《渗透测试》课程教学大纲(本科)

admin管理员组

文章数量:1531666

2024年1月13日发(作者：)

渗透测试

（Penetration Testing）

课程代码：06410148

学分：2.0

学时：32 （其中：课堂教学学时：32 实验学时：0 上机学时：0 课程实践学时：0 ）

先修课程：操作系统、组成原理、数据库、计算机网络、恶意程序等

适用专业：信息安全

教材：无

一、课程性质与课程目标

（一）课程性质（需说明课程对人才培养方面的贡献）

《渗透测试》是信息安全专业一门综合性很强的专业课程。本课程需要操作系统、组成原理、数据库、应用开发、系统开发等方面的技术基础，要求学生有较宽阔的知识面。本课程首先讨论渗透测试过程中的中各个阶段的工作以及对应的实施方案，然后在按测试流程：分析、挖掘、利用目标脆弱点，获取、巩固权限，进行更深入的测试等方面，进行讨论。通过对本课程的学习，学生掌握渗透测试的相关知识，加深了对网络攻防的认知。

（二）课程目标

课程目标1：理解渗透测试的相关概念，了解相关法律法规，掌握渗透测试的流程。

课程目标2：理解渗透测试的目的，掌握目标分析的相关知识；理解信息收集的重要性，熟练掌握主动式信息收集和被动式信息收集的各种方法，并学会主动挖掘信息。

课程目标3：理解常见目标脆弱点的原理，掌握对应挖掘和利用方法。理解挖掘未知目标脆弱点思路。

课程目标4：理解系统权限划分，理解 权限提升原理，掌握利用系统漏洞、系统机制、数据库漏洞、第三方应用等来提权的方法，学会挖掘权限提升新方法。

课程目标5：理解权限巩固的意义，掌握巩固权限的方法。

课程目标6：理解内网架构和原理，掌握内网渗透的思路和方法。

1 / 7

课程目标7：具备根据互联网、文献等的数据，对实际中未知复杂目标进行分析、信息收集的能力。

课程目标8：具备对根据实际情况，选择相关技术和工具等来挖掘、利用目标脆弱点的能力。

课程目标9：对操作系统权限管理及响应机制有较深入的认识，能够利用系统机制、系统漏洞等方式进行提权。

课程目标10：熟悉常见网络架构，具备对未知复杂网络分析的能力。

（三）课程目标与专业毕业要求指标点的对应关系

本课程支撑专业培养计划中毕业要求指标点5-3、12-1。

1.毕业要求5-3: 具备运用相关技术、资源和工具软件进行模拟、仿真和结果分析的能力。

2.毕业要求12-1:能根据技术资料对信息安全及相关技术的原理、技术特点及适用性进行理解和凝练，并提出一些探讨性问题的质疑能力。

课程目标

1

毕业要求指标点

毕业要求5-3

毕业要求12-1

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

2 3 4 5 6 7 8 9 10

二、课程内容与教学要求（按章撰写）

第一章 绪论

（一）课程内容

1.渗透测试的概念：渗透测试、渗透测试的意义、攻击者思路、防御者思路等。

2.相关法律法规。

3.透测试的流程。

（二）教学要求

1.了解本课程的性质、任务和目的。

2.掌握渗透测试的一些基本概念。

3.了解渗透测试的流程。

（三）重点与难点

1. 重点

2 / 7

渗透测试的意义，防御者思路和攻击者思路。

2. 难点

理解渗透测试的意义，攻击者思路和防御者思路的不同，理解渗透测试流程。

第二章 目标分析与信息收集

（一）课程内容

1.目标的确定和目标的范围确定。

2.信息收集及其重要性。

3.主动式信息收集：网络扫描（端口扫描、服务识别、应用扫描、系统扫描、漏洞扫描等）。

4.被动式信息收集：Web搜索引擎、DNS/Whois信息、专业搜索引擎、社工库结合社会工程学的方法等。

（二）教学要求

1.掌握根据实际情况，确定目标的方法。

2.熟练掌握主动式和被动式信息收集的意义，掌握常规的收集方法。

3.能够根据实际情况选择或发掘信息收集方式。

（三）重点与难点

1. 重点

目标分析、主动式信息收集、被动式信息收集。

2. 难点

信息收集各种方式在实际中的应用

第三章 脆弱点挖掘和利用

（一）课程内容

1.脆弱点的定义。

应用常见架构及其分析方法。

应用常见脆弱点及利用方式（漏洞利用，拿webshell等）。

4.系统应用常见脆弱点及利用方式。

5.未知目标脆弱点的挖掘、分析和利用。

（二）教学要求

1.能对Web应用架构分析，掌握Web漏洞原理，以及挖掘、验证、利用的方法。

2.掌握操作系统脆弱点的原理，及对系统漏洞扫描、利用的方式。

3 / 7

3.掌握挖掘未知目标脆弱点的思路。

（三）重点与难点

1. 重点

Web应用常见漏洞、操作系统漏洞扫描、挖掘、利用。

2. 难点

理解Web应用常见漏洞的原理、系统漏洞原理。漏洞的发现和利用。

第四章 权限提升和巩固

（一）课程内容

s系统权限划分。

系统权限划分。

ll下权限和提权。

4.利用本地提权漏洞提权。

5.常见数据库及利用其提权的方式。

6.利用第三方应用提权。

7.挖掘未知环境下提权方式的思路。

（二）教学要求

1.掌握不同操作系统下权限划分的不同。

2.理解Webshell下权限，能够使用本地提权漏洞、数据库等应用来进行提权。

3.能够在未知环境下，选择或挖掘合适提权方式。

（三）重点与难点

1. 重点

掌握系统权限划分，掌握各种情况下提权方式

2. 难点

各种低权限情况下，提权的选择和实现

第五章 内网渗透

（一）课程内容

1.内网拓扑结构及配置。

2.常用网络命令。

3.网络设备渗透。

4 / 7

4.内网嗅探和欺骗。

5.内网域控及渗透。

（二）教学要求

1.具有内网嗅探、欺骗、域控渗透的能力。

2.掌握利用网络命令对网络分析的技术。

（三）重点与难点

1. 重点

内网拓扑结构，常用网络命令，内网嗅探和欺骗，域控的渗透。

2. 难点

利用网络命令对网络拓扑结构进行分析，域控的渗透。

三、学时分配及教学方法

教学形式及学时分配

课堂实教学 验

2

6

8

8

8

32

上课程机 实践

小计

2

6

8

8

8

主要教学方法 支撑的课程目标

章

（按序填写）

第一章 绪论

第二章 目标分析与信息收集

第三章 脆弱点挖掘和利用

第四章 权限提升和权限巩固

第五章 内网渗透

合计

讲授法

讲授法+演示法+案例教学

讲授法+演示法+案例教学

讲授法+演示法+案例教学

讲授法+演示法

1

2，7

3，8

4，5，9

6，10

32

注：1.课程实践学时按相关专业培养计划列入表格；

2.主要教学方法包括讲授法、讨论法、演示法、研究型教学方法（基于问题、项目、案例等教学方法）等。

四、课程考核

考核形式

课堂和实验考勤

考核要求

主要考核学生课堂听讲出勤 5 / 7

考核权重

40%

备注

情况、上机实验出勤情况。缺勤一次扣1分

根据课程和认知撰写个人渗课程报告

透测试方案报告。

注：1.分学期设置和考核的课程应按学期分别填写上表。

2.考核形式主要包括课堂表现、平时作业、阶段测试、期中考试、期末考试、大作业、小论文、项目设计和作品等。

3.考核要求包括作业次数、考试方式（开卷、闭卷）、项目设计要求等。

4.考核权重指该考核方式或途径在总成绩中所占比重。

60%

附录1

评分细则见 五、参考书目及学习资料

1.《Web安全深度剖析》，张炳帅著，电子工业出版社，2015年

2.《暗战亮剑：黑客渗透与防御全程实录》，朱锡华、刘月铧、侯伟等著，人民邮电出版社，2010年

3.《黑客大曝光：网络安全机密与解决方案》，[美]麦克克鲁尔，[美]斯坎布雷，[美]克茨著，赵军等译，2013年第7版

3.《黑客攻防技术宝典：Web实战篇》，[英]斯图塔德（Stuttard D.）著，石华耀，傅志红译，人民邮电出版社，2012年第2版

4.《白帽子讲WEB安全》，吴翰清著，电子工业出版社，2014年

5.《SQL注入攻击与防御》，[美]克拉克（Justin Clarke）著，赵然绘，施宏斌，叶愫译，清华大学出版社，2013年第2版

六、大纲说明

1. 采用多媒体和黑板相结合的教学手段，配合实战的讲解，保证讲课进度的同时，注意学生的掌握程度和课堂的气氛。

2. 根据各章节的具体情况，结合实战的演示，以加深学生对所学内容的理解和掌握。

2017 年 9 月 20 日

6 / 7

附录1：课程报告评分细则

考核内容 成绩 考核要求

报告结构完整，对整个课程及实验总结完整，有全面的分析；有明显渗透经验，有自己独优秀（90-100） 到的见解。能正确认识到渗透测试在网络安全方面的重要性，以及其对社会可持续发展可能存在的影响、以及应承担责任。

报告结构完整，对整个课程及实验总结完整，有较全面的分析；有自己独到的见解。能正良（80-89） 确认识到渗透测试在网络安全方面的重要性，以及其对社会可持续发展可能存在的影响、以及应承担责任。

报告结构比较完整，对整个课程及实验总结完整，有部分分析和见解。能正确认识到渗课程报告 中（70-79） 透测试在网络安全方面的重要性，以及其对社会可持续发展可能存在的影响、以及应承担责任。

报告结构比较完整，对整个课程及实验总结完整，有自己的分析；有部分见解。能简单及格（60-69） 认识到渗透测试在网络安全方面的重要性，以及其对社会可持续发展可能存在的影响、以及应承担责任。

报告结构不完整，对整个课程及实验总结不完整，或者不同学生之间报告类同；未认识不及格（50分以下） 到渗透测试在网络安全方面的重要性，以及其对社会可持续发展可能存在的影响、以及应承担责任。

5-3

12-1

指标点

7 / 7

本文标签： 课程渗透测试掌握理解