Web安全與防護(hù) （微課版）教案全套 武春嶺 01-1 項(xiàng)目一 Web安全基礎(chǔ)-08-4 項(xiàng)目八 安全的應(yīng)用發(fā)布

XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目一任務(wù)一Web技術(shù)的發(fā)展歷程；任務(wù)二Web安全的核心問題教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱Web技術(shù)的發(fā)展歷程、Web安全的核心問題授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：了解Web技術(shù)發(fā)展歷程，認(rèn)識(shí)Web安全核心問題。2、知識(shí)準(zhǔn)備：HTTP、HTML和URI基礎(chǔ)知識(shí)。3、任務(wù)實(shí)施：了解Web技術(shù)發(fā)展歷程，闡述Web存在安全隱患的根本原因。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了解Web、HTTP、HTML和URI等相關(guān)概念的基本知識(shí)和網(wǎng)絡(luò)安全相關(guān)基本知識(shí)，但對Web技術(shù)的典型應(yīng)用、表現(xiàn)形式缺乏認(rèn)識(shí)，不能理解導(dǎo)致Web應(yīng)用存在安全問題的原因。教學(xué)目標(biāo)知識(shí)目標(biāo)1、了解Web技術(shù)發(fā)展各階段的典型應(yīng)用。2、熟悉Web技術(shù)發(fā)展各階段解決的應(yīng)用需求。3、熟悉Web應(yīng)用的基本架構(gòu)。能力目標(biāo)1、能夠闡述Web技術(shù)發(fā)展各階段的區(qū)別和聯(lián)系2、能夠闡述Web存在安全隱患的原因。素質(zhì)目標(biāo)1、樹立正確的網(wǎng)絡(luò)安全觀。2、養(yǎng)成探究事物本質(zhì)的探索精神。教學(xué)重點(diǎn)Web存在安全隱患的核心問題教學(xué)難點(diǎn)HTTP請求和響應(yīng)過程二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：Web存在安全隱患的核心問題措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：HTTP請求和響應(yīng)過程措施：老師通過抓包軟件獲取HTTP流量數(shù)據(jù)包進(jìn)行演示講解三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一Web技術(shù)的發(fā)展歷程引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.了解Web技術(shù)發(fā)展歷史2.熟悉Web技術(shù)各階段的應(yīng)用表現(xiàn)形式1.Web1.0①誕生了門戶網(wǎng)站、聊天軟件、BBS、電商購物網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。②本質(zhì)是聚合、聯(lián)合、搜索，大量、無序的互聯(lián)網(wǎng)信息是這個(gè)時(shí)期聚合的本質(zhì)。③解決人們對信息搜索、聚合的要求，是靜態(tài)的、單項(xiàng)的網(wǎng)絡(luò)。2.Web2.0①解決了人與人之間溝通、互動(dòng)和參與的需求。②將互聯(lián)網(wǎng)的主導(dǎo)權(quán)交給廣大用戶個(gè)人，充分發(fā)掘廣大用戶的個(gè)人積極性并參與到體系中來。3.Web3.0①個(gè)性化和智能化的搜索引擎。②對數(shù)據(jù)進(jìn)行自由組合和有效聚合。③適合多種終端平臺(tái)，實(shí)現(xiàn)信息服務(wù)的普適性。任務(wù)二Web安全的核心問題引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.認(rèn)識(shí)Web應(yīng)用中信息請求和響應(yīng)的基本過程2.理解Web存在安全隱患的根本原因1.Web應(yīng)用基本架構(gòu)2.Web應(yīng)用面臨的安全風(fēng)險(xiǎn)①數(shù)據(jù)信息泄漏。②網(wǎng)站篡改。③業(yè)務(wù)安全風(fēng)險(xiǎn)。3.Web安全核心問題①Web應(yīng)用環(huán)境導(dǎo)致的安全問題。②交互過程導(dǎo)致的安全問題。③Web安全與傳統(tǒng)安全的區(qū)別。教師講授、演示。學(xué)生學(xué)習(xí)，動(dòng)手練習(xí)通過理論知識(shí)講解和演示操作，幫助學(xué)生理解重難點(diǎn)知識(shí)。課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目一任務(wù)三HTTP協(xié)議及安全性一、教學(xué)分析課題名稱HTTP協(xié)議及安全性授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：分析HTTP協(xié)議及其安全性。2、知識(shí)準(zhǔn)備：Web應(yīng)用系統(tǒng)的基本架構(gòu)和信息交互處理基本流程。3、任務(wù)實(shí)施：通過認(rèn)識(shí)HTTP協(xié)議數(shù)據(jù)報(bào)文格式和HTTPS工作原理，掌握HTTP數(shù)據(jù)報(bào)文分析方法。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了解Web應(yīng)用的基本概念和Web安全的基礎(chǔ)知識(shí)，但對Web應(yīng)用使用的HTTP協(xié)議，以及信息交互過程缺乏深入了解，不能理解協(xié)議與Web應(yīng)用安全之間的關(guān)系。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉HTTP請求報(bào)文和響應(yīng)報(bào)文格式。2、熟悉HTTPS基本概念和工作原理。能力目標(biāo)1、能夠獲取指定目標(biāo)的HTTP通信報(bào)文，并能分析報(bào)文內(nèi)容。素質(zhì)目標(biāo)1、樹立正確的網(wǎng)絡(luò)安全觀。2、養(yǎng)成探究事物本質(zhì)的探索精神。教學(xué)重點(diǎn)HTTP請求報(bào)文和響應(yīng)報(bào)文格式教學(xué)難點(diǎn)HTTPS安全機(jī)制和工作原理二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：HTTP請求報(bào)文和響應(yīng)報(bào)文格式措施：老師通過抓包軟件獲取HTTP流量數(shù)據(jù)包進(jìn)行演示講解教學(xué)難點(diǎn)解決措施難點(diǎn)：HTTPS安全機(jī)制和工作原理措施：老師通過抓包軟件獲取HTTPS流量數(shù)據(jù)包進(jìn)行演示講解三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三HTTP協(xié)議及安全性引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.認(rèn)識(shí)HTTP請求報(bào)文和響應(yīng)報(bào)文格式2.理解HTTPS安全機(jī)制和工作原理3.掌握HTTP數(shù)據(jù)報(bào)文分析方法1.HTTP請求報(bào)文①HTTP協(xié)議相關(guān)基本概念。②請求報(bào)文的組成部分。③請求方法及報(bào)文內(nèi)容分析。2.HTTP響應(yīng)報(bào)文①響應(yīng)報(bào)文的組成部分。②響應(yīng)報(bào)文狀態(tài)碼分析。③響應(yīng)報(bào)文內(nèi)容分析。3.URL①URL規(guī)范。②URI、URL和URN的區(qū)別。4.HTTPS安全性分析①HTTPS基本概念及特點(diǎn)。②HTTPS安全機(jī)制。③HTTPS基本工作原理。教師講授、演示。學(xué)生學(xué)習(xí)，動(dòng)手練習(xí)通過理論知識(shí)講解和演示操作，幫助學(xué)生理解重難點(diǎn)知識(shí)。課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目一任務(wù)四Web應(yīng)用中的編碼一、教學(xué)分析課題名稱Web應(yīng)用中的編碼授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：掌握Web應(yīng)用常見編碼的編碼和解碼方法。2、知識(shí)準(zhǔn)備：Web應(yīng)用系統(tǒng)的基本架構(gòu)和信息交互處理基本流程。3、任務(wù)實(shí)施：通過學(xué)習(xí)字符編碼、URL編碼、Base64等編碼知識(shí)，掌握Web應(yīng)用常見編碼的編碼和解碼方法。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了解了HTTP協(xié)議工作機(jī)制和流程，但缺少對字符編碼的認(rèn)識(shí)，不能有效分析數(shù)據(jù)報(bào)文中的相關(guān)信息。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉常見的編碼技術(shù)和規(guī)則。2、理解字符編碼、解碼工作原理。能力目標(biāo)1、能夠?qū)Λ@取的數(shù)據(jù)報(bào)文內(nèi)容中編碼的信息進(jìn)行解碼。素質(zhì)目標(biāo)1、樹立正確的網(wǎng)絡(luò)安全觀。2、養(yǎng)成探究事物本質(zhì)的探索精神。教學(xué)重點(diǎn)字符編碼的作用和原理教學(xué)難點(diǎn)不同編碼技術(shù)的編碼和解碼方法二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：字符編碼的作用和原理措施：通過課件演示講解教學(xué)難點(diǎn)解決措施難點(diǎn)：不同編碼技術(shù)的編碼和解碼方法措施：教師演示使用工具對字符進(jìn)行編碼和解碼操作，學(xué)生實(shí)操練習(xí)，加深印象三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三HTTP協(xié)議及安全性引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本任務(wù)工作內(nèi)容：1.了解字符編碼的作用2.熟悉常見編碼規(guī)則和原理3.掌握編碼、解碼方法1.字符編碼①ASCII編碼。②DBCS雙字節(jié)字符集。③Unicode編碼2.傳輸過程的編碼①URL編碼。②Base64編碼。③HTML字符實(shí)體。教師講授、演示。學(xué)生學(xué)習(xí)，動(dòng)手練習(xí)通過理論知識(shí)講解和演示操作，幫助學(xué)生理解重難點(diǎn)知識(shí)。課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目二任務(wù)一《登錄認(rèn)證功能實(shí)現(xiàn)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證功能實(shí)現(xiàn)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)用戶的登錄認(rèn)證。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫連接和數(shù)據(jù)庫增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)用戶名和密碼的輸入校驗(yàn)。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉登錄認(rèn)證原理及實(shí)現(xiàn)方法。2、熟悉驗(yàn)證碼的生成和校驗(yàn)方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)用戶的登錄認(rèn)證教學(xué)難點(diǎn)登錄狀態(tài)的判斷二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)用戶的登錄認(rèn)證措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄狀態(tài)的判斷措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一登錄認(rèn)證功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.了解登錄認(rèn)證2.創(chuàng)建登錄頁面3.判斷登錄狀態(tài)

4.增加驗(yàn)證碼情景引入：2014年8月，?？低旸VR和NVR產(chǎn)品因網(wǎng)絡(luò)攻擊導(dǎo)致返修量增加。攻擊者利用未更改的默認(rèn)密碼通過Telnet登錄并植入腳本，破壞設(shè)備固件。公司隨即報(bào)告警方并報(bào)案。2015年2月，江蘇省公安廳緊急通知全省檢查和加固?？低暠O(jiān)控設(shè)備，指出設(shè)備存在安全風(fēng)險(xiǎn)，部分已被境外控制。?？低晫κ苡绊懺O(shè)備進(jìn)行了升級修復(fù)，并強(qiáng)調(diào)修改默認(rèn)密碼的重要性。由于其產(chǎn)品廣泛應(yīng)用于關(guān)鍵領(lǐng)域，此次事件引起了社會(huì)廣泛關(guān)注。問題源于海康威視安全門的認(rèn)證機(jī)制漏洞，導(dǎo)致敏感信息被竊。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.了解登錄認(rèn)證

登錄認(rèn)證是在Web應(yīng)用程序中實(shí)現(xiàn)身份驗(yàn)證和授權(quán)的過程。在用戶嘗試登錄到Web應(yīng)用程序時(shí)，登錄認(rèn)證將驗(yàn)證用戶的身份并授予相應(yīng)的訪問權(quán)限。通常，登錄認(rèn)證包括兩個(gè)步驟：身份驗(yàn)證和授權(quán)。①身份驗(yàn)證②授權(quán)2.創(chuàng)建登錄頁面①確定登錄表單中所需字段②確定登錄表單的布局③添加驗(yàn)證碼顯示3.判斷登錄狀態(tài)①引入頭文件②判斷是否為管理員③實(shí)現(xiàn)用戶密碼判斷邏輯4.增加驗(yàn)證碼①實(shí)現(xiàn)驗(yàn)證碼的生成②實(shí)現(xiàn)驗(yàn)證碼的獲取教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目二任務(wù)二《登錄認(rèn)證漏洞形成原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證漏洞形成原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解登錄認(rèn)證漏洞形成的原理。2、知識(shí)準(zhǔn)備：PHP開發(fā)語言基礎(chǔ)。3、任務(wù)實(shí)施：理解登錄認(rèn)證漏洞形成的原理。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉登錄認(rèn)證漏洞的概念。2、熟悉登錄認(rèn)證漏洞的分類。3、了解登錄認(rèn)證漏洞的危害。能力目標(biāo)1、熟悉登錄認(rèn)證漏洞的類型。

2、掌握登錄認(rèn)證漏洞的特點(diǎn)。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)登錄認(rèn)證漏洞形成原理教學(xué)難點(diǎn)登錄認(rèn)證漏洞分類的理解二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：登錄認(rèn)證漏洞形成原理措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄認(rèn)證漏洞分類的理解措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二登錄認(rèn)證漏洞分類的理解引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.熟悉登錄認(rèn)證漏洞的概念

2.熟悉登錄認(rèn)證漏洞的分類

3.了解登錄認(rèn)證漏洞的危害教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.登錄認(rèn)證漏洞的概念

登錄認(rèn)證漏洞是指攻擊者可以利用應(yīng)用程序的漏洞來繞過正常的身份驗(yàn)證程序，從而成功登錄系統(tǒng)或者應(yīng)用程序，獲得未經(jīng)授權(quán)的訪問權(quán)限。2.登錄認(rèn)證漏洞的分類①密碼猜測②會(huì)話劫持③跨站點(diǎn)請求偽造④SQL注入

⑤社會(huì)工程學(xué)攻擊3.登錄認(rèn)證漏洞的危害登錄認(rèn)證漏洞會(huì)導(dǎo)致數(shù)據(jù)泄露、資源濫用、惡意篡改等安全事件發(fā)生。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目二任務(wù)三《登錄認(rèn)證漏洞檢測與驗(yàn)證》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證漏洞檢測與驗(yàn)證授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉登錄認(rèn)證漏洞的檢測以及漏洞驗(yàn)證。2、知識(shí)準(zhǔn)備：登錄認(rèn)證漏洞原理。3、任務(wù)實(shí)施：利用Burp對登錄認(rèn)證頁面進(jìn)行漏洞檢測和漏洞驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、驗(yàn)證碼重放漏洞。2、用戶探測漏洞驗(yàn)證。3、弱口令漏洞驗(yàn)證。能力目標(biāo)1、能夠檢測出登錄認(rèn)證中存在的漏洞。

2、能夠?qū)Φ卿浾J(rèn)證中存在的漏洞進(jìn)行安全驗(yàn)證。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)登錄認(rèn)證漏洞的檢測以及驗(yàn)證方法教學(xué)難點(diǎn)登錄認(rèn)證漏洞的利用二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：登錄認(rèn)證漏洞的檢測以及驗(yàn)證方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄認(rèn)證漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三登錄認(rèn)證漏洞檢測與驗(yàn)證引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.驗(yàn)證碼重放漏洞

2.用戶探測漏洞驗(yàn)證

3.弱口令漏洞驗(yàn)證教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.驗(yàn)證碼重放漏洞

①配置Burp代理監(jiān)聽②訪問后臺(tái)登錄界面③攔截登錄請求④重發(fā)驗(yàn)證碼2.用戶名探測漏洞驗(yàn)證①使用Burp抓取登錄請求②將登錄請求轉(zhuǎn)發(fā)至Intruder中③配置爆破字典④根據(jù)響應(yīng)結(jié)果找到正確的用戶名3.弱口令漏洞驗(yàn)證①使用Burp抓取登錄請求②將登錄請求轉(zhuǎn)發(fā)至Intruder中③配置爆破字典④根據(jù)響應(yīng)結(jié)果找到正確的密碼教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目二任務(wù)四《錄認(rèn)證漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱登錄認(rèn)證漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉登錄認(rèn)證漏洞的修復(fù)方法與防范措施。2、知識(shí)準(zhǔn)備：登錄認(rèn)證漏洞原理、PHP后端開發(fā)基礎(chǔ)。3、任務(wù)實(shí)施：修復(fù)博客系統(tǒng)中存在的登錄認(rèn)證漏洞并進(jìn)行驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、驗(yàn)證碼重放漏洞修復(fù)。2、用戶名探測漏洞修復(fù)。3、弱口令漏洞修復(fù)。能力目標(biāo)1、能夠修復(fù)登錄認(rèn)證中存在的漏洞。

2、能夠?qū)σ研迯?fù)的漏洞進(jìn)行復(fù)測。素質(zhì)目標(biāo)1、養(yǎng)成精益求精的工作作風(fēng)。2、樹立良好的網(wǎng)絡(luò)安全意識(shí)。教學(xué)重點(diǎn)登錄認(rèn)證漏洞的修復(fù)以及防范方法教學(xué)難點(diǎn)登錄認(rèn)證漏洞的修復(fù)二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：登錄認(rèn)證漏洞的修復(fù)以及防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：登錄認(rèn)證漏洞的修復(fù)措施：老師講解加演示三、教學(xué)實(shí)施第4次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)四登錄認(rèn)證漏洞修復(fù)與防范引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.驗(yàn)證碼重放漏洞修復(fù)

2.用戶探測漏洞修復(fù)

3.弱口令漏洞修復(fù)教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.驗(yàn)證碼重放漏洞修復(fù)

修改博客系統(tǒng)代碼使用戶請求admin/check.php后將存儲(chǔ)在Session會(huì)話中的驗(yàn)證碼值銷毀即可讓驗(yàn)證碼只能使用一次、防止出現(xiàn)驗(yàn)證碼重放的問題并進(jìn)行修復(fù)驗(yàn)證。2.用戶名探測漏洞修復(fù)修改博客系統(tǒng)源碼使用戶名錯(cuò)誤以及密碼錯(cuò)誤的響應(yīng)提示設(shè)置得較為模糊例如：用戶名或密碼錯(cuò)誤、登錄失敗、請求錯(cuò)誤等讓攻擊者無法判斷是用戶名錯(cuò)誤還是密碼錯(cuò)誤。最后進(jìn)行修復(fù)驗(yàn)證。3.弱口令漏洞修復(fù)修改博客系統(tǒng)代碼使用限制登錄次數(shù)的方案防止暴力破解的發(fā)生，通過在代碼中增加對IP地址的判斷，實(shí)現(xiàn)對登錄次數(shù)的限制并進(jìn)行修復(fù)驗(yàn)證。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目三任務(wù)一《利用數(shù)據(jù)庫實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱利用數(shù)據(jù)庫實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫連接和數(shù)據(jù)庫增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)用戶身份存儲(chǔ)、文章存儲(chǔ)以及文章的搜索。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉SQL的基本操作。2、熟悉動(dòng)態(tài)網(wǎng)頁的實(shí)現(xiàn)方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專注的工作習(xí)慣。2、樹立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)利用數(shù)據(jù)庫實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁教學(xué)難點(diǎn)PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：利用數(shù)據(jù)庫實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一登錄認(rèn)證功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.了解數(shù)據(jù)庫2.使用數(shù)據(jù)庫存儲(chǔ)用戶身份3.使用數(shù)據(jù)庫存儲(chǔ)文章

4.實(shí)現(xiàn)文章搜索情景引入：自1999年以來，SQL注入一直是主要的安全漏洞，2020年OWASPTOP10中仍列首位。2008年，SQL注入導(dǎo)致經(jīng)濟(jì)損失，聯(lián)合國官網(wǎng)在2010年也遭攻擊。2011年，多個(gè)機(jī)構(gòu)將SQL注入視為頭號安全威脅。2012年，Barclaycard報(bào)告97%的數(shù)據(jù)泄露由SQL注入引起，短時(shí)間內(nèi)百萬網(wǎng)頁受害。2014年，美國海軍的web應(yīng)用遭黑客攻擊，導(dǎo)致22萬個(gè)人信息泄露，事后修復(fù)成本超過50萬美元。SQL注入依然是難以解決的安全問題，攻擊方法簡單高效，黑客利用自動(dòng)化工具進(jìn)行攻擊，形成僵尸網(wǎng)絡(luò)。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.了解數(shù)據(jù)庫

數(shù)據(jù)庫是指按照一定數(shù)據(jù)模型組織、存儲(chǔ)和管理數(shù)據(jù)的集合。常見的數(shù)據(jù)庫有關(guān)系型數(shù)據(jù)庫（如MySQL、Oracle、SQLServer等）和非關(guān)系型數(shù)據(jù)庫（如MongoDB、Redis、Cassandra等）。掌握：

①SELECT：查詢數(shù)據(jù)②INSERT：插入數(shù)據(jù)③UPDATE：更新數(shù)據(jù)④DELETE：刪除數(shù)據(jù)2.使用數(shù)據(jù)庫存儲(chǔ)用戶身份①創(chuàng)建存儲(chǔ)用戶身份信息的表②寫入用戶身份信息③登錄認(rèn)證時(shí)查詢數(shù)據(jù)庫存儲(chǔ)的身份分析進(jìn)行校驗(yàn)3.使用數(shù)據(jù)庫存儲(chǔ)文章①創(chuàng)建blog_article表②文章的顯示和編輯③評論的顯示和編輯4.實(shí)現(xiàn)文章搜索①文章的模糊匹配②文章的分頁查詢教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目三任務(wù)二《SQL注入漏洞形成原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞形成原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解SQL注入漏洞形成的原理。2、知識(shí)準(zhǔn)備：PHP開發(fā)語言基礎(chǔ)。3、任務(wù)實(shí)施：理解SQL注入漏洞形成的原理。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉SQL注入漏洞的概念。2、熟悉SQL注入漏洞的分類。3、了解SQL注入漏洞的危害。能力目標(biāo)1、熟悉SQL注入漏洞的類型。2、掌握SQL注入漏洞的特點(diǎn)。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專注的工作習(xí)慣。2、樹立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞形成原理教學(xué)難點(diǎn)SQL注入漏洞分類的理解二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞形成原理措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞分類的理解措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二SQL注入漏洞分類的理解引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.熟悉SQL注入漏洞的概念

2.熟悉SQL注入漏洞的分類

3.了解SQL注入漏洞的危害教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.SQL注入漏洞的概念

如果Web應(yīng)用程序的開發(fā)人員對用戶所輸入的數(shù)據(jù)或cookie等內(nèi)容不進(jìn)行過濾或驗(yàn)證(即存在注入點(diǎn))就直接傳輸給數(shù)據(jù)庫，就可能導(dǎo)致拼接的SQL被執(zhí)行，獲取對數(shù)據(jù)庫的信息以及提權(quán)，發(fā)生SQL注入攻擊。2.SQL注入漏洞的分類但凡使用數(shù)據(jù)庫開發(fā)的應(yīng)用系統(tǒng)，都可能存在SQL注入攻擊的媒介。按照不同的維度，SQL注入漏洞可以劃分為不同的類型。通常的劃分方法包括按照注入點(diǎn)數(shù)據(jù)類型、數(shù)據(jù)提交方式、獲取信息方式三種。3.SQL注入漏洞的危害SQL注入漏洞會(huì)導(dǎo)致數(shù)據(jù)庫信息泄露、網(wǎng)頁篡改、服務(wù)器被遠(yuǎn)程控制等。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目三任務(wù)三《SQL注入漏洞檢測與驗(yàn)證》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞檢測與驗(yàn)證授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉SQL注入漏洞的檢測以及漏洞驗(yàn)證。2、知識(shí)準(zhǔn)備：SQL注入漏洞原理。3、任務(wù)實(shí)施：利用Burp對博客系統(tǒng)進(jìn)行漏洞檢測和漏洞驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、繞過后臺(tái)登錄（字符型注入）。2、文章頁面注入（數(shù)字型注入）。3、搜索框注入（搜索框注入）。4、SQL注入漏洞進(jìn)階。能力目標(biāo)1、能夠檢測出系統(tǒng)中存在的漏洞。2、能夠?qū)QL注入漏洞進(jìn)行安全驗(yàn)證。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專注的工作習(xí)慣。2、樹立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞的檢測以及驗(yàn)證方法教學(xué)難點(diǎn)SQL注入漏洞的利用二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞的檢測以及驗(yàn)證方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三SQL注入漏洞檢測與驗(yàn)證引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.繞過后臺(tái)登錄（字符型注入）

2.文章頁面注入（數(shù)字型注入）

3.搜索框注入（搜索框注入）

4.SQL注入漏洞進(jìn)階教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.繞過后臺(tái)登錄（字符型注入）

①博客系統(tǒng)漏洞點(diǎn)分析②使用Burp抓取登錄請求③發(fā)送漏洞利用代碼④驗(yàn)證利用結(jié)果2.文章頁面注入（數(shù)字型注入）①博客系統(tǒng)漏洞點(diǎn)分析②漏洞利用參數(shù)構(gòu)造③手動(dòng)注入測試3.搜索框注入（搜索框注入）①博客系統(tǒng)漏洞點(diǎn)分析②搜索框漏洞利用參數(shù)構(gòu)造③驗(yàn)證利用結(jié)果

3.SQL注入進(jìn)階①盲注漏洞②堆疊注入③二次注入教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目三任務(wù)四《SQL注入漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱SQL注入漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：熟悉SQL注入漏洞的修復(fù)方法與防范措施。2、知識(shí)準(zhǔn)備：SQL注入漏洞原理、PHP后端開發(fā)基礎(chǔ)。3、任務(wù)實(shí)施：修復(fù)博客系統(tǒng)中存在的SQL注入漏洞并進(jìn)行驗(yàn)證。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、參數(shù)化查詢。2、繞過后臺(tái)登錄修復(fù)（字符型）。3、文章頁面注入漏洞修復(fù)（數(shù)字型注入）。4、搜索框注入漏洞修復(fù)（搜索框注入）。能力目標(biāo)1、能夠修復(fù)系統(tǒng)中存在的漏洞。2、能夠?qū)σ研迯?fù)的漏洞進(jìn)行復(fù)測。素質(zhì)目標(biāo)1、養(yǎng)成執(zhí)著專注的工作習(xí)慣。2、樹立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)。教學(xué)重點(diǎn)SQL注入漏洞的修復(fù)以及防范方法教學(xué)難點(diǎn)SQL注入漏洞的修復(fù)二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：SQL注入漏洞的修復(fù)以及防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：SQL注入漏洞的修復(fù)措施：老師講解加演示三、教學(xué)實(shí)施第4次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)四SQL注入漏洞修復(fù)與防范引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.參數(shù)化查詢

2.繞過后臺(tái)登錄修復(fù)（字符型）

3.文章頁面注入漏洞修復(fù)（數(shù)字型注入）

4.搜索框注入漏洞修復(fù)（搜索框注入）教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.參數(shù)化查詢

參數(shù)化查詢是一種防止SQL注入攻擊的數(shù)據(jù)庫查詢方法。它通過將SQL查詢語句和查詢參數(shù)分離，以一種安全的方式傳遞用戶提供的輸入?yún)?shù)，從而避免了SQL注入攻擊。2.繞過后臺(tái)登錄修復(fù)（字符型）修改博客系統(tǒng)源碼使用參數(shù)化查詢，將SQL語句中的變量通過占位符的方式傳入，而不是通過字符串拼接的方式。最后進(jìn)行修復(fù)驗(yàn)證。3.文章頁面注入漏洞修復(fù)（數(shù)字型注入）修改博客系統(tǒng)代碼使用預(yù)處理語句和綁定參數(shù)確保查詢參數(shù)被視為值而不是SQL代碼的一部分。預(yù)處理語句會(huì)先將SQL語句和參數(shù)分開處理，再發(fā)送到MySQL服務(wù)器，從而有效地減少了SQL注入的風(fēng)險(xiǎn)。4.搜索框注入漏洞修復(fù)（搜索框注入）修改博客系統(tǒng)代碼使用參數(shù)化查詢來避免SQL注入攻擊。例如，使用mysqli_prepare()函數(shù)來準(zhǔn)備查詢，然后使用mysqli_stmt_bind_param()函數(shù)來綁定參數(shù)。。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目四任務(wù)一《博客系統(tǒng)相關(guān)功能實(shí)現(xiàn)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱博客系統(tǒng)相關(guān)功能實(shí)現(xiàn)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)文章發(fā)布相關(guān)與評論功能。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫連接和數(shù)據(jù)庫增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)文章發(fā)布相關(guān)與評論功能。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉數(shù)據(jù)庫增刪查改的操作方法。2、熟悉PHP數(shù)據(jù)庫交互的功能編寫方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能。素質(zhì)目標(biāo)1、養(yǎng)成良好的上網(wǎng)行為習(xí)慣。2、增強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫交互功能二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一博客系統(tǒng)相關(guān)功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.文章發(fā)布相關(guān)功能2.評論功能實(shí)現(xiàn)情景引入：2010年Twitter發(fā)生一起蠕蟲攻擊，一位名叫MikkoHypponen的安全專家在Twitter上發(fā)布了一條推文，內(nèi)容為“不要點(diǎn)擊這個(gè)”。這條推文包含了一個(gè)惡意的短鏈接，點(diǎn)擊鏈接后會(huì)將蠕蟲嵌入用戶的Twitter賬戶中，短短數(shù)小時(shí)就傳播感染了數(shù)百萬用戶。這個(gè)事件引起了廣泛關(guān)注，也提醒我們要警惕惡意鏈接和腳本，加強(qiáng)對自己賬戶的保護(hù)學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)引入思政：用Twitter蠕蟲攻擊事件的案例，引導(dǎo)學(xué)生養(yǎng)成良好的上網(wǎng)習(xí)慣，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。1.文章發(fā)布相關(guān)功能①PHP使用mysqli擴(kuò)展創(chuàng)建愛你數(shù)據(jù)庫連接②數(shù)據(jù)庫創(chuàng)建文章表③編寫文章發(fā)布頁面的代碼④顯示文章列表⑤顯示單篇文章⑥編輯文章功能⑦刪除文章功能2.評論功能實(shí)現(xiàn)①數(shù)據(jù)庫創(chuàng)建評論表②在文章頁面中顯示評論③刪除評論功能教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目四任務(wù)二《跨站腳本攻擊的原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站腳本攻擊的原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解跨站腳本攻擊的原理和類型。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端開發(fā)語言基礎(chǔ)。3、任務(wù)實(shí)施：理解跨站腳本攻擊的原理和類型。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了如何實(shí)現(xiàn)文章和評論的發(fā)布功能，具備了數(shù)據(jù)庫操作使用的基本能力和PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站腳本攻擊的原理。2、熟悉跨站腳本攻擊的分類。能力目標(biāo)1、能夠理解跨站腳本攻擊的原理。2、能夠理解跨站腳本攻擊的分類。素質(zhì)目標(biāo)1、養(yǎng)成良好的上網(wǎng)行為習(xí)慣。2、增強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)。教學(xué)重點(diǎn)跨站腳本攻擊的原理教學(xué)難點(diǎn)跨站腳本攻擊的三種形式的區(qū)別二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站腳本攻擊的原理措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站腳本攻擊的三種形式的區(qū)別措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二跨站腳本攻擊的原理引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.反射型XSS2.存儲(chǔ)型XSS3.DOM型XSS教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.反射型XSS反射型XSS（Cross-SiteScripting）攻擊是通過向用戶發(fā)送包含惡意腳本的鏈接或者欺騙用戶點(diǎn)擊鏈接來實(shí)現(xiàn)攻擊的一種方式。與存儲(chǔ)型XSS攻擊不同，反射型XSS攻擊并不需要攻擊者將惡意腳本存儲(chǔ)在目標(biāo)網(wǎng)站上，而是將惡意腳本作為參數(shù)發(fā)送到目標(biāo)網(wǎng)站上，目標(biāo)網(wǎng)站將惡意腳本反射回用戶的瀏覽器執(zhí)行，從而完成攻擊。2.存儲(chǔ)型XSS存儲(chǔ)型XSS（Cross-SiteScripting）攻擊是一種存儲(chǔ)再加載的攻擊方式。攻擊者向Web應(yīng)用程序提交帶有惡意腳本的數(shù)據(jù)，例如評論、留言、上傳文件等，當(dāng)其他用戶訪問包含惡意腳本的數(shù)據(jù)時(shí)，惡意腳本會(huì)被注入到頁面中并執(zhí)行。3.DOM型XSSDOM型XSS（Cross-SiteScripting）攻擊是一種基于瀏覽器端的XSS攻擊方式，攻擊者構(gòu)造特定的URL或表單，將惡意腳本注入到Web頁面中，通過修改DOM（文檔對象模型）來達(dá)到攻擊的目的。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目四任務(wù)三《跨站腳本漏洞檢測與驗(yàn)證》任務(wù)四《跨站腳本漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站腳本漏洞檢測與驗(yàn)證、跨站腳本漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測和利用跨站腳本漏洞，對跨站腳本漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端開發(fā)語言基礎(chǔ)。3、任務(wù)實(shí)施：檢測和利用博客系統(tǒng)中的跨站腳本漏洞，針對博客系統(tǒng)相關(guān)功能存在的跨站腳本漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站腳本攻擊原理和分類的知識(shí)，具備了跨站腳本攻擊相關(guān)的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站腳本漏洞的檢測方法。2、熟悉跨站腳本漏洞的利用方法。3、熟悉跨站腳本漏洞的修復(fù)防范方法。能力目標(biāo)1、能夠檢測出跨站腳本漏洞。2、能夠利用跨站腳本漏洞。3、能夠?qū)崿F(xiàn)對跨站腳本漏洞的修復(fù)和防范。素質(zhì)目標(biāo)1、養(yǎng)成良好的上網(wǎng)行為習(xí)慣。2、增強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)。教學(xué)重點(diǎn)跨站腳本漏洞的檢測、跨站腳本漏洞的修復(fù)和防范的三種方法教學(xué)難點(diǎn)跨站腳本漏洞的利用二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站腳本漏洞的檢測、跨站腳本漏洞的修復(fù)和防范的三種方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站腳本漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站腳本漏洞檢測與利用引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.檢測跨站腳本漏洞2.利用跨站腳本漏洞任務(wù)四跨站腳本漏洞修復(fù)與防范引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.對用戶輸入進(jìn)行處理2.使用內(nèi)容安全策略3.使用安全Cookie教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站腳本漏洞檢測與利用1.檢測跨站腳本漏洞①在應(yīng)用程序中找到一個(gè)輸入字段，例如搜索框、評論框或聯(lián)系表單。輸入一些HTML或JavaScript代碼②提交輸入并觀察瀏覽器中是否彈出了一個(gè)警告框。如果彈出了警告框，說明應(yīng)用程序中存在跨站腳本漏洞③如果沒有彈出警告框，嘗試在輸入中添加一些其他惡意代碼，例如cookie竊取腳本、重定向腳本或惡意HTML標(biāo)簽。觀察是否能夠成功執(zhí)行這些代碼④如果沒有發(fā)現(xiàn)跨站腳本漏洞，請嘗試在其他輸入字段中進(jìn)行類似的測試。例如，如果應(yīng)用程序包含一個(gè)上傳文件功能，則可以嘗試上傳包含惡意腳本的HTML文件2.利用跨站腳本漏洞一旦發(fā)現(xiàn)跨站腳本漏洞，攻擊者可以利用該漏洞執(zhí)行以下操作：①竊取用戶會(huì)話令牌或其他敏感信息。攻擊者可以編寫JavaScript代碼來獲取當(dāng)前用戶的cookie，然后將該cookie發(fā)送到攻擊者的服務(wù)器。攻擊者可以使用竊取的cookie登錄用戶的帳戶，并執(zhí)行其他惡意操作。②修改網(wǎng)頁內(nèi)容。攻擊者可以注入惡意腳本來更改網(wǎng)頁內(nèi)容，例如添加廣告、修改表單字段或注入其他惡意代碼。③欺騙用戶。攻擊者可以注入惡意腳本來模擬合法的網(wǎng)頁內(nèi)容，例如偽造登錄表單、模擬警告框或創(chuàng)建虛假的鏈接。任務(wù)四跨站腳本漏洞修復(fù)與防范1.對用戶輸入進(jìn)行處理過濾輸入數(shù)據(jù)：對于用戶輸入的數(shù)據(jù)，可以使用過濾器或正則表達(dá)式等方法進(jìn)行過濾，去除其中的HTML標(biāo)簽和JavaScript代碼；PHP中可以使用strip_tags()函數(shù)去除HTML標(biāo)簽；JavaScript中可以使用innerHTML屬性去除HTML標(biāo)簽，使用encodeURI()函數(shù)編碼URL等。2.使用內(nèi)容安全策略內(nèi)容安全策略（ContentSecurityPolicy，CSP）是一種現(xiàn)代的防御跨站腳本攻擊的方式。CSP允許網(wǎng)站管理員指定允許加載的內(nèi)容的來源，從而防止惡意腳本或其他不受信任的內(nèi)容加載到頁面上。3.使用安全CookieCookie是一個(gè)常見的用于存儲(chǔ)用戶會(huì)話信息的機(jī)制，但是Cookie也存在安全風(fēng)險(xiǎn)。攻擊者可以通過劫持Cookie來冒充用戶，或者通過修改Cookie來實(shí)現(xiàn)其他攻擊。為了保護(hù)Cookie，可以使用安全Cookie，也稱為HTTP-onlyCookie。安全Cookie只能通過HTTP請求訪問，無法通過客戶端腳本（如Javascript）訪問。這樣可以防止跨站腳本攻擊等攻擊方式。在PHP中，可以通過setcookie()函數(shù)來設(shè)置安全Cookie。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目五任務(wù)一《博客系統(tǒng)的功能實(shí)現(xiàn)》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱博客系統(tǒng)的功能實(shí)現(xiàn)授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：利用PHP實(shí)現(xiàn)賬戶密碼修改功能。2、知識(shí)準(zhǔn)備：PHP數(shù)據(jù)庫連接和數(shù)據(jù)庫增刪查改相關(guān)知識(shí)。3、任務(wù)實(shí)施：利用PHP實(shí)現(xiàn)賬戶密碼修改功能。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了安全的數(shù)據(jù)庫交互知識(shí)，具備了數(shù)據(jù)庫操作使用的基本能力和數(shù)據(jù)庫常見漏洞的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉數(shù)據(jù)庫增刪查改的操作方法。2、熟悉PHP數(shù)據(jù)庫交互的功能編寫方法。能力目標(biāo)1、能夠?qū)崿F(xiàn)數(shù)據(jù)庫的增刪查改。2、能夠使用PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能。素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫交互功能二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)數(shù)據(jù)庫交互功能措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)安全的數(shù)據(jù)庫交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一博客系統(tǒng)的功能實(shí)現(xiàn)引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.創(chuàng)建表單2.處理表單提交情景引入：2018年雅虎宣布其郵箱系統(tǒng)存在一個(gè)CSRF漏洞，攻擊者通過構(gòu)造惡意網(wǎng)頁或者通過釣魚郵件等方式，欺騙用戶點(diǎn)擊惡意鏈接，觸發(fā)跨站請求偽造攻擊。攻擊者可以通過偽造的請求，訪問用戶的郵件，查看郵件內(nèi)容，修改用戶的郵件，刪除用戶的郵件等惡意操作.這個(gè)漏洞使得大量用戶的隱私受到了威脅，雅虎隨后對這個(gè)漏洞進(jìn)行了修復(fù)，并且在其官方博客中發(fā)布了安全公告，提醒用戶加強(qiáng)密碼安全，使用雙因素認(rèn)證等措施，以保護(hù)自己的賬戶安全。這個(gè)事件提醒用戶們注意保護(hù)自己的隱私安全，不要輕易點(diǎn)擊來自不可信來源的鏈接，注意賬戶和密碼的安全性，避免泄露個(gè)人信息。同時(shí)，對于開發(fā)者們來說，也提醒我們要注意驗(yàn)證和過濾用戶提交的請求，以避免類似的漏洞發(fā)生。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)引入思政：用雅虎郵箱CSRF漏洞攻擊事件的案例，引導(dǎo)學(xué)生養(yǎng)成良好的上網(wǎng)習(xí)慣，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。1.創(chuàng)建表單在前端頁面上添加一個(gè)口令修改表單，其中包括原口令、新密碼和確認(rèn)新密碼等字段，用戶可以在表單中輸入相關(guān)信息：<formmethod="post"action="password_change.php"><labelfor="new_password">新密碼</label><inputtype="password"name="new_password"id="new_password"required><br><labelfor="confirm_password">確認(rèn)新密碼</label><inputtype="password"name="confirm_password"id="confirm_password"required><br><buttontype="submit">修改口令</button></form>2.處理表單提交在后端服務(wù)器端，接收前端發(fā)送的口令修改請求，并對用戶提交的表單數(shù)據(jù)進(jìn)行驗(yàn)證，比如檢查新密碼和確認(rèn)新密碼是否一致。如果數(shù)據(jù)驗(yàn)證失敗，則返回錯(cuò)誤提示；否則，更新用戶的密碼信息。再將用戶輸入的新密碼進(jìn)行加密處理，然后更新到數(shù)據(jù)庫中，用于下次用戶登錄時(shí)進(jìn)行驗(yàn)證。<?phpsession_start();//驗(yàn)證用戶是否已登錄if(!isset($_SESSION['user_id'])){header('Location:login.php');exit();}//處理表單提交if(isset($_POST['new_password'])&&isset($_POST['confirm_password'])){$new_password=$_POST['new_password'];$confirm_password=$_POST['confirm_password'];//連接數(shù)據(jù)庫$db=newPDO('mysql:host=localhost;dbname=blog','username','password');//檢查新密碼是否匹配確認(rèn)密碼if($new_password===$confirm_password){//更新用戶的密碼$stmt=$db->prepare('UPDATEusersSETpassword=?WHEREid=?');$stmt->execute([password_hash($new_password,PASSWORD_DEFAULT),$_SESSION['user_id']]);echo'密碼已更新！';}else{echo'新密碼與確認(rèn)密碼不匹配。';}?>教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目五任務(wù)二《跨站請求偽造攻擊的原理》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站請求偽造攻擊的原理授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：理解跨站請求偽造攻擊的原理。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施：理解跨站請求偽造攻擊的原理。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了博客系統(tǒng)修改密碼功能的實(shí)現(xiàn)，具備了數(shù)據(jù)庫操作使用的WEB表單相關(guān)的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請求偽造攻擊的步驟。2、熟悉跨站請求偽造攻擊的特點(diǎn)。能力目標(biāo)1、能夠?qū)嵤┛缯菊埱髠卧旃簟?、能夠理解跨站請求偽造攻擊的特點(diǎn)。素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請求偽造攻擊的步驟教學(xué)難點(diǎn)跨站請求偽造攻擊的特點(diǎn)二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站請求偽造攻擊的步驟措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站請求偽造攻擊的特點(diǎn)措施：老師講解加演示三、教學(xué)實(shí)施第2次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)二跨站請求偽造攻擊的原理引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.CSRF攻擊步驟2.CSRF的特點(diǎn)教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)1.CSRF攻擊步驟①攻擊者創(chuàng)建一個(gè)偽造的請求，該請求在運(yùn)行時(shí)會(huì)將10,000美元從特定銀行轉(zhuǎn)入攻擊者的賬戶；②攻擊者將偽造的請求嵌入到超鏈接中，以批量電子郵件的形式發(fā)送出去，并將其嵌入到網(wǎng)站中；③受害者點(diǎn)擊攻擊者放置的電子郵件或網(wǎng)站鏈接，導(dǎo)致受害者向銀行提出轉(zhuǎn)賬10,000美元的請求；④銀行服務(wù)器接收到請求，并且由于受害者得到了適當(dāng)?shù)氖跈?quán)，它將請求視為合法并轉(zhuǎn)移資金。2.CSRF的特點(diǎn)①攻擊一般發(fā)起在第三方網(wǎng)站，而不是被攻擊的網(wǎng)站。被攻擊的網(wǎng)站無法防止攻擊發(fā)生。②攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證，冒充受害者提交操作；而不是直接竊取數(shù)據(jù)。③整個(gè)過程攻擊者并不能獲取到受害者的登錄憑證，僅僅是“冒用”。④跨站請求可以用各種方式：圖片URL、超鏈接、CORS、Form提交等等。部分請求方式可以直接嵌入在第三方論壇、文章中，難以進(jìn)行追蹤。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目五任務(wù)三《跨站請求偽造漏洞檢測與利用》任務(wù)四《跨站請求偽造漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站請求偽造漏洞檢測與利用、跨站請求偽造漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測和利用跨站請求偽造漏洞、對跨站請求偽造漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施：檢測和利用博客系統(tǒng)中的跨站請求偽造漏洞、針對博客系統(tǒng)相關(guān)功能存在的跨站請求偽造漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站請求偽造漏洞原理和特點(diǎn)的知識(shí)，具備了針對跨站請求偽造漏洞的利用檢測及修復(fù)防范的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請求偽造漏洞的檢測方法。2、熟悉跨站請求偽造漏洞的利用方法。3、熟悉跨站請求偽造漏洞的修復(fù)防范方法能力目標(biāo)1、能夠檢測出跨站請求偽造漏洞。2、能夠利用跨站請求偽造漏洞。3、能夠?qū)崿F(xiàn)對跨站請求偽造漏洞的修復(fù)和防范素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請求偽造漏洞的檢測、跨站請求偽造漏洞的四種修復(fù)防范方法教學(xué)難點(diǎn)跨站請求偽造漏洞的利用二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站請求偽造漏洞的檢測、跨站請求偽造漏洞的四種修復(fù)防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站請求偽造漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站請求偽造漏洞檢測與驗(yàn)證引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.跨站請求偽造漏洞的檢測2.跨站請求偽造漏洞的利用任務(wù)四跨站請求偽造漏洞修復(fù)與防范引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.同源檢測2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴(yán)重教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站請求偽造漏洞檢測與驗(yàn)證1.跨站請求偽造漏洞的檢測CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任，但是攻擊者并不能拿到cookie，也看不到cookie的內(nèi)容。另外，對于服務(wù)器返回的結(jié)果，由于瀏覽器同源策略的限制，攻擊者也無法進(jìn)行解析。因此，攻擊者無法從返回的結(jié)果中得到任何東西，他所能做的就是給服務(wù)器發(fā)送請求，以執(zhí)行請求中所描述的命令，在服務(wù)器端直接改變數(shù)據(jù)的值，而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請求偽造漏洞的利用使用BurpSuite截獲信息，并利用CSRF漏洞，先截獲口令修改的http請求包，然后生成CSRFPoc，csrfHTML成功生成后，將其中的html存為一個(gè)單獨(dú)的文件，也可以做一定的迷惑、引誘性偽裝，將其上線到一個(gè)網(wǎng)頁中發(fā)送給受害者。如果受害者點(diǎn)擊該鏈接，那么他的該站密碼會(huì)修改為我們提前設(shè)置好的字符任務(wù)四跨站請求偽造漏洞修復(fù)與防范1.同源檢測禁止外域（或者不受信任的域名）對我們發(fā)起請求。在HTTP協(xié)議中，每一個(gè)異步請求都會(huì)攜帶兩個(gè)Header，用于標(biāo)記來源域名：OriginHeader和RefererHeader。通過Header的驗(yàn)證，我們可以知道發(fā)起請求的來源域名，這些來源域名可能是網(wǎng)站本域，或者子域名，或者有授權(quán)的第三方域名，又或者來自不可信的未知域名。在Web應(yīng)用中檢查請求頭中的Header字段，確保請求來自合法的來源。但是，這種方式并不是完全可靠的，因?yàn)楣粽呖梢酝ㄟ^篡改HTTP請求頭的方式繞過Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊，Google起草了一份草案來改進(jìn)HTTP協(xié)議，那就是為Set-Cookie響應(yīng)頭新增Samesite屬性，它用來標(biāo)明這個(gè)Cookie是個(gè)“同站Cookie”，同站Cookie只能作為第一方Cookie，不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機(jī)字符串，該字符串與用戶會(huì)話相關(guān)聯(lián)，作為表單隱藏字段或請求參數(shù)的一部分，一起發(fā)送給客戶端瀏覽器。當(dāng)客戶端提交表單或請求時(shí)，服務(wù)器端會(huì)驗(yàn)證請求中的Token是否與用戶會(huì)話中的Token一致，如果一致則認(rèn)為請求是合法的，否則拒絕請求。這樣，即使攻擊者成功偽造了請求，也無法獲取有效的令牌信息，從而無法完成攻擊。4.特定情況下的必要嚴(yán)重在特定情況下加入一些特定的驗(yàn)證來防止CSRF攻擊，當(dāng)用戶在應(yīng)用程序中執(zhí)行敏感操作時(shí)，應(yīng)用程序可以要求用戶提供額外的驗(yàn)證信息，例如輸入密碼或者提供其他的身份信息。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖總結(jié)本節(jié)課知識(shí)點(diǎn)通過課后習(xí)題或課堂問答，引導(dǎo)同學(xué)進(jìn)行總結(jié)。完成課堂任務(wù)，積極回答課堂提問讓學(xué)生溫習(xí)課堂所學(xué)知識(shí)，加深印象考核評價(jià)小組評價(jià)和個(gè)人綜合評價(jià)（驗(yàn)證是否完成任務(wù)）出勤，學(xué)習(xí)表現(xiàn)、作業(yè)評價(jià)等四、反思診改教學(xué)效果反思改進(jìn)XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時(shí)64

項(xiàng)目六任務(wù)一《構(gòu)造簡單的文件上傳》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱構(gòu)造簡單的文件上傳授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：構(gòu)建一個(gè)基礎(chǔ)的文件上傳功能，實(shí)現(xiàn)前端到服務(wù)器的文件傳輸和存儲(chǔ)。2、知識(shí)準(zhǔn)備：Linux操作系統(tǒng)的使用和PHP語言基礎(chǔ)。3、任務(wù)實(shí)施：實(shí)現(xiàn)一個(gè)簡單的PHP文件上傳示例，包含前端表單和后端文件保存邏輯。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了如何編寫PHP代碼的基礎(chǔ)知識(shí)，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、了解文件上傳的基本概念及其類型。2、熟悉PHP文件上傳的功能編寫方法。能力目標(biāo)1、能夠理解文件上傳的原理。2、能夠?qū)崿F(xiàn)PHP簡單的文件上傳。素質(zhì)目標(biāo)1、養(yǎng)成解決問題時(shí)的逆向思維能力。2、培養(yǎng)一絲不茍的工作態(tài)度。教學(xué)重點(diǎn)PHP實(shí)現(xiàn)文件上傳功能教學(xué)難點(diǎn)使用PHP實(shí)現(xiàn)文件上傳的交互功能二、教學(xué)策略教學(xué)資源在線開放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：PHP實(shí)現(xiàn)文件上傳交互功能措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：使用PHP實(shí)現(xiàn)安全的文件上傳交互功能措施：老師講解加演示三、教學(xué)實(shí)施第1次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)一構(gòu)造簡單的文件上傳引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.了解什么是文件上傳2.構(gòu)造簡單的文件上傳3.文件上傳的類型4.