高職《Web安全攻防》課程教學設計

王彩梅

摘要：《Web安全攻防》課程是我校信息安全與管理專業(yè)的一門核心課程，該課程對學生職業(yè)崗位能力培養(yǎng)和職業(yè)素質(zhì)養(yǎng)成起主要支撐作用。課程要求學生知識面廣、自主學習能力強，為了克服課堂教學的局限性，該文利用線上教學的優(yōu)勢，將線上預習、復習和拓展作為線下課堂教學的補充進行教學改進，以XSS漏洞攻防為例進行教學設計與實施，提高教學效果。

關鍵詞：高職院校;Web安全攻防;教學設計

2020年上半年受新冠疫情的影響，各大高校均開啟了線上教學，與此同時，線上教學的優(yōu)勢和劣勢在這半年的教學中都體現(xiàn)了出來。吸取線上教學的優(yōu)勢，彌補課堂教學的不足，將線上教學與線下課堂教學結(jié)合起來進行完美結(jié)合，提高學生學習的效果，成為我本學期課堂教學改進的重點。本文以《Web安全攻防》課程為例來進行教學設計和教學實施。

1 教學設計分析

在進行教學設計之前，我們需要先進行線上線下教學模式分析、課程定位和學情分析。線上教學的優(yōu)點是資源豐富、學習時間和學習方式比較自由，能夠培養(yǎng)學生獨立自主學習的能力;不足之處在于當線上教學成為課堂教學的主要形式時，容易出現(xiàn)學生注意力不集中、老師監(jiān)管不到、學生的實踐環(huán)境得不到滿足的情況。課堂教學的優(yōu)勢是，學生實踐教學環(huán)境統(tǒng)一，面對面教學使得學生與老師之間更容易互動，學習氛圍更好，學習注意力更集中。但缺點是課堂時間有限，學習內(nèi)容也具有局限性。

《Web安全攻防》是信息安全與管理專業(yè)的專業(yè)核心課，課程開設在第四個學期。該課程通過詳細講解每一類Web安全漏洞的原理及攻防技術(shù)的演進過程，讓學生掌握每種Web安全問題的解決方案，對整個Web安全防護體系建立清晰的認知，為今后從事信息安全相關工作打下基礎。課程要求學生知識面廣、肯花時間鉆研、自主學習能力強。

高職學生特點是自主學習能力比較弱、對實踐學習比較感興趣，同時希望在實踐練習后能夠很快看到學習效果而獲得成就感。

因此，本文將汲取線上教學優(yōu)勢，通過線上課前預習和課后復習與拓展的方式，不僅培養(yǎng)學生的自主學習能力，也作為線下課堂教學的重要補充;在教學內(nèi)容上，遵循“理論夠用、實踐為主”的原則，以實踐教學演示與練習為主;同時，實踐教學應該進行分層教學，讓具有不同基礎層次的學生都能體會到成就感。

2 《Web安全攻防》課程教學設計

基于以上分析，選取《Web安全攻防》課程中的跨站腳本攻擊（XSS）作為學習領域應用案例進行教學設計。

2.1 教學目標

專業(yè)能力目標：理解XSS概念、分類、漏洞原理和漏洞利用方式;熟練掌握XSS漏洞的挖掘;熟練掌握XSS漏洞的利用;熟練掌握XSS漏洞的防御。

方法能力目標：具備認真踏實的學習態(tài)度和嚴謹務實的工作作風;具備收集信息和學習資源的能力;了解學習領域的最新動態(tài)技術(shù);具有自我學習的能力和用于探索新知識的精神。

社會能力目標：具備良好的語言技能、溝通交流能力和應變能力;具備良好的團隊合作精神和集體榮譽感;愛崗敬業(yè)，遵守公司的規(guī)章制度;擁有正確的人生觀和價值觀，身心健康;熱愛祖國，具有強烈的社會責任感。

2.2 教學設計

整個教學過程圍繞項目任務來展開。教學過程可以分為以下幾個步驟：

① 任務的情境：在工作中，Web安全與滲透測試工程師需要對網(wǎng)站進行滲透測試并針對存在的漏洞進行防御。現(xiàn)在需要對某個網(wǎng)站進行滲透測試，挖掘XSS漏洞并利用該漏洞拿到Web網(wǎng)站的權(quán)限。

② 任務的提出：

任務一：從給定的測試網(wǎng)站中挖掘XSS漏洞并驗證XSS漏洞的存在;

任務二：利用XSS漏洞盜取網(wǎng)站的cookies，然后獲取網(wǎng)站管理員的權(quán)限;

任務三：使用Beef工具實現(xiàn)XSS漏洞攻擊;

任務四：XSS漏洞的其他利用方式實戰(zhàn)。

要求：前面三個任務比較基礎，要求全部完成;最后一個任務是拓展任務，漏洞測試網(wǎng)站和漏洞利用方式不限，可以在課后完成。

2.3 解決與完成任務

① 根據(jù)學情劃分學習小組，學習小組成員按照學習基礎和學習能力的強弱搭配的方式進行劃分;

② 分小組討論解決任務的思路，比如，如何挖掘XSS漏洞，可以通過手工挖掘或AWVS工具掃描挖掘;

③ 小組協(xié)作完成任務。

2.4 任務結(jié)果評價

① 小組演示任務完成過程及結(jié)果，并答辯;

② 小組互評及老師評價。

2.5 總結(jié)與反思

① 通過實戰(zhàn)學習了漏洞挖掘和漏洞利用方式。大家已經(jīng)掌握了常見的XSS漏洞利用方式。但實際工作中，XSS漏洞的利用遠比我們所學習的復雜，還需要同學們深入學習與挖掘;

② 思考XSS漏洞在實際工作中還會以哪些方式存在，XSS漏洞的利用可能需要結(jié)合其他漏洞的利用來獲取權(quán)限。

3 《Web安全攻防》課程教學組織與實施

該課程的組織與實施分為課前、課中、課后三個階段的有機結(jié)合來完成。XSS漏洞挖掘與利用這一學習情境分兩次課4課時來完成教學，具體組織與實施過程如表1所示。

4 總結(jié)

本文分析了高職院?！禬eb安全攻防》課程的相關特點。在此基礎上，以XSS漏洞利用與防御為例，提出了基于線上線下混合教學模式的《Web安全攻防》課程的教學設計與實施過程，改進了教學效果。

參考文獻：

[1] 吳建軍.“Web安全基礎”實驗教學探討[J].中國信息技術(shù)教育，2019（8）.

[2] 賈忠田.網(wǎng)絡攻防課程建設經(jīng)驗探討[J].計算機教育，2019（3）.

[3] 高賀.基于Web環(huán)境下的網(wǎng)絡安全攻防技術(shù)的研究[D].北京郵電大學，2015（12）.

[4] 杜曄.Web應用安全實驗教學探討與案例評析[J].計算機教育，2014（6）.

[5] 王劍，張玉清.點擊劫持漏洞攻防技術(shù)研究[J].信息網(wǎng)絡安全，2011（7）.

【通聯(lián)編輯：朱寶貴】