《滲透測試技術(shù)》課程標準

課程標準此處插入副標題或文檔說明《滲透測試技術(shù)課程標準此處插入副標題或文檔說明《滲透測試技術(shù)》前言課程基本信息課程名稱：滲透測試技術(shù)課程類別：專業(yè)核心課建議學時：64建議學分：4適用專業(yè)：網(wǎng)絡(luò)空間安全、信息安全授課單位：編寫執(zhí)筆人：電話：二級學院院長簽名：專業(yè)管理委員會：學院方：企業(yè)方：課程性質(zhì)本課程是網(wǎng)絡(luò)空間安全、信息安全專業(yè)的核心課程。設(shè)計思路以理論與實踐相結(jié)合的基本理念為指導,由淺入深介紹滲透測試的基本理論、滲透測試基礎(chǔ)知識和滲透測試方法及實踐。通過《滲透測試技術(shù)》課程，學習滲透測試流程中各階段的常用工具及方法，以及Web應(yīng)用系統(tǒng)滲透、網(wǎng)絡(luò)服務(wù)與客戶端滲透的常見漏洞和攻擊手段。課程采用理論講授、上機實踐、綜合拓展案例進行結(jié)合教學。1.本課程按照實踐為主的課程體系的總體設(shè)計要求，著重體現(xiàn)理論和實踐相結(jié)合的特點，結(jié)合實訓平臺進行實操訓練，主要針對滲透測試工程師、安全服務(wù)工程師等相關(guān)崗位所需的滲透測試基礎(chǔ)知識、常用工具、常見漏洞原理及防御方法、常見應(yīng)用系統(tǒng)滲透方法等技能。2.本課程遵循能力核心、系統(tǒng)培養(yǎng)，以滲透測試流程貫穿，講解各階段所用到的工具、滲透技術(shù)等。3.在教學過程中，了解學生的基礎(chǔ)和情況，結(jié)合其實際水平和能力，認真指導。4.結(jié)合本專業(yè)注重實踐的特點，讓學生能夠在實驗實操過程中，熟練掌握滲透測試工具的使用、滲透技術(shù)和思路。5.結(jié)合最新的漏洞、滲透測試技術(shù)及方法、攻防手段等，加強學生技能的掌握。6.通過學習滲透測試技術(shù)，理解常見漏洞的原理、攻擊及防御方法，能夠在今后的工作中承擔滲透測試、安全防護工作。課程目標根據(jù)市場中對網(wǎng)絡(luò)安全應(yīng)用型技能型人才的需求，培養(yǎng)具有扎實的網(wǎng)絡(luò)攻防知識和滲透測試技能，具有扎實的專業(yè)理論知識和實際操作技能,能從事安全服務(wù)、滲透測試、攻防對抗的高素質(zhì)技能型人才。知識目標理解滲透測試的概念、分類。理解滲透測試的流程。理解漏洞的生命周期。理解漏洞的分類。理解漏洞的危險等級劃分方法。理解漏洞披露方式。理解信息收集的方式和流程。理解漏洞掃描原理和關(guān)鍵技術(shù)。理解常見Web漏洞的攻擊原理、攻擊方法和防御方法。理解后滲透測試的概念、規(guī)則和流程。技能目標掌握KaliLinux系統(tǒng)的安裝、配置。掌握Metasploit、BurpSuite等常用滲透工具的使用方法。掌握Nmap、Recon-NG、Maltego等信息收集工具的使用方法。掌握被動信息收集方法。掌握主動信息收集工具和方法。掌握網(wǎng)絡(luò)漏洞掃描工具的使用方法。掌握Web應(yīng)用漏洞掃描工具的使用方法。掌握SQL注入、XSS、CSRF、文件上傳、命令注入等常見Web漏洞的攻擊方法。掌握Meterpreter的使用方法。掌握網(wǎng)絡(luò)服務(wù)漏洞和客戶端漏洞的利用方法。素質(zhì)目標本課程培養(yǎng)數(shù)字化建設(shè)急需的，德、智、體、美、勞全面發(fā)展，適應(yīng)互聯(lián)網(wǎng)時代發(fā)展需要，掌握滲透測試理論知識及實踐技能，社會責任感強、專業(yè)競爭力強和人格魅力強的高素質(zhì)專業(yè)技術(shù)人才。課程教學中培養(yǎng)學生勇于創(chuàng)新、努力進取的品質(zhì)及獨立思考的學習習慣。課程內(nèi)容標準學習內(nèi)容學習目標參考學時滲透測試基礎(chǔ)知識1.理解滲透測試定義。

2.理解滲透測試分類。3.理解滲透測試流程。4.理解漏洞的生命周期。5.理解漏洞的危險等級劃分方法。6.了解漏洞的分類。7.了解漏洞的披露方式。2KaliLinux1.了解KaliLinux的安裝和配置步驟。

2.了解Metasploit框架的常用模塊。

3.了解BurpSuite框架的基本配置和常用模塊。3信息收集1.了解信息收集方式。

2.了解信息收集流程。

3.掌握Nmap、Recon-NG、Maltego的配置和使用方法。4.掌握被動信息收集方法，包括Whois信息查詢、子域名查詢、nslookup和dig解析IP、netcraft查詢、GoogleHacking和FOFA查詢。5.掌握主動信息收集方法及使用的工具，包括活躍主機掃描、操作系統(tǒng)指紋識別、端口掃描、服務(wù)指紋識別、web敏感目錄掃描。9漏洞掃描1.了解漏洞掃描原理。2.了解漏洞掃描關(guān)鍵技術(shù)。3.掌握Nmap、OpenVAS、Nessus網(wǎng)絡(luò)漏洞掃描工具的使用方法。4.掌握BurpSuite、W3AF、AWVS和AppScan掃描Web應(yīng)用系統(tǒng)的方法。6Web應(yīng)用滲透1.了解Web應(yīng)用滲透定義。2.了解常見Web應(yīng)用漏洞。3.了解SQL注入、XSS、CSRF、文件上傳、命令注入等常見漏洞攻擊原理、攻擊方法和防御方法。22后滲透測試1.了解后滲透測試的概念、規(guī)則和流程。2.掌握后滲透測試常用工具和方法。6網(wǎng)絡(luò)服務(wù)滲透與客戶端滲透1.掌握網(wǎng)絡(luò)服務(wù)滲透常用漏洞的利用方法。2.掌握客戶端滲透常用漏洞的利用方法。8滲透測試綜合實踐1.掌握并應(yīng)用滲透測試的流程。

2.了解滲透測試的思路。

3.掌握滲透測試常用工具和方法。8實施建議教學建議1.理論與實踐相結(jié)合，以實踐為主，重點培養(yǎng)學生實踐能力。加強課前、課后的輔導答疑，使學生掌握滲透測試流程、常用工具、技術(shù)和方法。2.可通過校企合作等形式，發(fā)揮企業(yè)講師熟悉針對各種應(yīng)用系統(tǒng)滲透測試技術(shù)、攻防技術(shù)的優(yōu)勢，采用案例式教學、分組討論等形式，調(diào)動學生的學習積極性，確保學生能掌握相關(guān)技術(shù)。3.可通過組織以小組、班級為單位的網(wǎng)絡(luò)安全競賽等多種方式“以賽代練”，激發(fā)學生的學習熱情，引導學生進行更深入的學習。教材建議建議使用教材:《滲透測試技術(shù)》啟明星辰知白學院（孫濤萬海軍陳棟）編著機械工業(yè)出版社。教學評價采用平時考核與課終考核相結(jié)合的方式進行評定，各占60%和40%?？傇u成績=平時成績20%+課堂實踐成績40%+期末考試成績40%1．平時成績占總評成績的20％?？己藢W習全過程，著重考核學生平