Web安全技术

课程编码：1802030839X5P3001H 英文名称：Web Security 课时：40 学分：2.00 课程属性：专业课 主讲教师：刘奇旭等

本课程是网络空间安全专业和相关学科研究生的专业课，将从基本概念原理、关键技术与实现方法，以及Web安全技术实践等三个层面进行授课讲解。基本概念原理、关键技术与实现方法，注重专业基础知识和基本技能的讲授；Web安全技术实践，关注近期国内外热点Web安全事件，同时开展Web攻防对抗实训。通过本课程的学习，希望学生掌握Web安全基本概念、原理和关键技术，了解典型Web安全事件的原理及解决方案，并培养学生的Web安全技术实践能力。

无

第一章 基础知识
第1节 绪论 4学时 刘奇旭
第2节 Web的简明历史 1学时 刘潮歌
第3节 同源策略 1学时 刘潮歌
第4节 HTTP与Cookie 2学时 刘潮歌
第二章 Web客户端安全 10学时 刘奇旭
第1节 OWASP Top Ten
第2节 XSS与CSRF
第3节 ClickJacking
第4节 浏览器与扩展安全
第5节 案例分析
第三章 Web服务器端安全 10学时 刘潮歌
第1节 SQL注入
第2节 文件上传与文件包含
第3节 XXE与SSRF
第4节 身份认证与访问控制
第5节 案例分析
第四章 Web安全实践
第1节 CTF之Web安全中期考核、课堂分享 2学时 刘潮歌
第2节 CTF之Web安全期末考核、课堂分享 2学时 刘潮歌
第3节 优秀大作业课堂分享一 2学时 刘潮歌
第4节 优秀大作业课堂分享二 2学时 刘奇旭
第5节 课程复习 2学时 刘奇旭
第6节 考前答疑 2学时 刘奇旭

刘奇旭，男，博士、博士生导师，课程首席教授。中国科学院信息工程研究所研究员、第六研究室G5群组(Web安全与溯源取证研究群组)组长，中国科学院大学岗位教授。中国科学院青年创新促进会会员，中国科学院朱李月华优秀教师。围绕Web安全、恶意代码分析、威胁检测与防御、追踪溯源等网络攻防技术开展研究，在CCS、RAID、DSN等重要国际会议或期刊发表学术论文多篇，曾获省部级科技进步一等奖2项、二等奖1项。国家关键信息基础设施网络攻防实战演习裁判，“天府杯”国际网络安全大赛裁判，全国高校网安联赛(X-NUCA)技术委员会委员。任《Web安全技术》和《Web追踪前沿》课程首席教授。以培养攻防兼备实战型人才为目标，指导的学生获得多个实战类攻防演练大赛一等奖。

刘潮歌，男，博士、硕士生导师，课程主讲教师。中国科学院信息工程研究所副研究员。2016~2018年任《Web安全技术》课程主讲教师；主要从事恶意代码原理、网络攻击追踪溯源和Web安全方向的研究工作，主持国家自然科学基金1项，参与科技部863课题/重点研发计划、国家自然科学基金、基础加强计划多项，在等国内外重要会议或期刊上发表论文20余篇。注重安全理论与攻防实践的结合，多次一线参与处置网络安全突发事件以及网络安全专项任务。