《渗透测试技术》课程标准

admin管理员组

文章数量:1531659

2024年1月13日发(作者：)

《渗透测试技术》

课程标准

一、前言

（一）课程基本信息

课程名称：渗透测试技术

建议学时：64

适用专业：网络空间安全、信息安全

编写执笔人：

二级学院院长签名： 专业管理委员会：

课程类别：专业核心课

建议学分：4

授课单位：

电话：

学院方：

企业方：

（二）课程性质

本课程是网络空间安全、信息安全专业的核心课程。

（三）设计思路

以理论与实践相结合的基本理念为指导,由浅入深介绍渗透测试的基本理论、渗透测试基础知识和渗透测试方法及实践。通过《渗透测试技术》课程，学习渗透测试流程中各阶段的常用工具及方法，以及Web应用系统渗透、网络服务与客户端渗透的常见漏洞和攻击手段。

课程采用理论讲授、上机实践、综合拓展案例进行结合教学。

1.本课程按照实践为主的课程体系的总体设计要求，着重体现理论和实践相结合的特点，结合实训平台进行实操训练，主要针对渗透测试工程师、安全服务工程师等相关岗位所需的渗透测试基础知识、常用工具、常见漏洞原理及防御方法、常见应用系统渗透方法等技能。

2.本课程遵循能力核心、系统培养，以渗透测试流程贯穿，讲解各阶段所用到的工具、渗透技术等。

3.在教学过程中，了解学生的基础和情况，结合其实际水平和能力，认真指导。

4.结合本专业注重实践的特点，让学生能够在实验实操过程中，熟练掌握渗透测试工具的使用、渗透技术和思路。

5.结合最新的漏洞、渗透测试技术及方法、攻防手段等，加强学生技能的掌握。

1

6.通过学习渗透测试技术，理解常见漏洞的原理、攻击及防御方法，能够在今后的工作中承担渗透测试、安全防护工作。

二、课程目标

根据市场中对网络安全应用型技能型人才的需求，培养具有扎实的网络攻防知识和渗透测试技能，具有扎实的专业理论知识和实际操作技能,能从事安全服务、渗透测试、攻防对抗的高素质技能型人才。

（一）知识目标

（1） 理解渗透测试的概念、分类。

（2） 理解渗透测试的流程。

（3） 理解漏洞的生命周期。

（4） 理解漏洞的分类。

（5） 理解漏洞的危险等级划分方法。

（6） 理解漏洞披露方式。

（7） 理解信息收集的方式和流程。

（8） 理解漏洞扫描原理和关键技术。

（9） 理解常见Web漏洞的攻击原理、攻击方法和防御方法。

（10）理解后渗透测试的概念、规则和流程。

（二）技能目标

（1） 掌握Kali Linux系统的安装、配置。

（2） 掌握Metasploit、Burp Suite等常用渗透工具的使用方法。

（3） 掌握Nmap、Recon-NG、Maltego等信息收集工具的使用方法。

（4） 掌握被动信息收集方法。

（5） 掌握主动信息收集工具和方法。

（6） 掌握网络漏洞扫描工具的使用方法。

（7） 掌握Web应用漏洞扫描工具的使用方法。

（8） 掌握SQL注入、XSS、CSRF、文件上传、命令注入等常见Web漏洞的攻击方法。

（9） 掌握Meterpreter的使用方法。

2

（10）掌握网络服务漏洞和客户端漏洞的利用方法。

（三）素质目标

本课程培养数字化建设急需的，德、智、体、美、劳全面发展，适应互联网时代发展需要，掌握渗透测试理论知识及实践技能，社会责任感强、专业竞争力强和人格魅力强的高素质专业技术人才。课程教学中培养学生勇于创新、努力进取的品质及独立思考的学习习惯。

三、课程内容标准

学习内容 学习目标

1.理解渗透测试定义。

2.理解渗透测试分类。

3.理解渗透测试流程。

4.理解漏洞的生命周期。

5.理解漏洞的危险等级划分方法。

6.了解漏洞的分类。

7.了解漏洞的披露方式。

1.了解Kali Linux的安装和配置步骤。

2.了解Metasploit框架的常用模块。

3.了解Burp Suite框架的基本配置和常用模块。

1.了解信息收集方式。

2.了解信息收集流程。

3.掌握Nmap、Recon-NG、Maltego的配置和使用方法。

4.掌握被动信息收集方法，包括Whois信息查询、子域名查询、nslookup和dig解析IP、netcraft查询、Google Hacking和FOFA查询。

5.掌握主动信息收集方法及使用的工具，包括活跃主机扫描、操作系统指纹识别、端口扫描、服务指纹识别、web敏感目录扫描。

参考学时

渗透测试基础知识

2

Kali Linux 3

信息收集 9

3

学习内容 学习目标

1.了解漏洞扫描原理。

2.了解漏洞扫描关键技术。

3.掌握Nmap、OpenVAS、Nessus网络漏洞扫描工具的使用方法。

4.掌握Burp Suite、W3AF、AWVS和AppScan扫描Web应用系统的方法。

参考学时

漏洞扫描 6

Web应用渗透

1.了解Web应用渗透定义。

2.了解常见Web应用漏洞。

3.了解SQL注入、XSS、CSRF、文件上传、命令注入等常见漏洞攻击原理、攻击方法和防御方法。

22

后渗透测试

1.了解后渗透测试的概念、规则和流程。

2.掌握后渗透测试常用工具和方法。

6

网络服务渗透与客户端渗透

1.掌握网络服务渗透常用漏洞的利用方法。

2.掌握客户端渗透常用漏洞的利用方法。

1.掌握并应用渗透测试的流程。

2.了解渗透测试的思路。

3.掌握渗透测试常用工具和方法。

8

渗透测试综合实践

8

四、实施建议

（一）教学建议

1.理论与实践相结合，以实践为主，重点培养学生实践能力。加强课前、课后的辅导答疑，使学生掌握渗透测试流程、常用工具、技术和方法。

2.可通过校企合作等形式，发挥企业讲师熟悉针对各种应用系统渗透测试技术、攻防技术的优势，采用案例式教学、分组讨论等形式，调动学生的学习积极性，确保学生能掌握相关技术。

4

3.可通过组织以小组、班级为单位的网络安全竞赛等多种方式“以赛代练”，激发学生的学习热情，引导学生进行更深入的学习。

（二）教材建议

建议使用教材:《渗透测试技术》启明星辰知白学院（孙涛 万海军 陈栋）编著 机械工业出版社。

（三）教学评价

采用平时考核与课终考核相结合的方式进行评定，各占60%和40%。

总评成绩 = 平时成绩20% + 课堂实践成绩40% + 期末考试成绩40%

1．平时成绩占总评成绩的20％。考核学习全过程，着重考核学生平时学习情况及职业素养情况，从考勤、课堂学习、平时作业、课堂问答等多个方面考核。

2．课堂实践成绩占总评成绩的40％。主要考核学生课内实训中对所学技术的应用能力、项目实践能力。

3．期末考试成绩占总评成绩的40％。主要考核学生对所学课程知识的运用能力、项目实践能力。

5

本文标签： 渗透测试漏洞方法学生