高职《Web安全攻防》课程教学设计
王彩梅
(武汉软件工程职业学院,湖北武汉430205)
摘要:《Web安全攻防》课程是我校信息安全与管理专业的一门核心课程,该课程对学生职业岗位能力培养和职业素质养成起主要支撑作用。课程要求学生知识面广、自主学习能力强,为了克服课堂教学的局限性,该文利用线上教学的优势,将线上预习、复习和拓展作为线下课堂教学的补充进行教学改进,以XSS漏洞攻防为例进行教学设计与实施,提高教学效果。
关键词:高职院校;Web安全攻防;教学设计
中图分类号:G642文献标识码:A
文章编号:1009-3044(2021)05-0165-02开放科学(资源服务)标识码(OSID):
2020年上半年受新冠疫情的影响,各大高校均开启了线上教学,与此同时,线上教学的优势和劣势在这
半年的教学中都体现了出来。吸取线上教学的优势,弥补课堂教学的不足,将线上教学与线下课堂教学结合起来进行完美结合,提高学生学习的效果,成为我本学期课堂教学改进的重点。本文以《Web 安全攻防》课程为例来进行教学设计和教学实施。
1教学设计分析
在进行教学设计之前,我们需要先进行线上线下教学模式分析、课程定位和学情分析。线上教学的优点是资源丰富、学习时间和学习方式比较自由,能够培养学生独立自主学习的能力;不足之处在于当线上教学成为课堂教学的主要形式时,容易出现学生注意力不集中、老师监管不到、学生的实践环境得不到满足的情况。课堂教学的优势是,学生实践教学环境统一,面对面教学使得学生与老师之间更容易互动,学习氛围更好,学习注意力更集中。但缺点是课堂时间有限,学习内容也具有局限性。
《Web安全攻防》是信息安全与管理专业的专业核心课,课程开设在第四个学期。该课程通过详细讲解每一类Web安全漏洞的原理及攻防技术的演进过程,让学生掌握每种Web安全问题的解决方案,对整个Web安全防护体系建立清晰的认知,为今后从事信息安全相关工作打下基础。课程要求学生知识面广、肯花时间钻研、自主学习能力强。
高职学生特点是自主学习能力比较弱、对实践学习比较感兴趣,同时希望在实践练习后能够很快看到学习效果而获得成就感。
因此,本文将汲取线上教学优势,通过线上课前预习和课后复习与拓展的方式,不仅培养学生的自主学习能力,也作为线下课堂教学的重要补充;在教学内容上,遵循“理论够用、实践为主”的原则,以实践教学演示与练习为主;同时,实践教学应该进行分层教学,让具有不同基础层次的学生都能体会到成就感。
2《Web安全攻防》课程教学设计
基于以上分析,选取《Web安全攻防》课程中的跨站脚本攻击(XSS)作为学习领域应用案例进行教学设计。
2.1教学目标
专业能力目标:理解XSS概念、分类、漏洞原理和漏洞利用方式;熟练掌握XSS漏洞的挖掘;熟练掌握XSS漏洞的利用;熟练掌握XSS漏洞的防御。
方法能力目标:具备认真踏实的学习态度和严谨务实的工作作风;具备收集信息和学习资源的能力;了解学习领域的最新动态技术;具有自我学习的能力和用于探索新知识的精神。
社会能力目标:具备良好的语言技能、沟通交流能力和应变能力;具备良好的团队合作精神和集体荣誉感;爱岗敬业,遵守公司的规章制度;拥有正确的人生观和价值观,身心健康;热爱祖国,具有强
烈的社会责任感。
2.2教学设计
整个教学过程围绕项目任务来展开。教学过程可以分为以下几个步骤:
①任务的情境:在工作中,Web安全与渗透测试工程师需要对网站进行渗透测试并针对存在的漏洞进行防御。现在需要对某个网站进行渗透测试,挖掘XSS漏洞并利用该漏洞拿到Web网站的权限。
②任务的提出:
任务一:从给定的测试网站中挖掘XSS漏洞并验证XSS漏洞的存在;
收稿日期:2020-11-25
基金项目:2016年武汉市教学科学“十三五”规划课题“泛在学习环境下基于行动导向的教学改革研究”(2016C270)作者简介:王彩梅(1986—),女,讲师,硕士,主要从事网络安全、网络技术研究等。
任务二:利用XSS漏洞盗取网站的cookies,然后获取网站管理员的权限;
任务三:使用Beef工具实现XSS漏洞攻击;
任务四:XSS漏洞的其他利用方式实战。
要求:前面三个任务比较基础,要求全部完成;最后一个任务是拓展任务,漏洞测试网站和漏洞利用方式不限,可以在课后完成。
2.3解决与完成任务
①根据学情划分学习小组,学习小组成员按照学习基础和学习能力的强弱搭配的方式进行划分;
②分小组讨论解决任务的思路,比如,如何挖掘XSS漏洞,可以通过手工挖掘或AWVS工具扫描挖掘;
③小组协作完成任务。
2.4任务结果评价
①小组演示任务完成过程及结果,并答辩;
②小组互评及老师评价。
2.5总结与反思
①通过实战学习了漏洞挖掘和漏洞利用方式。大家已经掌握了常见的XSS漏洞利用方式。但实际工作中,XSS漏洞的利用远比我们所学习的复杂,还需要同学们深入学习与挖掘;
②思考XSS漏洞在实际工作中还会以哪些方式存在,XSS 漏洞的利用可能需要结合其他漏洞的利用来获取权限。
3《Web安全攻防》课程教学组织与实施
该课程的组织与实施分为课前、课中、课后三个阶段的有机结合来完成。XSS漏洞挖掘与利用这一学习情境分两次课4课时来完成教学,具体组织与实施过程如表1所示。
表1学习情境-XSS漏洞挖掘与利用的教学组织与实施
课前
课中(2课时)
教师
①设计教学情境。包括教学设计、教学软件准
备(包括AWVS、测试网站、phpstudy、中国菜刀、
Linux虚拟机)、教学资料的准备(PPT、实验文档、教
案等);
②提出要求:学习AWVS的用法;使用phpstudy
搭建网站;如何使用XSS漏洞获取cookies;
③提供泛在学习环境下的学习资源。比如,相
关博文链接,国家职业教育信息安全与管理教学资
源库的学习视频、PPT、实验文档等,实验吧、i春秋
等免费实践的渗透平台等,信息安全实训室教学平
台、攻防平台等;
④利用线上学习平台与学生互动。
简述任务一的要求、步骤和注意事项,将学生划
分成学习小组。
巡察课堂,随时辅导与指导。
组织学生分组展示任务一完成情况。
对完成情况进行点评,重点知识进行统一讲解
或演示。
学生
线上学习环境下收集
资料;
利用任意时间任意地
点选择自己喜欢的方式学
习,包括理解概念、原理,整
理学习笔记;
利用已有平台进行实
践操作;
利用线上学习平台进
行提问、交流、讨论等。
小组协作商讨解决
思路;
搭建靶机环境;
安装AWVS进行扫描
测试网站;
对扫描的XSS漏洞进
行验证;
思考该漏洞如何利用。
分小组展示任务一完
成结果。
小组互评。
课后
课前
课中
(2课
时)
课后
总结并提出反思思路
简述任务二的要求、步骤和注意事项。
巡察课堂,随时辅导与指导。
总结:任务一全部完成;任务二部分小组已经完
成,但有部分小组还未完成,没完成的同学课后完
成;任务二完成情况下节课展示与答辩。
利用线上学习平台与学生互动。
提出要求:如何使用Beef工具利用XSS漏洞;
XSS漏洞利用的其他方式实战。
组织学生分组展示任务二完成情况。
对完成情况进行点评,重点知识进行统一讲解
或演示。
简述任务三的要求、步骤和注意事项。
任务三必做,任务四选做。
巡察课堂,随时辅导与指导。
组织学生分组展示任务三完成情况。
对完成情况进行点评,重点知识进行统一讲解
或演示。
总结并提出反思思路。
简述任务四及完成任务四的思路和方法。
任务四属于开放的任务,是拓展知识范畴。
利用线上学习平台与学生互动。
用phpstudy搭建网站完善任务并反思。
小组协作商讨解决
思路;
利用XSS平台创建项
目,获取XSS攻击playload;
利用playload去攻击
XSS漏洞;
网站管理员登录网站
并点击植入了playload的
留言;
查看XSS平台收到网
站管理员的cookies;
攻击者利用中国菜刀
和管理员cookies获取管理
员权限。
保存本次课的学习资
料和学习笔记。领会课后
任务。
未完成任务二的小组
完成任务二,已完成的小组
复习、巩固、拓展;
利用线上学习环境下
的各种资源收集资料、整理
资料。
分小组展示任务二完
成结果。
小组互评。
小组协作商讨解决
思路;
打开kali虚拟机中的
Beef工具;
打开物理机中或另一
台虚拟机中的XSS漏洞测
试网站;
利用XSS漏洞;
攻击成功,获取访问网
页的主机信息。
分小组展示任务三完
成结果。
小组互评。
完善任务并反思。
对XSS的漏洞与挖掘
进行更深入的学习与研究。
在线上学习环境下选
择自己愿意学习的XSS知
识,提升自己的技能;
利用线上学习平台进
行提问、交流、讨论等。
4总结
本文分析了高职院校《Web安全攻防》课程的相关特点。
在此基础上,以XSS漏洞利用与防御为例,提出了基于线上线
(下转第182页)
[6]王芳,张睿,司玉杰.以提升程序分析与设计能力为导向的C
语言程序设计教学改革研究[J].计算机教育,2020(9): 168-173.
[7]潘飞,付景顺,李强,等.新工科背景下《C语言程序设计》课程
教学体系改革探索[J].教育教学论坛,2020(14):163-164. [8]邹运兰,柴本成.互联网+教育背景下的C语言程序设计教学
改革探究[J].计算机教育,2020(5):72-74.
[9]丛丽晖,范纯龙,王丹,等.面向专业素质与能力培养的程序设
计类课程改革与实践[J].沈阳航空航天大学学报,2017,34 (S1):100-103.
[10]王金鹏,曹旗磊,王涵.基于Online Judge的程序设计基础教
学改革与实践[J].计算机教育,2020(2):101-104.[11]吴玫,王海晖,李伟波,等.面向混合学习的Java课程教学设
计——以武汉工程大学为例[J].软件导刊,2018,17(4):220-221,226.
[12]白鱼秀.“C语言程序设计”课程案例教学法研究[J].微型电
脑应用,2018,34(3):55-57.
[13]何迎生,王从银.基于慕课的C语言程序设计翻转课堂教学
实践[J].计算机教育,2020(1):160-163.
[14]杨惠荣,周珺.疫情期间面向对象程序设计课程线上教学实
践[J].计算机教育,2020(8):1-5.
[15]敬超.疫情下ACM程序设计实践课程线上教学探索[J].电
脑知识与技术,2020,16(24):157-158.
【通联编辑:代影】
(上接第166页)
下混合教学模式的《Web安全攻防》课程的教学设计与实施过程,改进了教学效果。
参考文献:
[1]吴建军.“Web安全基础”实验教学探讨[J].中国信息技术教
育,2019(8).
[2]贾忠田.网络攻防课程建设经验探讨[J].计算机教育,2019(3).[3]高贺.基于Web环境下的网络安全攻防技术的研究[D].北京
邮电大学,2015(12).
[4]杜晔.Web应用安全实验教学探讨与案例评析[J].计算机教
育,2014(6).
[5]王剑,张玉清.点击劫持漏洞攻防技术研究[J].信息网络安全, 2011(7).
【通联编辑:朱宝贵】
(上接第171页)
[2]韩建海,周志立,杜辉,等.突出行业背景与办学特构建“卓
越计划”人才培养新模式[J].河南教育(高校版),2013(2):7-8.
[3]韩奕,李新华,许薇,等.依托行业背景的卓越工程师教育培养
计划的实践——以材料科学与工程(视光材料与应用)专业为例[J].教育教学论坛,2017(25):184-186.
[4]吴国栋,涂立静,李景霞,等.计算机科学与技术专业“卓越工
程师”培养探索[J].当代教育理论与实践,2015,7(11):50-52. [5]陈智勇,李民政,钟艳如,等.计算机科学与技术专业卓越工程
师教育培养计划之课程体系建设[J].中国现代教育装备,2013 (17):71-73.
[6]武小平,刘树波,周军,等.面向新工科的计算机科学与技术卓
越工程师培养体系探索与实践[J].计算机教育,2020(2):5-7. [7]严辉,李莹莹.面向卓越工程师的计算机专业人才培养模式
的探索——以安徽建筑大学计算机科学与技术专业为例[J].
开封教育学院学报,2017,37(5):108-109.
[8]陆勇,崔刚.“卓越计划”背景下的地方工科院校通识教育课
程体系构建[J].扬州大学学报(高教研究版),2012,16(4):78-81.
[9]王伟,张军旗,江建慧,等.计算机科学与技术卓越课程行动计
划实践——以同济大学计算机系统级课程为例[J].计算机教育,2013(2):66-69.
[10]杨玉强,李仲秋,李金山,等.计算机专业卓越工程师培养
模式与探索[J].计算机教育,2014(1):43-48.
【通联编辑:王力】

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。