Web安全技术

课程编码：0839X6M05006H 英文名称：Web Security 课时：40 学分：2.00 课程属性：专业普及课 主讲教师：刘奇旭等

本课程为网络空间安全专业和相关学科研究生的普及课,将从基本概念原理、关键技术与实现方法,以及Web安全技术实践等三个层面进行授课讲解。基本概念原理、关键技术与实现方法,注重专业基础知识和基本技能的讲授；Web安全技术实践,关注近期国内外热点Web安全事件,同时开展Web攻防对抗实训。通过本课程的学习,希望学生掌握Web安全基本概念、原理和关键技术,了解典型Web安全事件的原理及解决方案,并培养学生的Web安全技术实践能力。

无

第一章 Web安全基础
第1节 绪论 4学时 刘奇旭
第2节 Web的简明历史 2学时 刘潮歌
第3节 同源策略 2学时 刘潮歌
第4节 HTTP与Cookie 2学时 刘潮歌
第二章 Web客户端安全
第1节 OWASP Top Ten 2学时 刘奇旭
第2节 XSS与CSRF 2学时 刘奇旭
第3节 ClickJacking 2学时 刘奇旭
第4节 浏览器与扩展安全 2学时 刘奇旭
第5节 案例分析 2学时 刘潮歌
第三章 Web服务端安全
第1节 SQL注入 2学时 刘潮歌
第2节 文件上传与文件包含 1学时 刘潮歌
第3节 XXE与SSRF 2学时 刘奇旭
第4节 身份认证与访问控制 2学时 刘奇旭
第5节 案例分析 1学时 刘潮歌
第四章 实践教学 8学时 刘潮歌
第1节 CTF之中期考核
第2节 CTF之期末考核
第3节 学生大作业课堂分享（第一次）
第4节 学生大作业课堂分享（第二次）
第五章 考试复习答疑 2学时 刘奇旭
第1节 课堂讲授复习+现场答疑
第六章 期末考试 2学时 刘奇旭
第1节 期末考试

刘奇旭 男,博士,中国科学院大学网络空间安全学院副教授,中国科学院信息工程研究所副研究员,硕士生导师,全国高校网安联赛(X-NUCA)技术委员会委员。围绕Web安全技术、恶意代码分析等方向开展研究,先后主持国家重点研发计划、国家自然科学基金、中国博士后基金特别资助等重要课题。曾独立发现并报告多个安全漏洞,并获CVE收录。在ESORICS、ASIACCS、CN、JSS、CC等国内外重要会议或期刊上发表学术论文50余篇,申请国家专利8项,制定国家标准4项,曾获省部级科技进步一等奖1项,三等奖2项。主讲研究生课程《Web安全技术》、《Web追踪前沿》。获得2017年度中国科学院“朱李月华”优秀教师奖。

刘潮歌 男,中国科学院信息工程研究所助理研究员。主要研究方向是网络攻防、恶意代码等。在国际会议上发表恶意代码相关论文10余篇,并获得2项合作专利授权；作为核心人员,参与863计划、国家自然科学基金项目等多个课题。多次一线参与处置网络安全突发事件以及网络安全专项任务,并先后两次获得中央某部委的表扬感谢。