Web安全與防護(hù) （微課版）07-3 項(xiàng)目七 安全的文件包含-任務(wù)三教案

XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目七任務(wù)三《文件包含漏洞檢測(cè)與驗(yàn)證》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱文件包含漏洞檢測(cè)與利用授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測(cè)和利用文件包含漏洞。2、知識(shí)準(zhǔn)備：Linux操作系統(tǒng)的使用和PHP語(yǔ)言基礎(chǔ)。3、任務(wù)實(shí)施：檢測(cè)和利用博客系統(tǒng)中的文件包含漏洞。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了文件包含漏洞原理和特點(diǎn)的知識(shí)，具備了針對(duì)文件包含漏洞的利用檢測(cè)及修復(fù)防范的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉文件包含漏洞的檢測(cè)方法。2、熟悉文件包含漏洞的利用方法。能力目標(biāo)1、能夠檢測(cè)出文件包含漏洞。2、能夠利用文件包含漏洞。素質(zhì)目標(biāo)1、養(yǎng)成嚴(yán)謹(jǐn)、細(xì)致的工作作風(fēng)。2、培養(yǎng)考慮問(wèn)題時(shí)的換位思考能力。教學(xué)重點(diǎn)文件包含漏洞的檢測(cè)和驗(yàn)證教學(xué)難點(diǎn)文件包含漏洞的利用二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：文件包含漏洞的檢測(cè)措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：文件包含漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三文件包含漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.文件包含漏洞驗(yàn)證流程2.文件包含漏洞檢測(cè)與驗(yàn)證教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三文件包含漏洞檢測(cè)與驗(yàn)證1.文件包含漏洞驗(yàn)證流程從攻擊者的角度去看學(xué)習(xí)文件包含漏洞，需要了解文件包含樓的檢測(cè)和利用流程如下幾個(gè)步驟：①找到目標(biāo)網(wǎng)站的文件包含漏洞：攻擊者通過(guò)一些技術(shù)手段（如漏洞掃描器、手動(dòng)測(cè)試等）尋找目標(biāo)網(wǎng)站是否存在文件包含漏洞。②構(gòu)造惡意的文件路徑或URL：攻擊者通過(guò)向目標(biāo)網(wǎng)站發(fā)送惡意的文件路徑或URL，嘗試?yán)梦募┒磳⒐粽咚刂频奈募虞d到目標(biāo)網(wǎng)站中。③加載惡意文件：如果攻擊者成功利用文件包含漏洞，目標(biāo)網(wǎng)站會(huì)將惡意文件加載到應(yīng)用程序中。攻擊者可以通過(guò)惡意文件來(lái)實(shí)現(xiàn)各種攻擊目的，例如執(zhí)行任意代碼、獲取敏感信息等。④控制目標(biāo)網(wǎng)站：如果攻擊者成功執(zhí)行了惡意代碼，就可以控制目標(biāo)網(wǎng)站的行為。攻擊者可以通過(guò)控制目標(biāo)網(wǎng)站，進(jìn)行更進(jìn)一步的攻擊，例如竊取用戶信息、上傳惡意文件等。2.文件包含漏洞檢測(cè)與驗(yàn)證對(duì)于文件包含漏洞的檢測(cè)驗(yàn)證，我們需要使用kali自帶的錄爆破Dirbuster工具，該工具是一種用于探測(cè)web服務(wù)器上的目錄和隱藏文件的工具。它支持多種掃描方式，如網(wǎng)頁(yè)爬蟲、基于字典的暴力破解和純暴力破解，使用Java語(yǔ)言編寫，提供命令行和圖形界面兩種模式。當(dāng)檢測(cè)到有可以利用的文件代碼的時(shí)候向URL中傳遞如下參數(shù)，加載之前制作的圖片木馬實(shí)現(xiàn)攻擊：:2333/book/admin/include.php?file=../assets/img/a36d38fe771a00959ded40985182827d.jpg。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過(guò)課后習(xí)題或課堂問(wèn)答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完