现:主动自主学习不足,课上从不发言,课下不与师生沟通。课程答辩:网络安全意识、创新应用和沟通合作意识体现不足。实验操作及报告:在理论学习及上机实践中,对web系统开发
29、及使用中的网络安全意识及护网能力体现不够。十、教学参考书(一)选用教材教材名称编者出版社出版时间是否马工程教材备注Web安全与攻防实战从新手到高手网络安全技术联盟清华大学出版社2023年否(二)主要参考书目与文献资料1冯玲、张国锋、冯斌、段西强、张雷、胡建秋编著:Web安全基础,中国石油大学出版社,2021年。2吴翰清著:白帽子讲Web安全,电子工业出版社,2014年。3张炳帅编著:Web安全深度剖析,电子工业出版社,2015年。4蔡晶晶、张兆心、林天翔编著:Web安全防护指南:基础篇,机械工业出版社,2018年。5MS08067安全实验室著:Web安全攻防:渗透测试实战指南(第2版),电子工
30、业出版社,2023年。6田贵辉著:Web安全漏洞原理及实战,人民邮电出版社,2020年。7闵海钊、李江涛、张敬、刘新鹏编著:Web安全原理分析与实践,清华大学出版社,2019年。(三)其它学习资源1 .专题视频Web安全学习规划指南、Web应用安全基础2 .智慧树中国石油大学(华东)黑客文化与网络安全https:CoUrSehome.ZhihUiShu.Com/courseHome/Ie)Oooo7938resourse3 .中国大学慕课福州大学:网络空间安全概论十一、课程总体学习建议(一)注重自主学习本课程学生有一定基础,但知识零碎,学习起来难度较大,一定紧跟教师建议,养成自主学习的良好习惯
31、一一课前提前自学和预习,课上认真听讲,积极互动和参与,课下积极复习、实践、思考、沟通交流,认真完成每一项作业和测试,并积极利用网络、图书馆自主查阅课程中涉及的学习资源,独立规划自己的课程学习计划,自主设计、自主调节与评价学习过程,培养自主学习、主动学习、研究性学习的习惯。(二)加强小组合作学习无论在学习或是工作中团队协作能力都至关重要,因此课上专题讨论、课程答辩环节均以小组为单位进行,提升学生的交流协作能力,开阔视野,提升学习的绩效。(三)夯实理论知识,关注前沿领域,培养实践应用能力此课程的基本内容、体系、基本理论和实践操作对学生今后学习和工作影响较大,因此建议学生要夯实理论知识,并积极查阅相关资料,关注学科前沿领域,培养实践应用能力,用学科理论知识指导实践技能提升和学科前沿研究。
免费区 
