Web安全與防護(hù) （微課版）06-3 項(xiàng)目六 安全的文件上傳-任務(wù)三教案

XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目六任務(wù)三《文件上傳漏洞分類》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱文件上傳漏洞分類授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解文件上傳漏洞有哪些類型和分類。2、知識(shí)準(zhǔn)備：Linux操作系統(tǒng)的使用和PHP語言基礎(chǔ)。3、任務(wù)實(shí)施：實(shí)現(xiàn)不同類型的簡單文件上傳漏洞。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了如何編寫PHP代碼的基礎(chǔ)知識(shí)，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、了解不同類型文件上傳漏洞的原理和危害。2、構(gòu)建一個(gè)不同類型簡單的文件上傳漏洞。能力目標(biāo)1、能夠理解多種文件上傳漏洞的原理和危害。2、能夠用PHP實(shí)現(xiàn)不同類型簡單的文件上傳漏洞。素質(zhì)目標(biāo)1、養(yǎng)成解決問題時(shí)的逆向思維能力。2、培養(yǎng)一絲不茍的工作態(tài)度。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)不同類型的文件上傳漏洞并且理解漏洞的原理和危害教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)不同類型簡單的文件上傳漏洞二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：了解不同類型文件上傳漏洞的原理和危害措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)不同類型簡單的文件上傳漏洞措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三文件上傳漏洞分類引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.文件類型繞過漏洞2.文件名繞過漏洞3.目錄遍歷漏洞4.二進(jìn)制文件上傳漏洞5.非常規(guī)后綴名漏洞6.內(nèi)容欺騙漏洞7.Web服務(wù)器的負(fù)載均衡教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.文件類型繞過漏洞文件類型繞過漏洞：MIME（MultipurposeInternetMailExtensions）類型是一種互聯(lián)網(wǎng)標(biāo)準(zhǔn)，用于表示文檔、圖片、音頻、視頻等多種類型的文件格式。Web應(yīng)用程序通常會(huì)根據(jù)文件的MIME類型來驗(yàn)證上傳的文件類型是否符合要求，并拒絕上傳不被允許的文件類型。但是，攻擊者可以利用一些技巧，繞過這種驗(yàn)證，上傳惡意文件。2.文件名繞過漏洞

文件名繞過漏洞（FileNameBypassVulnerability）：攻擊者通過構(gòu)造特定的文件名，從而繞過了某些安全檢測措施，使得安全檢測措施失效，導(dǎo)致攻擊者能夠執(zhí)行惡意操作。3.目錄遍歷漏洞目錄遍歷漏洞（DirectoryTraversalVulnerability）：也稱為路徑遍歷漏洞、目錄穿越漏洞，是指攻擊者利用Web應(yīng)用程序中的一個(gè)漏洞，通過修改URL參數(shù)等方式來訪問Web服務(wù)器上未經(jīng)授權(quán)的目錄和文件，進(jìn)而獲取敏感信息或進(jìn)行惡意操作的安全漏洞。4.二進(jìn)制文件上傳漏洞二進(jìn)制文件上傳漏洞（BinaryFileUploadVulnerability）：指攻擊者通過Web應(yīng)用程序的文件上傳功能，上傳惡意的二進(jìn)制文件（如PHP文件、Shell腳本、惡意軟件等），從而危害Web應(yīng)用程序的安全漏洞。5.非常規(guī)后綴名漏洞

非常規(guī)后綴名漏洞（UncommonFileExtensionVulnerability）：指攻擊者通過修改文件后綴名或者使用不常見的文件后綴名，繞過Web應(yīng)用程序的安全防護(hù)措施，進(jìn)行攻擊的一種漏洞。6.內(nèi)容欺騙漏洞

內(nèi)容欺騙漏洞（ContentSpoofingVulnerability）：指攻擊者通過篡改Web應(yīng)用程序返回的內(nèi)容，以欺騙用戶，達(dá)到竊取用戶敏感信息、進(jìn)行詐騙、攻擊等目的的一種漏洞。7.Web服務(wù)器的負(fù)載均衡Web服務(wù)器的負(fù)載均衡：多個(gè)Web服務(wù)器的負(fù)載均衡可以提高Web應(yīng)用程序的可靠性和性能，但也會(huì)引入一些安全風(fēng)險(xiǎn)，如文件上傳漏洞。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或