Web安全漏洞及代码审计（第2版）（微课版）备课教案 第十六章 靶机框架漏洞与审计.docx

《Web安全漏洞及代码审计（第2版）（微课版）》课程教案

课题：靶机框架漏洞与审计

教学目的：

知识目标：掌握主流Web框架（如Spring、Struts2、ThinkPHP、Django、Flask等）常见漏洞的产生机制，包括反序列化、表达式注入、模板注入、权限绕过等漏洞原理。学习框架漏洞的多种攻击手法，包括反序列化利用链构造、OGNL表达式注入、模板注入绕过、中间件解析漏洞等攻击技巧。掌握框架漏洞的修复方案，包括框架版本升级、安全配置、输入过滤、权限控制等核心防御措施。

能力目标：通过靶机环境实践，培养发现、验证和利用框架漏洞的实际操作能力，掌握ysoserial、phpggc、B