ASP.NET安全编程入门经典
- 编程
- Microsoft
- Microsoft
- asp.net
- asp.net
- asp.net
- asp.net
- asp.net
- silverlight
- silverlight
- silverlight
- WCF
- WCF
原书名:Beginning ASP.NET Security
作者: (英)Barry Dorrans
译者: 臧国轻
出版社:清华大学出版社
ISBN:9787302263746
上架时间:2011-12-28
出版日期:2011 年11月
开本:16开
页码:381
版次:1-1
样章试读:http://product.china-pub.com/58819
内容简介:
《ASP.NET安全编程入门经典》适合ASP.NET初学者和中级水平的ASP.NET编程人员阅读,本书为保护ASP.NET开发的每个领域提供了逐步的解决方案,而不是从理论上来解决安全问题。作为Microsoft MVP的Barry Dorrans向您说明了日常代码如何被攻击的示例,并描述了防御攻击的几个必要步骤。此外,您还将学习如何使用Microsoft和其他供应商提供的.NET 框架、产业模式、最佳实践、代码库和资源来保护您的应用程序。
目录
《asp.net安全编程入门经典》
第1章 web安全的重要性 1
1.1 案例解析 1
1.2 风险与回报 4
1.3 构建安全体系 5
1.3.1 分层防御 6
1.3.2 不存在可信任的输入数据 7
1.3.3 关注错误提醒 7
1.3.4 监视攻击 7
1.3.5 使用最小特权 7
1.3.6 防火墙和加密不能确保安全 8
1.3.7 安全应该是默认状态 8
1.3.8 代码防御 8
1.4 owasp中的十大安全隐患 9
1.5 进一步学习 10
1.6 本章小结 10
第i部分 asp.net安全基础
第2章 web工作原理 13
2.1 深入理解http 13
2.1.1 请求资源 14
第1章 web安全的重要性 1
1.1 案例解析 1
1.2 风险与回报 4
1.3 构建安全体系 5
1.3.1 分层防御 6
1.3.2 不存在可信任的输入数据 7
1.3.3 关注错误提醒 7
1.3.4 监视攻击 7
1.3.5 使用最小特权 7
1.3.6 防火墙和加密不能确保安全 8
1.3.7 安全应该是默认状态 8
1.3.8 代码防御 8
1.4 owasp中的十大安全隐患 9
1.5 进一步学习 10
1.6 本章小结 10
第i部分 asp.net安全基础
第2章 web工作原理 13
2.1 深入理解http 13
2.1.1 请求资源 14
.2.1.2 请求响应 15
2.1.3 嗅探http请求和响应 17
2.2 理解html表单 18
2.3 asp.net的工作原理 27
2.3.1 理解asp.net事件的工作原理 27
2.3.2 检查asp.net管道 31
2.3.3 编写http模块 31
2.4 本章小结 34
第3章 安全接受用户输入 35
3.1 定义输入 35
3.2 安全处理输入 36
3.2.1 安全应答用户输入 37
3.2.2 缓解xss攻击 41
3.2.3 microsoft anti-xss库 43
3.2.4 限制输入 45
3.2.5 保护cookie 48
3.3 验证表单输入 49
3.3.1 验证控件 51
3.3.2 标准的asp.net验证控件 52
3.4 本章小结 59
第4章 查询字符串、表单域、事件和浏览器信息的用法 61
4.1 使用合适的输入类型 61
4.2 查询字符串 62
4.3 表单域 63
4.4 避免请求伪造 64
4.5 保护asp.net事件 76
4.6 避免浏览器信息错误 78
4.7 本章小结 80
第5章 控制信息 81
5.1 控制viewstate 81
5.1.1 验证viewstate 83
5.1.2 加密viewstate 85
5.1.3 保护viewstate避免一键攻击 85
5.1.4 从客户端页面中删除viewstate 87
5.1.5 禁用浏览器缓存 88
5.2 错误处理和日志记录 88
5.2.1 改善错误处理 90
5.2.2 注意特殊异常 91
5.2.3 记录错误和监视应用程序 91
5.3 限制搜索引擎 104
5.3.1 使用元标记控制机器人 105
5.3.2 使用robots.txt文件控制机器人 105
5.4 保护配置文件中的密码 106
5.5 本章小结 108
第6章 散列和加密 109
6.1 使用散列保护完整性 110
6.1.1 选择散列算法 110
6.1.2 保护散列密码 112
6.2 加密数据 115
6.2.1 对称加密 116
6.2.2 使用非对称加密来共享数据 123
6.2.3 使用windows dpapi 138
6.3 本章小结 139
第ii部分 保护常见的asp.net任务
第7章 添加用户名和密码 143
7.1 身份验证和授权 144
7.2 发现您自己的身份 144
7.3 添加asp.net身份验证 146
7.3.1 表单身份验证 146
7.3.2 windows身份验证 157
7.4 asp.net授权 161
7.4.1 检查[allow]和[deny]元素 162
7.4.2 基于角色授权 163
7.4.3 限制访问文件或者文件夹的权限 168
7.4.4 以编程方式检查用户和角色 171
7.5 本章小结 171
第8章 安全访问数据库 173
8.1 糟糕代码:演示sql注入攻击 174
8.2 修补漏洞 179
8.3 更多sql server安全措施 182
8.3.1 没有密码的连接 183
8.3.2 sql权限 184
8.3.3 使用视图 186
8.3.4 sql express用户实例 187
8.3.5 内置web server的缺点 188
8.3.6 动态sql存储过程 188
8.3.7 使用sql加密 189
8.4 本章小结 193
第9章 使用文件系统 195
9.1 安全访问现有的文件 195
9.1.1 静态文件的安全性 201
9.1.2 文件下载和设置文件名 204
9.1.3 更深入的文件访问检查 204
9.1.4 访问远程文件 206
9.2 安全创建文件 206
9.3 处理用户上传文件 209
9.4 本章小结 212
第10章 保护xml 213
10.1 验证xml 213
10.1.1 格式良好的xml 213
10.1.2 有效的xml 214
10.1.3 xml解析器 215
10.2 查询xml 222
10.3 保护xml文档 225
10.3.1 加密xml文档 226
10.3.2 签名xml文档 234
10.4 本章小结 240
第iii部分 asp.net高级内容
第11章 与wcf共享数据 243
11.1 创建和使用wcf服务 243
11.2 wcf的安全和隐秘性 247
11.2.1 传输安全模式 247
11.2.2 消息安全模式 248
11.2.3 混合模式 249
11.2.4 选择安全模式 249
11.2.5 选择客户端凭据 249
11.3 增加internet服务的安全性 250
11.4 使用wcf签名消息 261
11.5 wcf的日志和审计功能 265
11.6 使用检查器来验证参数 267
11.7 使用消息检查器 269
11.8 在wcf中抛出错误 273
11.9 本章小结 274
第12章 保护ria 277
12.1 ria体系结构 278
12.2 ajax应用程序的安全性 278
12.2.1 xmlhttprequest对象 279
12.2.2 ajax同源策略 280
12.2.3 microsoft asp.net ajax架构 281
12.3 silverlight应用程序的安全性 289
12.3.1 coreclr安全模型 289
12.3.2 使用html bridge 291
12.3.3 访问本地文件系统 295
12.3.4 在silverlight中使用加密算法 297
12.3.5 使用silverlight访问web和web服务 300
12.4 在ajax和silverlight中使用asp.net身份验证和授权 301
12.5 本章小结 302
第13章 代码访问安全性 303
13.1 代码访问安全性 303
13.1.1 asp.net信任级别 305
13.1.2 .net 4新特性 314
13.2 本章小结 315
第14章 保护iis 317
14.1 安装和配置iis 7 317
14.1.1 iis角色服务 319
14.1.2 创建和配置应用程序池 322
14.1.3 在iis中配置信任级别 324
14.2 过滤请求 326
14.2.1 过滤双重编码请求 327
14.2.2 使用非ascii字符过滤请求 327
14.2.3 以文件扩展名为基础过滤请求 327
14.2.4 以请求大小为基础过滤请求 328
14.2.5 以http动词为基础过滤请求 328
14.2.6 以url序列为基础过滤请求 329
14.2.7 以请求段为基础过滤请求 329
14.2.8 以请求头文件为基础过滤请求 329
14.2.9 拒绝请求的状态码 330
14.3 使用log parser挖掘iis日志文件 330
14.4 使用证书 336
14.4.1 请求ssl证书 337
14.4.2 配置站点以使用https 339
14.4.3 建立测试ca 339
14.5 本章小结 341
第15章 第三方身份验证 343
15.1 联合身份简史 343
15.2 使用wif接收saml和information card 346
15.2.1 创建一个声明感知web站点 347
15.2.2 接受information card 349
15.2.3 使用声明身份 357
15.3 在web站点中使用openid 358
15.4 在web站点中使用windows live id 363
15.5 表单身份验证与第三方身份验证集成策略 366
15.6 本章小结 367
第16章 asp.net mvc架构安全开发 369
16.1 mvc输入和输出 370
16.1.1 避免xss攻击 370
16.1.2 避免csrf攻击 371
16.1.3 保护模型绑定 371
16.1.4 模型验证和错误消息 373
16.2 asp.net mvc身份验证和授权 375
16.2.1 授权操作和控制器 376
16.2.2 保护公共控制器方法 377
16.2.3 发现当前用户 377
16.2.4 使用授权过滤器自定义授权 378
16.3 错误处理 379
16.4 本章小结 381
2.1.3 嗅探http请求和响应 17
2.2 理解html表单 18
2.3 asp.net的工作原理 27
2.3.1 理解asp.net事件的工作原理 27
2.3.2 检查asp.net管道 31
2.3.3 编写http模块 31
2.4 本章小结 34
第3章 安全接受用户输入 35
3.1 定义输入 35
3.2 安全处理输入 36
3.2.1 安全应答用户输入 37
3.2.2 缓解xss攻击 41
3.2.3 microsoft anti-xss库 43
3.2.4 限制输入 45
3.2.5 保护cookie 48
3.3 验证表单输入 49
3.3.1 验证控件 51
3.3.2 标准的asp.net验证控件 52
3.4 本章小结 59
第4章 查询字符串、表单域、事件和浏览器信息的用法 61
4.1 使用合适的输入类型 61
4.2 查询字符串 62
4.3 表单域 63
4.4 避免请求伪造 64
4.5 保护asp.net事件 76
4.6 避免浏览器信息错误 78
4.7 本章小结 80
第5章 控制信息 81
5.1 控制viewstate 81
5.1.1 验证viewstate 83
5.1.2 加密viewstate 85
5.1.3 保护viewstate避免一键攻击 85
5.1.4 从客户端页面中删除viewstate 87
5.1.5 禁用浏览器缓存 88
5.2 错误处理和日志记录 88
5.2.1 改善错误处理 90
5.2.2 注意特殊异常 91
5.2.3 记录错误和监视应用程序 91
5.3 限制搜索引擎 104
5.3.1 使用元标记控制机器人 105
5.3.2 使用robots.txt文件控制机器人 105
5.4 保护配置文件中的密码 106
5.5 本章小结 108
第6章 散列和加密 109
6.1 使用散列保护完整性 110
6.1.1 选择散列算法 110
6.1.2 保护散列密码 112
6.2 加密数据 115
6.2.1 对称加密 116
6.2.2 使用非对称加密来共享数据 123
6.2.3 使用windows dpapi 138
6.3 本章小结 139
第ii部分 保护常见的asp.net任务
第7章 添加用户名和密码 143
7.1 身份验证和授权 144
7.2 发现您自己的身份 144
7.3 添加asp.net身份验证 146
7.3.1 表单身份验证 146
7.3.2 windows身份验证 157
7.4 asp.net授权 161
7.4.1 检查[allow]和[deny]元素 162
7.4.2 基于角色授权 163
7.4.3 限制访问文件或者文件夹的权限 168
7.4.4 以编程方式检查用户和角色 171
7.5 本章小结 171
第8章 安全访问数据库 173
8.1 糟糕代码:演示sql注入攻击 174
8.2 修补漏洞 179
8.3 更多sql server安全措施 182
8.3.1 没有密码的连接 183
8.3.2 sql权限 184
8.3.3 使用视图 186
8.3.4 sql express用户实例 187
8.3.5 内置web server的缺点 188
8.3.6 动态sql存储过程 188
8.3.7 使用sql加密 189
8.4 本章小结 193
第9章 使用文件系统 195
9.1 安全访问现有的文件 195
9.1.1 静态文件的安全性 201
9.1.2 文件下载和设置文件名 204
9.1.3 更深入的文件访问检查 204
9.1.4 访问远程文件 206
9.2 安全创建文件 206
9.3 处理用户上传文件 209
9.4 本章小结 212
第10章 保护xml 213
10.1 验证xml 213
10.1.1 格式良好的xml 213
10.1.2 有效的xml 214
10.1.3 xml解析器 215
10.2 查询xml 222
10.3 保护xml文档 225
10.3.1 加密xml文档 226
10.3.2 签名xml文档 234
10.4 本章小结 240
第iii部分 asp.net高级内容
第11章 与wcf共享数据 243
11.1 创建和使用wcf服务 243
11.2 wcf的安全和隐秘性 247
11.2.1 传输安全模式 247
11.2.2 消息安全模式 248
11.2.3 混合模式 249
11.2.4 选择安全模式 249
11.2.5 选择客户端凭据 249
11.3 增加internet服务的安全性 250
11.4 使用wcf签名消息 261
11.5 wcf的日志和审计功能 265
11.6 使用检查器来验证参数 267
11.7 使用消息检查器 269
11.8 在wcf中抛出错误 273
11.9 本章小结 274
第12章 保护ria 277
12.1 ria体系结构 278
12.2 ajax应用程序的安全性 278
12.2.1 xmlhttprequest对象 279
12.2.2 ajax同源策略 280
12.2.3 microsoft asp.net ajax架构 281
12.3 silverlight应用程序的安全性 289
12.3.1 coreclr安全模型 289
12.3.2 使用html bridge 291
12.3.3 访问本地文件系统 295
12.3.4 在silverlight中使用加密算法 297
12.3.5 使用silverlight访问web和web服务 300
12.4 在ajax和silverlight中使用asp.net身份验证和授权 301
12.5 本章小结 302
第13章 代码访问安全性 303
13.1 代码访问安全性 303
13.1.1 asp.net信任级别 305
13.1.2 .net 4新特性 314
13.2 本章小结 315
第14章 保护iis 317
14.1 安装和配置iis 7 317
14.1.1 iis角色服务 319
14.1.2 创建和配置应用程序池 322
14.1.3 在iis中配置信任级别 324
14.2 过滤请求 326
14.2.1 过滤双重编码请求 327
14.2.2 使用非ascii字符过滤请求 327
14.2.3 以文件扩展名为基础过滤请求 327
14.2.4 以请求大小为基础过滤请求 328
14.2.5 以http动词为基础过滤请求 328
14.2.6 以url序列为基础过滤请求 329
14.2.7 以请求段为基础过滤请求 329
14.2.8 以请求头文件为基础过滤请求 329
14.2.9 拒绝请求的状态码 330
14.3 使用log parser挖掘iis日志文件 330
14.4 使用证书 336
14.4.1 请求ssl证书 337
14.4.2 配置站点以使用https 339
14.4.3 建立测试ca 339
14.5 本章小结 341
第15章 第三方身份验证 343
15.1 联合身份简史 343
15.2 使用wif接收saml和information card 346
15.2.1 创建一个声明感知web站点 347
15.2.2 接受information card 349
15.2.3 使用声明身份 357
15.3 在web站点中使用openid 358
15.4 在web站点中使用windows live id 363
15.5 表单身份验证与第三方身份验证集成策略 366
15.6 本章小结 367
第16章 asp.net mvc架构安全开发 369
16.1 mvc输入和输出 370
16.1.1 避免xss攻击 370
16.1.2 避免csrf攻击 371
16.1.3 保护模型绑定 371
16.1.4 模型验证和错误消息 373
16.2 asp.net mvc身份验证和授权 375
16.2.1 授权操作和控制器 376
16.2.2 保护公共控制器方法 377
16.2.3 发现当前用户 377
16.2.4 使用授权过滤器自定义授权 378
16.3 错误处理 379
16.4 本章小结 381