Web安全技术

课程编码：1802030839X5P3001H 英文名称：Web Security 课时：40 学分：2.00 课程属性：专业课 主讲教师：刘奇旭等

本课程是网络空间安全专业和相关学科研究生的专业课，将从基本概念原理、关键技术与实现方法，以及Web安全技术实践等三个层面进行授课讲解。基本概念原理、关键技术与实现方法，注重专业基础知识和基本技能的讲授；Web安全技术实践，关注近期国内外热点Web安全事件，同时开展Web攻防对抗实训。通过本课程的学习，希望学生掌握Web安全基本概念、原理和关键技术，了解典型Web安全事件的原理及解决方案，并培养学生的Web安全技术实践能力。

无

第一章 基础知识
第1节 绪论 4学时 刘奇旭
第2节 Web的简明历史 1学时 刘玉岭
第3节 同源策略 1学时 刘奇旭
第4节 HTTP与Cookie 2学时 刘奇旭
第二章 Web客户端安全
第1节 OWASP Top Ten 2学时 刘奇旭
第2节 XSS与CSRF 2学时 刘奇旭
第3节 ClickJacking 2学时 刘奇旭
第4节 浏览器与扩展安全 2学时 刘奇旭
第5节 案例分析 2学时 刘玉岭
第三章 Web服务器端安全
第1节 SQL注入 2学时 刘奇旭
第2节 文件上传与文件包含 2学时 刘奇旭
第3节 XXE与SSRF 2学时 刘奇旭
第4节 身份认证与访问控制 2学时 刘玉岭
第5节 案例分析 2学时 刘玉岭
第四章 Web安全实践
第1节 CTF之Web安全中期考核、课堂分享 2学时 刘奇旭
第2节 CTF之Web安全期末考核、课堂分享 2学时 刘奇旭
第3节 优秀大作业课堂分享一 2学时 刘奇旭
第4节 优秀大作业课堂分享二 2学时 刘玉岭
第5节 课程复习 2学时 刘奇旭
第6节 考前答疑 2学时 刘玉岭

刘奇旭，男，博士、博士生导师，课程首席教授。中国科学院信息工程研究所研究员、第六研究室G5群组(Web安全与溯源取证研究群组)组长，中国科学院大学岗位教授。中国科学院青年创新促进会会员，中国科学院朱李月华优秀教师。围绕Web安全、恶意代码分析、威胁检测与防御、追踪溯源等网络攻防技术开展研究，在CCS、RAID、DSN等重要国际会议或期刊发表学术论文多篇，曾获省部级科技进步一等奖2项、二等奖1项。国家关键信息基础设施网络攻防实战演习裁判，“天府杯”国际网络安全大赛裁判，全国高校网安联赛(X-NUCA)技术委员会委员。任《Web安全技术》和《Web追踪前沿》课程首席教授。以培养攻防兼备实战型人才为目标，指导的学生获得多个实战类攻防演练大赛一等奖。
刘玉岭，中国科学院信息工程研究所正高级工程师/博士生导师，中国科学院大学岗位教授，网络安全防护技术北京市重点实验室总工。近五年，主持承担了国家重点研发计划项目/课题、“十三五”装备预研领域基金、公安部、国家保密局、海关总署、中科院等项目20余项，技术成果已在多家络安全主管部委以及海关、电力等国家关基行业实战化部署应用，多次获得网络安全主管机构书面感谢和表扬。在国科大讲授《网络空间安全态势感知》、《网络安全数据分析基础》、《文献阅读》等课程；在CCF推荐的学术期刊和会议上发表论文30余篇，多次或得国内外学术会议优秀论文，授权发明专利20项，参与制定国家/行业标准20余项。获得中国通信学会科技进步一等奖、市场监管科研成果二等奖等奖励。