開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序

內(nèi)容概要

　　《開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序》以作者的實(shí)際經(jīng)驗(yàn)為主，介紹了關(guān)于開(kāi)發(fā)更安全的ASP.NET 2.0應(yīng)用的各方面的內(nèi)容。全書(shū)共10章，內(nèi)容包括：Web應(yīng)用程序安全、ASP.NET 2.0構(gòu)架、輸入驗(yàn)證、存儲(chǔ)機(jī)密、身份驗(yàn)證和授權(quán)、安全提供程序和控件、日志和監(jiān)測(cè)、部分信任ASP.NET、部署和配置以及工具和資源。附錄部分提供了創(chuàng)建自定義受保護(hù)配置提供程序、會(huì)話狀態(tài)、分拆ASP.NET應(yīng)用程序、安全的Web服務(wù)和使用Visual Studio Team Edition進(jìn)行安全測(cè)試等內(nèi)容。　　《開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序》提供的示例簡(jiǎn)練易懂，書(shū)中代碼示例都經(jīng)過(guò)認(rèn)真的編寫(xiě)，讀者無(wú)需記住所有的內(nèi)容，而可以將《開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序》的實(shí)例很容易地引入到現(xiàn)實(shí)的應(yīng)用程序中?！堕_(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序》適用于使用ASP.NET 2.0技術(shù)同時(shí)關(guān)注安全性的各方面讀者。

作者簡(jiǎn)介

　　Dominick Baier，為世界各地的公司咨詢軟件安全方面的問(wèn)題，同時(shí)還負(fù)責(zé)DevelopMentor的安全課程和一家針對(duì)開(kāi)發(fā)人員的培訓(xùn)公司。他是一位具有BS 7799/ISO 17799資格的主導(dǎo)審核員，還是Visual Developer-Security方面的MVP。另外，Dominick經(jīng)常在業(yè)界的會(huì)議中發(fā)言，并為德國(guó)MSDN的安全主題內(nèi)容撰稿，同時(shí)還撰寫(xiě)了一個(gè)受歡迎的博客。

書(shū)籍目錄

第1章　Web應(yīng)用程序安全1.1　OWASP Top 101.2　總體原則1.2.1　安全是一種特性1.2.2　使用最低權(quán)限1.2.3　預(yù)防、監(jiān)測(cè)和反應(yīng)1.2.4　分層防御1.2.5　不存在可信的輸入1.2.6　注意故障模式1.2.7　注意應(yīng)用程序拒絕服務(wù)1.2.8　首選默認(rèn)安全措施1.2.9　加密不能確保安全1.2.10　防火墻不能確保安全1.3　小結(jié)第2章　ASP.NET 2.0架構(gòu)2.1　理解宿主2.2　理解管線2.2.1　HTTP模塊2.2.2　編寫(xiě)模塊2.2.3　處理程序2.2.4　檢查管線2.3　編譯ASP.NET頁(yè)2.4　小結(jié)第3章　輸入驗(yàn)證3.1　什么是輸入3.2　輸入驗(yàn)證的必要性3.3　輸入驗(yàn)證技術(shù)3.3.1　黑名單3.3.2　白名單3.4　緩解技術(shù)3.4.1　輸出編碼3.4.2　沙盒3.4.3　完整性檢查3.5　ASP.NET應(yīng)用程序中的驗(yàn)證3.5.1　自動(dòng)驗(yàn)證服務(wù)3.5.2　表單驗(yàn)證3.5.3　創(chuàng)建自定義驗(yàn)證控件3.6　小結(jié)第4章　存儲(chǔ)機(jī)密4.1　識(shí)別攻擊和攻擊者4.2　加密術(shù)是救星嗎4.3　哈希數(shù)據(jù)4.3.1　哈希算法4.3.2　.NET的哈希算法4.4　保存密碼4.5　加密數(shù)據(jù)4.5.1　對(duì)稱性加密4.5.2　加密算法4.5.3　密鑰和密鑰大小4.5.4　.NET的對(duì)稱性加密4.5.5　完整性保護(hù)4.5.6　整合：設(shè)計(jì)使用對(duì)稱性加密的應(yīng)用程序4.5.7　非對(duì)稱性加密4.5.8　證書(shū)4.5.9　在.NET中使用非對(duì)稱性加密證書(shū)4.5.10　整合：設(shè)計(jì)使用非對(duì)稱性加密和證書(shū)的應(yīng)用程序4.6　使用Windows數(shù)據(jù)保護(hù)API4.7　保護(hù)配置數(shù)據(jù)4.7.1　配置和安裝4.7.2　保護(hù)配置4.8　保護(hù)ViewState4.9　小結(jié)第5章　驗(yàn)證和授權(quán)5.1　基礎(chǔ)知識(shí)5.1.1　術(shù)語(yǔ)5.1.2　應(yīng)用程序設(shè)計(jì)5.1.3　ASP.NET安全管道5.1.4　.NET安全架構(gòu)和基于角色的安全5.1.5　服務(wù)器驗(yàn)證5.2　使用Windows賬戶5.2.1　IIS驗(yàn)證方法5.2.2　授權(quán)5.2.3　模擬5.2.4　委托5.2.5　安全上下文和訪問(wèn)外部資源5.3　使用自定義賬戶5.3.1　表單驗(yàn)證5.3.2　表單驗(yàn)證機(jī)制5.3.3　配置表單驗(yàn)證5.3.4　確保表單驗(yàn)證的安全5.3.5　自定義表單驗(yàn)證5.3.6　Web場(chǎng)5.3.7　單點(diǎn)登錄5.3.8　使用ASP.NET保護(hù)非ASP.NET資源5.4　混合方法5.4.1　手動(dòng)Windows驗(yàn)證5.4.2　協(xié)議轉(zhuǎn)換5.4.3　對(duì)自定義賬戶實(shí)現(xiàn)基本驗(yàn)證5.4.4　用戶證書(shū)5.4.5　混合模式驗(yàn)證5.5　小結(jié)第6章　安全提供程序和控件6.1　理解成員功能6.1.1　方法6.1.2　事件6.1.3　成員配置6.1.4　SQL成員提供程序6.1.5　Active Directory成員提供程序6.1.6　與成員相關(guān)的控件6.2　理解角色管理器6.2.1　角色管理器模塊6.2.2　角色管理器配置6.2.3　SQL角色提供程序6.2.4　Windows令牌角色提供程序6.2.5　授權(quán)存儲(chǔ)角色提供程序6.2.6　與角色相關(guān)的控件6.2.7　成員和角色打包6.3　使用SiteMap導(dǎo)航6.4　創(chuàng)建功能和提供程序6.5　指南6.6　小結(jié)第7章　日志和監(jiān)測(cè)7.1　錯(cuò)誤處理7.1.1　獲取401非授權(quán)錯(cuò)誤7.1.2　錯(cuò)誤處理7.2　日志和監(jiān)測(cè)7.2.1　事件日志7.2.2　性能監(jiān)視器7.2.3　電子郵件7.2.4　Windows管理監(jiān)測(cè)7.2.5　ASP.NET跟蹤和System.Diagnostics.Trace7.2.6　日志和部分信任7.3　健康監(jiān)測(cè)框架7.3.1　創(chuàng)建事件7.3.2　配置健康檢測(cè)7.3.3　SQL服務(wù)器提供程序7.3.4　WMI提供程序7.3.5　電子郵件提供程序7.3.6　編寫(xiě)自定義提供程序7.3.7　編寫(xiě)自定義緩沖提供程序7.3.8　狀態(tài)監(jiān)視和部分信任7.3.9　指南7.4　小結(jié)第8章　部分信任ASP.NET8.1　為什么選擇部分信任8.2　配置部分信任8.3　理解策略文件8.3.1　安全類8.3.2　命名權(quán)限集8.3.3　代碼組8.3.4　策略加載和解析8.4　自定義策略文件8.5　分割代碼8.5.1　重構(gòu)代碼8.5.2　堆棧審核8.5.3　為經(jīng)過(guò)分區(qū)的程序集修改策略8.5.4　限制調(diào)用組件的用戶8.6　創(chuàng)建自定義權(quán)限8.6.1　權(quán)限類8.6.2　封裝8.6.3　屬性8.7　SecurityException的作用8.8　鎖定配置8.9　小結(jié)第9章　部署和配置9.1　總指導(dǎo)原則9.2　操作系統(tǒng)強(qiáng)化9.2.1　自動(dòng)更新9.2.2　禁用服務(wù)和協(xié)議9.2.3　包過(guò)濾9.2.4　保護(hù)Windows文件共享9.2.5　審核9.3　數(shù)據(jù)庫(kù)服務(wù)器強(qiáng)化9.4　Web服務(wù)器強(qiáng)化9.4.1　應(yīng)用程序池9.4.2　Web服務(wù)擴(kuò)展9.4.3　Web內(nèi)容9.4.4　HTTP頭9.4.5　日志9.4.6　URLScan9.4.7　訪問(wèn)控制列表9.4.8　啟用SSL9.4.9　驗(yàn)證方法9.5　ASP.NET強(qiáng)化9.5.1　配置鎖死9.5.2　推薦設(shè)置9.5.3　預(yù)編譯9.6　小結(jié)第10章　工具和資源10.1　工具類型10.2　確定合適的工具10.3　瀏覽代理服務(wù)器和HTTP協(xié)議檢測(cè)工具10.3.1　Fiddler10.3.2　Paros10.3.3　WebScarab10.3.4　WSDigger10.4　黑盒掃描器10.4.1　SPI Dynamics WebInspect10.4.2　Watchfire AppScan10.4.3　Berretta10.5　配置分析10.5.1　SSL Digger10.5.2　PermCalc10.5.3　Desaware CAS Tester10.5.4　ANSA10.5.5　IIS Lockdown10.6　源代碼分析器10.6.1　Foundstone CodeScout10.6.2　Microsoft PREfix和PREfast10.6.3　Compuware ASP.NET Security Checker10.6.4　SPI Dynamics DevInspect10.7　多功能工具10.8　二進(jìn)制分析10.8.1　靜態(tài)二進(jìn)制分析工具10.8.2　動(dòng)態(tài)(“運(yùn)行時(shí)”)二進(jìn)制分析10.8.3　調(diào)試器10.8.4　反編譯器/模糊處理器10.9　數(shù)據(jù)庫(kù)掃描器10.9.1　AppDetective10.9.2　MetaCoretex10.9.3　NGSSquirrel10.10　博客10.11　小結(jié)附錄A　創(chuàng)建自定義受保護(hù)配置提供程序附錄B　會(huì)話狀態(tài)B.1　會(huì)話狀態(tài)如何工作B.1.1　Cookie vs.查詢字符串B.1.2　超時(shí)設(shè)定B.1.3　會(huì)話模式B.2　會(huì)話存儲(chǔ)B.2.1　進(jìn)程內(nèi)提供程序B.2.2　狀態(tài)服務(wù)器B.2.3　SQL ServerB.3　小結(jié)附錄C　分拆ASP.NET應(yīng)用程序C.1　創(chuàng)建服務(wù)器端C.2　創(chuàng)建客戶端C.3　創(chuàng)建部分信任客戶端C.4　小結(jié)附錄D　安全的Web服務(wù)D.1　適用情況D.2　安全的通信和服務(wù)器驗(yàn)證D.3　客戶端驗(yàn)證D.4　小結(jié)附錄E　使用Visual Studio Team Edition進(jìn)行單元測(cè)試E.1　測(cè)試驅(qū)動(dòng)開(kāi)發(fā)E.2　運(yùn)行測(cè)試E.3　測(cè)試現(xiàn)有代碼E.4　測(cè)試列表和測(cè)試運(yùn)行配置E.5　建立正確的測(cè)試環(huán)境E.6　測(cè)試私有方法E.7　預(yù)期的錯(cuò)誤E.8　數(shù)據(jù)驅(qū)動(dòng)測(cè)試E.9　數(shù)據(jù)驅(qū)動(dòng)測(cè)試的數(shù)據(jù)管理E.10　測(cè)試Web服務(wù)代碼E.11　在ASP.NET內(nèi)部運(yùn)行測(cè)試E.12　小結(jié)

章節(jié)摘錄

　　第1章　Web應(yīng)用程序安全　　20世紀(jì)90年代后期是針對(duì)網(wǎng)絡(luò)和操作系統(tǒng)攻擊快速增長(zhǎng)的時(shí)期。近來(lái)，每個(gè)公司都碰到了緩存溢出的問(wèn)題。Windows NT、Windows 2000和Internet信息服務(wù)（Internet Information Services，IIS）幾乎每天都會(huì)公布新的漏洞?！　哪莻€(gè)時(shí)候開(kāi)始，很多軟件企業(yè)從中汲取了教訓(xùn)，并且認(rèn)識(shí)到必須將安全作為產(chǎn)品的常規(guī)重要特性。只有改善開(kāi)發(fā)過(guò)程，創(chuàng)建更健壯和安全的代碼，才能取得這種成效。Microsoft就是一個(gè)最好的范例。為了減少軟件中安全漏洞的數(shù)量，Microsoft實(shí)施了安全特性設(shè)計(jì)和測(cè)試集成部件的合作開(kāi)發(fā)過(guò)程。同樣重要的一點(diǎn)是，這些軟件部件的設(shè)計(jì)過(guò)程嵌入到每一個(gè)周期的開(kāi)始階段。讀者可以在http：／／msdn_m。icrosoft．com／msdnmag／issues／05／11／SDL／default．a(chǎn)spx查閱Microsoft安全開(kāi)發(fā)生命周期（Security Development Lifecycle，SDL）或者閱讀由Michael Howard和Steve Lipner最新撰寫(xiě)的《The Security Development Lifecycle》（Microsoft出版社，2006），以便了解它的工作方式?！　∵@些軟件行業(yè)（有益的）的變化意味著攻擊操作系統(tǒng)級(jí)別的系統(tǒng)變得越來(lái)越困難。攻擊開(kāi)始尋找更有吸引力的目標(biāo)。他們向上轉(zhuǎn)移了幾個(gè)層次，從而上升到ISO模型，而多種原因讓W(xué)eb應(yīng)用程序注定會(huì)成為新的目標(biāo)?！　∈紫龋鬢eb應(yīng)用程序非常容易。HTTP是非常簡(jiǎn)單的底層協(xié)議。它基于文本并且是無(wú)狀態(tài)的，這也就意味著并不需要專業(yè)工具對(duì)二進(jìn)制數(shù)據(jù)進(jìn)行編碼，簡(jiǎn)單的telnet客戶端就已經(jīng)完全能夠解析HTTP包。無(wú)狀態(tài)協(xié)議意味著對(duì)Web應(yīng)用程序每一輪訪問(wèn)都包含所有必要的數(shù)據(jù)，通常也不需要事先設(shè)置會(huì)話以防范攻擊，這使得與其交互很容易。另外，還有一個(gè)無(wú)法改變的事實(shí)是，即使只顯示一個(gè)登錄頁(yè)，基于HTTP的應(yīng)用程序也允許匿名訪問(wèn)。只要這個(gè)頁(yè)面是實(shí)際應(yīng)用程序的一部分，那么就能夠用其攻擊應(yīng)用程序代碼。應(yīng)用程序的其他特殊字符也是　　最常見(jiàn)的途徑，換言之，它們是Internet和內(nèi)部資源（例如數(shù)據(jù)庫(kù)）之問(wèn)的最后的堡壘?！　×硪环矫妫琖eb應(yīng)用程序開(kāi)發(fā)環(huán)境的進(jìn)步使創(chuàng)建復(fù)雜的數(shù)據(jù)驅(qū)動(dòng)Web應(yīng)用程序變得非常容易。將基于桌面Windows Forms的編程范例轉(zhuǎn)移到Web開(kāi)發(fā)中，吸引了很多企業(yè)和開(kāi)發(fā)人員。通常，在基于Intranet的傳統(tǒng)應(yīng)用程序中，并沒(méi)有給予安全問(wèn)題太多關(guān)注，但是向完全不同環(huán)境（例如Internet）的遷移徹底改變了這種情況。也就是說(shuō)，成千上萬(wàn)的開(kāi)發(fā)人員，無(wú)論具有多少開(kāi)發(fā)安全技術(shù)的經(jīng)驗(yàn)，都可以開(kāi)始編寫(xiě)能夠預(yù)防所有Intemet犯罪的應(yīng)用程序。

編輯推薦

　　構(gòu)建更安全Web應(yīng)用程序的核心指南　　《開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序》講解有關(guān)構(gòu)建更為安全的ASP．NET 2．0應(yīng)用程序的專業(yè)技術(shù)。在《開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序》中，頂尖的安全專家將介紹極有價(jià)值的經(jīng)驗(yàn)、實(shí)際建議和大量的使用Microsoft VistJal C#編寫(xiě)的代碼示例。這些內(nèi)容將幫助讀者開(kāi)發(fā)更健壯、更可靠和更可防御攻擊的Web應(yīng)用程序?！　『诵膬?nèi)容：　　加強(qiáng)Web服務(wù)器、操作系統(tǒng)、通信協(xié)議和ASP．NET的安全；使用正則表達(dá)式、沙盒和其他技術(shù)驗(yàn)證輸入數(shù)據(jù)；理解各種加密方法的設(shè)計(jì)方法和安全內(nèi)涵；集成Microsoft Wirldows安全特性的方法，例如模擬、委托和協(xié)議轉(zhuǎn)換；實(shí)現(xiàn)Web場(chǎng)、單點(diǎn)登錄和混合模式驗(yàn)證：　　使用基于提供程序的功能實(shí)現(xiàn)用戶和角色的管理與驗(yàn)證；　　使用錯(cuò)誤處理、日志和規(guī)范跟蹤攻擊行為；　　使用部分信任鎖定應(yīng)用程序。

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    開(kāi)發(fā)更安全的ASP.NET 2.0實(shí)用程序 PDF格式下載

---