logo
COMP33202 学分

漏洞评估与渗透测试

昆士兰大学·University of Queensland·布里斯班

COMP3320《漏洞评估与渗透测试》是 昆士兰大学 的公开课程页面。当前可确认的信息包括 2 学分,难度 难,公开通过率 70%。 页面已整理 12 周教学安排,4 个重点考核,方便你快速判断工作量、考核结构和适配度。 课程简介摘要:课程定位 COMP3320(Vulnerability Assessment and Penetration Testing)是 UQ 课程。

💪 压力
4 / 5
⭐ 含金量
5 / 5
✅ 通过率
0%
打开官方页面 →返回课程列表

📖 课程概览

选课速读: COMP3320《漏洞评估与渗透测试》是 昆士兰大学 的公开课程页面。当前可确认的信息包括 2 学分,难度 难,公开通过率 70%。 页面已整理 12 周教学安排,4 个重点考核,方便你快速判断工作量、考核结构和适配度。 课程简介摘要:课程定位 COMP3320(Vulnerability Assessment and Penetration Testing)是 UQ 课程。
### 课程定位 COMP3320(Vulnerability Assessment and Penetration Testing)是 UQ 课程体系中兼顾理论与实践的一门难课程,核心目标是把“会看懂”升级为“会分析、会实现、会解释”。课程通常承担承上启下作用:前接基础概念,后接更高阶专题或项目。对准备走软件、数据、工程或研究路径的同学来说,这类课程的价值不只在分数,更在于建立可迁移的方法框架和稳定交付能力。 ### 技术栈与学习内容 学习内容通常覆盖该方向的关键概念、方法与工具链,并通过练习或作业落实到具体场景。常见会使用 Python、R、MATLAB、C/C++ 或课程指定软件(以官方课纲为准)。课程强调的不只是“得到答案”,还包括假设条件、步骤完整性、结果解释与复现性。也就是说,你需要同时训练知识准确度、实现质量和表达清晰度。 ### 课程结构 课程一般按周推进,前段搭建概念框架,中段进入题型训练与案例应用,后段做综合整合与评估冲刺。考核常见组合为 Quiz/Lab、作业、报告和期末评估。评分不仅看正确率,也看分析逻辑、书写/代码规范与结论表达。多数同学真正拉开差距的阶段在中后期:是否能持续输出,而不是临近截止日突击。 ### 适合人群 适合希望夯实底层能力、提升问题拆解与建模能力、并改善学术或工程表达的同学。若你计划继续修读高阶课程,或希望在实习与求职中提升“把事

🧠 大神解析

### 📊 课程难度与压力分析 COMP3320(Vulnerability Assessment and Penetration Testing)整体难度可归为难,压力通常在 Week 4-6 开始明显上升。前几周常给人“内容可控”的错觉,但中期后任务会从单点知识转向综合应用,作业、实验和复习节奏容易叠加。与同级课程相比,这门课更强调持续输出和过程质量,而不是只靠一次考试逆转。所谓 Quit Week 往往发生在第一次高权重作业返分后,如果没有及时复盘,后续会持续被动。期末季最痛苦的不是题量本身,而是前期积压导致可用时间被压缩。 ### 🎯 备考重点与高分策略 建议优先掌握 7 个高频点:1)核心定义与适用边界;2)标准题型步骤;3)复杂度或方法选择依据;4)边界条件与异常场景处理;5)结果解释与误差来源;6)跨章节综合题;7)时间分配与答题顺序。HD 与 Pass 的差距常在“解释能力”:高分答案不仅写对,还能说明为什么这样做。备考可采用三段法:先补概念漏洞,再集中刷高错率题型,最后做限时模拟并专门检查表达完整性。每次复习都要保留“错因记录”,避免重复犯错。 ### 📚 学习建议与资源推荐 学习顺序建议是:先看课程目标与评分标准,再看 lecture,再做 tutorial/lab,最后写周复盘。资源方面优先使用官方课件、Course Profile、Ed/讨论区答疑;外部可补充 YouTube 对应专题、MIT OCW/Khan Academy、可视化工具与开源示例。实操上,建议每周至少做一次“旧题重做 + 解法重构”,把能做出来升级成可复现、可讲解、可迁移。不要只收藏资料不落地,关键在固定节奏输出。 ### ⚠️ 作业与 Lab 避坑指南 常见扣分点包括:步骤不完整、边界用例遗漏、复杂度分析没写、格式规范不达标、提交前未做自测。建议采用截止日三段节奏:D-7 完成主体,D-3 完成全量测试与互查,D-1 只做格式与表达校对。若课程使用自动评分系统,必须先本地构建最小回归测试,避免“样例通过但隐藏用例失败”。合作讨论要守住学术诚信边界:可讨论思路,不可共享可提交成品。 ### 💬 过来人经验分享 我最开始把这类课当成“考前冲刺型”,结果一到中后期连续 deadline,整个人被动得很。后来改成固定节奏后明显稳了:周初梳理概念,周中完成第一版,周末只做错题复盘和重构。最有用的习惯是每次作业后写一张“失分清单”,下次开工前先看,能减少很多重复错误。给新同学一句实话:别等完全准备好再开始,先交付可运行第一版,再迭代到高质量,你会轻松很多。

📅 每周课程大纲

Week 1Introduction to Cybersecurity Assessment
### 🔐 核心知识点:网络安全评估概论 本周建立 vulnerability assessment 和 penetration testing 的全局框架。理解合法与非法安全测试的边界。 - **核心概念**: Vulnerability assessment vs penetration testing, security assessment lifecycle, legal and ethical frameworks (Computer Fraud Act, ethical hacking rules of engagement), responsible disclosure, CVE database, CVSS scoring system ⏰ **本周节奏**: 难度 ⭐⭐ | 预计投入 8h(Lecture 2h + Practical 2h + 自学 2h + 工具安装 2h) 🎯 **考试关联**: 安全评估方法论和法律框架是 Final Exam 基础内容 🧪 **Practical**: 搭建 Kali Linux 虚拟机环境,熟悉基本工具(nmap, Wireshark, Burp Suite) 📌 **作业关联**: Assignment 1 通常是完整的 vulnerability assessment 报告 ⚠️ **易错点**: 未经授权的渗透测试是违法的 — 即使是 "善意" 的;scope 和 rules of engagement 必须明确 (数据来源:2026 S1 UQ Handbook)
Vulnerability assessment vs penetration testingsecurity assessment lifecyclelegal and ethical frameworks (Computer Fraud Actethical hacking rules of engagement)responsible disclosure
💡 学习提示
请详细解释 COMP3320 中 "Introduction to Cybersecurity Assessment" 的核心概念
Introduction to Cybersecurity Assessment 的常见考题有哪些?
Introduction to Cybersecurity Assessment 有哪些实际应用?
Week 2Information Gathering & Reconnaissance
### 🔍 核心知识点:信息收集与侦察 本周学习渗透测试的第一阶段 — 信息收集。好的 recon 决定攻击的成功率。 - **核心概念**: Passive recon (OSINT, WHOIS, DNS enumeration, Google dorking, Shodan), active recon (port scanning, service detection), footprinting vs fingerprinting, nmap scan types (-sS, -sV, -O, -A), network mapping ⏰ **本周节奏**: 难度 ⭐⭐⭐ | 预计投入 9h(Lecture 2h + Practical 2h + 自学 3h + 工具实操 2h) 🎯 **考试关联**: Nmap 扫描类型和 recon 方法论是 Exam 高频考点 🧪 **Practical**: 对目标靶机进行完整 recon:DNS enum → port scan → service detection → OS fingerprint 📌 **作业关联**: Recon 结果是 vulnerability assessment 报告的第一部分 ⚠️ **易错点**: SYN scan (-sS) 和 TCP connect scan (-sT) 的区别(SYN 不完成三次握手);过度扫描可能触发 IDS 告警 (数据来源:2026 S1 UQ Handbook)
Passive recon (OSINTWHOISDNS enumerationGoogle dorkingShodan)
💡 学习提示
请详细解释 COMP3320 中 "Information Gathering & Reconnaissance" 的核心概念
Information Gathering & Reconnaissance 的常见考题有哪些?
Information Gathering & Reconnaissance 有哪些实际应用?
Week 3Host Vulnerability Scanning
### 🖥️ 核心知识点:主机漏洞扫描 本周学习自动化漏洞扫描工具的使用和结果分析。从扫描结果到可操作的安全建议。 - **核心概念**: Vulnerability scanners (Nessus, OpenVAS), scan configuration and policies, vulnerability classification (Critical/High/Medium/Low/Info), false positives vs false negatives, patch management, CVE/NVD databases, vulnerability report writing ⏰ **本周节奏**: 难度 ⭐⭐⭐ | 预计投入 9h(Lecture 2h + Practical 2h + 自学 3h + 报告写作 2h) 🎯 **考试关联**: 漏洞分类和 CVSS 评分标准是 Exam 内容 🧪 **Practical**: 用 Nessus/OpenVAS 扫描靶机,分析结果,识别 false positives,编写扫描报告 📌 **作业关联**: Assignment 1 需要包含完整的漏洞扫描分析 ⚠️ **易错点**: 漏洞扫描器的结果不能盲信 — 必须手动验证 Critical/High 漏洞;扫描可能导致服务崩溃 (数据来源:2026 S1 UQ Handbook)
Vulnerability scanners (NessusOpenVAS)scan configuration and policiesvulnerability classification (Critical/High/Medium/Low/Info)false positives vs false negatives
💡 学习提示
请详细解释 COMP3320 中 "Host Vulnerability Scanning" 的核心概念
Host Vulnerability Scanning 的常见考题有哪些?
Host Vulnerability Scanning 有哪些实际应用?
Week 4Network Penetration Testing
### 🌐 核心知识点:网络渗透测试 本周进入实际的渗透测试技术。学习网络层面的攻击手法和防御措施。 - **核心概念**: Network attacks (ARP spoofing, MITM, DNS poisoning), Metasploit framework, exploit selection and execution, payload types (reverse shell, meterpreter), post-exploitation basics, network segmentation bypass ⏰ **本周节奏**: 难度 ⭐⭐⭐⭐ | 预计投入 10h(Lecture 2h + Practical 2h + 自学 3h + 实操练习 3h)🔥 核心技术周 🎯 **考试关联**: Metasploit 的使用流程和网络攻击类型分类是 Exam 重点 🧪 **Practical**: 用 Metasploit 对靶机执行完整渗透:recon → exploit → payload → post-exploitation 📌 **作业关联**: Assignment 中需要展示完整的渗透测试过程和证据 ⚠️ **易错点**: 选错 payload 架构(x86 vs x64)导致 exploit 失败;reverse shell 需要攻击机监听端口 (数据来源:2026 S1 UQ Handbook)
Network attacks (ARP spoofingMITMDNS poisoning)Metasploit frameworkexploit selection and execution
💡 学习提示
请详细解释 COMP3320 中 "Network Penetration Testing" 的核心概念
Network Penetration Testing 的常见考题有哪些?
Network Penetration Testing 有哪些实际应用?
Week 5Software Vulnerability Analysis
### 💻 核心知识点:软件漏洞分析 本周学习应用层面的漏洞类型和利用技术。从 buffer overflow 到 format string 攻击。 - **核心概念**: Buffer overflow (stack-based, heap-based), format string vulnerabilities, use-after-free, integer overflow, ASLR/DEP/Stack Canaries bypass techniques (概念), static analysis tools, fuzzing basics ⏰ **本周节奏**: 难度 ⭐⭐⭐⭐⭐ | 预计投入 11h(Lecture 2h + Practical 2h + 自学 4h + exploit 编写 3h)🔥 高难度周 🎯 **考试关联**: Buffer overflow 的原理和防御机制是 Exam 必考内容 🧪 **Practical**: 分析一个有 buffer overflow 漏洞的 C 程序,编写 exploit 获取 shell 📌 **作业关联**: Assignment 可能要求分析和利用软件漏洞 ⚠️ **易错点**: 现代系统有 ASLR+DEP+Canary 多层防御;exploit 开发需要精确计算 offset 和 payload 大小 (数据来源:2026 S1 UQ Handbook)
Buffer overflow (stack-basedheap-based)format string vulnerabilitiesuse-after-freeinteger overflow
💡 学习提示
请详细解释 COMP3320 中 "Software Vulnerability Analysis" 的核心概念
Software Vulnerability Analysis 的常见考题有哪些?
Software Vulnerability Analysis 有哪些实际应用?
Week 6Web Application Security Testing
### 🌍 核心知识点:Web 应用安全测试 本周学习 Web 应用最常见的漏洞类型(OWASP Top 10)和测试方法。Web 安全是当前最需要的安全技能之一。 - **核心概念**: OWASP Top 10 (Injection, XSS, CSRF, SSRF, Broken Auth), SQL injection types (Union, Blind, Error-based), Cross-Site Scripting (Reflected, Stored, DOM-based), Burp Suite (Proxy, Intruder, Repeater), SQLMap ⏰ **本周节奏**: 难度 ⭐⭐⭐⭐ | 预计投入 10h(Lecture 2h + Practical 2h + 自学 3h + Web 攻防练习 3h) 🎯 **考试关联**: OWASP Top 10 和 SQL injection / XSS 的原理是 Exam 高频考点 🧪 **Practical**: 用 Burp Suite 对 DVWA/WebGoat 靶场进行完整 Web 安全测试 📌 **作业关联**: Web 安全测试是 Assignment 的重要组成部分 ⚠️ **易错点**: Blind SQL injection 比 Error-based 更常见但更难检测;XSS payload 被 WAF 过滤时需要编码绕过 (数据来源:2026 S1 UQ Handbook)
OWASP Top 10 (InjectionXSSCSRFSSRFBroken Auth)
💡 学习提示
请详细解释 COMP3320 中 "Web Application Security Testing" 的核心概念
Web Application Security Testing 的常见考题有哪些?
Web Application Security Testing 有哪些实际应用?
Week 7Authentication & Session Attacks
### 🔑 核心知识点:认证与会话攻击 本周聚焦 Web 应用的认证和会话管理漏洞。这是获取未授权访问的最常见途径。 - **核心概念**: Authentication bypass techniques, session hijacking, session fixation, cookie security (HttpOnly, Secure, SameSite), JWT vulnerabilities, password attacks (brute force, dictionary, credential stuffing), OAuth/OpenID flaws ⏰ **本周节奏**: 难度 ⭐⭐⭐⭐ | 预计投入 10h(Lecture 2h + Practical 2h + 自学 3h + 实操 3h) 🎯 **考试关联**: Session 攻击类型和 cookie 安全属性是 Exam 常考内容 🧪 **Practical**: 用 Burp Suite 拦截和修改 session tokens;演示 session hijacking 攻击 📌 **作业关联**: 认证测试是渗透测试报告的标准章节 ⚠️ **易错点**: JWT 的 alg=none 攻击在旧库中有效;HttpOnly 防 XSS 读 cookie 但不防 CSRF (数据来源:2026 S1 UQ Handbook)
Authentication bypass techniquessession hijackingsession fixationcookie security (HttpOnlySecure
💡 学习提示
请详细解释 COMP3320 中 "Authentication & Session Attacks" 的核心概念
Authentication & Session Attacks 的常见考题有哪些?
Authentication & Session Attacks 有哪些实际应用?
Week 8Mobile Application Security
### 📱 核心知识点:移动应用安全 本周扩展到移动平台安全。Android 和 iOS 应用有独特的攻击面和安全模型。 - **核心概念**: OWASP Mobile Top 10, Android app analysis (APK decompilation, jadx, Frida), iOS security model, insecure data storage, certificate pinning bypass, API key extraction, mobile traffic interception ⏰ **本周节奏**: 难度 ⭐⭐⭐⭐ | 预计投入 10h(Lecture 2h + Practical 2h + 自学 3h + Mobile 分析 3h) 🎯 **考试关联**: Mobile 安全模型和常见漏洞类型是 Exam 内容 🧪 **Practical**: 反编译一个 Android APK,提取硬编码 API keys,分析不安全的数据存储 📌 **作业关联**: Mobile 安全测试可能是 Assignment 的一部分 ⚠️ **易错点**: root/jailbreak 检测不等于安全(可以用 Frida hook 绕过);HTTPS 不等于安全(证书验证可以被绕过) (数据来源:2026 S1 UQ Handbook)
OWASP Mobile Top 10Android app analysis (APK decompilationjadxFrida)iOS security model
💡 学习提示
请详细解释 COMP3320 中 "Mobile Application Security" 的核心概念
Mobile Application Security 的常见考题有哪些?
Mobile Application Security 有哪些实际应用?
Week 9Privilege Escalation & Post-Exploitation
### ⬆️ 核心知识点:权限提升与后渗透 本周学习获得初始访问后如何提升权限和深入目标系统。从 low-privilege shell 到 root/admin。 - **核心概念**: Linux privilege escalation (SUID, kernel exploits, misconfigured services, cron jobs), Windows privilege escalation (unquoted paths, DLL hijacking, token impersonation), lateral movement, persistence techniques, data exfiltration ⏰ **本周节奏**: 难度 ⭐⭐⭐⭐⭐ | 预计投入 11h(Lecture 2h + Practical 2h + 自学 3h + CTF 练习 4h)🔥 高难度周 🎯 **考试关联**: 权限提升方法分类和检测手段是 Exam 重要考点 🧪 **Practical**: 在 CTF 环境中完成从 user 到 root 的权限提升链 📌 **作业关联**: Assignment 要求展示完整的 post-exploitation 过程 ⚠️ **易错点**: SUID binary 不一定能提权 — 要看它是否调用了不安全的函数;Windows 路径空格问题需要精确构造 (数据来源:2026 S1 UQ Handbook)
Linux privilege escalation (SUIDkernel exploitsmisconfigured servicescron jobs)Windows privilege escalation (unquoted paths
💡 学习提示
请详细解释 COMP3320 中 "Privilege Escalation & Post-Exploitation" 的核心概念
Privilege Escalation & Post-Exploitation 的常见考题有哪些?
Privilege Escalation & Post-Exploitation 有哪些实际应用?
Week 10Wireless Network Security
### 📡 核心知识点:无线网络安全 本周学习无线网络的安全评估。Wi-Fi 协议的安全演进和常见攻击手法。 - **核心概念**: WEP/WPA/WPA2/WPA3 protocols, 4-way handshake capture, dictionary/brute force attacks on WPA2, deauthentication attacks, evil twin AP, Aircrack-ng suite, Bluetooth security (概念), wireless IDS ⏰ **本周节奏**: 难度 ⭐⭐⭐ | 预计投入 9h(Lecture 2h + Practical 2h + 自学 3h + 实操 2h) 🎯 **考试关联**: Wi-Fi 协议安全对比和 WPA2 攻击流程是 Exam 考点 🧪 **Practical**: 用 Aircrack-ng 捕获 WPA2 handshake 并尝试字典攻击(在授权环境中) 📌 **作业关联**: 无线安全评估可能是 Assignment 的一个章节 ⚠️ **易错点**: WPA3 的 SAE 协议解决了 WPA2 的离线字典攻击问题;未经授权监听 Wi-Fi 流量是违法的 (数据来源:2026 S1 UQ Handbook)
WEP/WPA/WPA2/WPA3 protocols4-way handshake capturedictionary/brute force attacks on WPA2deauthentication attacksevil twin AP
💡 学习提示
请详细解释 COMP3320 中 "Wireless Network Security" 的核心概念
Wireless Network Security 的常见考题有哪些?
Wireless Network Security 有哪些实际应用?
Week 11Report Writing & Remediation
### 📝 核心知识点:安全报告撰写与修复建议 本周学习渗透测试的最终产出 — 专业安全评估报告。一份好的报告比技术本身更重要。 - **核心概念**: Penetration testing report structure (Executive Summary, Methodology, Findings, Risk Rating, Remediation), risk communication to non-technical stakeholders, CVSS scoring in reports, remediation prioritization, compliance frameworks (PCI DSS, ISO 27001 概念) ⏰ **本周节奏**: 难度 ⭐⭐⭐ | 预计投入 9h(Lecture 2h + Practical 2h + 自学 2h + 报告撰写 3h) 🎯 **考试关联**: 报告结构和 risk communication 是 Exam 概念题 🧪 **Practical**: 将之前所有实操结果整理成一份完整的渗透测试报告 📌 **作业关联**: Assignment 最终提交需要包含专业的安全评估报告 ⚠️ **易错点**: Executive Summary 不要有技术术语 — 给管理层看的;每个漏洞必须有可操作的修复建议,不只是 "修复此漏洞" (数据来源:2026 S1 UQ Handbook)
Penetration testing report structure (Executive SummaryMethodologyFindingsRisk RatingRemediation)
💡 学习提示
请详细解释 COMP3320 中 "Report Writing & Remediation" 的核心概念
Report Writing & Remediation 的常见考题有哪些?
Report Writing & Remediation 有哪些实际应用?
Week 12Advanced Topics & Exam Review
### 🔮 核心知识点:高级话题与考试复习 最后一周覆盖新兴安全话题并系统复习全课程内容。 - **核心概念**: Cloud security assessment, container security, API security testing, AI-powered security tools, bug bounty programs, career paths in cybersecurity (红队/蓝队/紫队), comprehensive course review ⏰ **本周节奏**: 难度 ⭐⭐⭐ | 预计投入 10h(Lecture 2h + Practical 2h + 复习 6h)📝 复习周 🎯 **考试关联**: Final Exam 覆盖全部 12 周。重点:recon 方法、OWASP Top 10、渗透测试流程、漏洞分类、报告撰写规范 🧪 **Practical**: 模拟考题练习;回顾所有实操笔记 📌 **作业关联**: 所有 assignments 在考前完成 ⚠️ **易错点**: Exam 不只考 "怎么攻击",还考 "怎么防御" 和 "怎么报告"。三个方面都要复习 (数据来源:2026 S1 UQ Handbook)
Cloud security assessmentcontainer securityAPI security testingAI-powered security toolsbug bounty programs
💡 学习提示
请详细解释 COMP3320 中 "Advanced Topics & Exam Review" 的核心概念
Advanced Topics & Exam Review 的常见考题有哪些?
Advanced Topics & Exam Review 有哪些实际应用?

📋 作业拆解

Assignment 1: Core Implementation

30h
核心考察
从需求拆解到可运行原型,重视代码风格和边界处理。
COMP3320 Vulnerability Assessment and Penetration Testing 的核心模块实现与单元测试。
要求
提交可运行代码、README、关键设计说明。

Assignment 2: Integrated Project

40h
核心考察
模块协作、性能/安全/可维护性权衡、测试覆盖。
完成一个综合项目或系统扩展,并进行结果验证。
要求
包含测试证据、架构说明、复盘文档。

🕐 课表安排

2026 S1 学期课表 · 每周 2 小时

Lecture
Thu09:00 (120)📍 42-115 - Prentice Building
👤 讲师:Ross, David✉️ dross@eecs.uq.edu.au

📋 课程信息

学分
2 Credit Points
含金量
5 / 5
压力指数
4 / 5
课程类型
elective
期中考试
2001年7月1日

💬 学生评价

💭

还没有同学评价这门课,成为第一个分享体验的人吧

写点评

📊 课程画像

压力4 / 5
含金量5 / 5

🏛️ 学校简介

昆士兰大学
布里斯班
牛小匠 Chrome 插件
打开 LMS 自动识别课程,截图问 AI,代码 Debug,Assignment 拆解
✓ 免费安装
牛小匠

🔗 快捷入口

牛小匠 AI 工具
AI 辅导、Assignment 拆解、Debug 辅助
浏览同校课程
横向比较 workload 和考核结构
大学主页
学校介绍、申请信息
申请攻略
专业方向申请决策
新生入学指南
落地和入学准备