Web安全設(shè)計(jì)之道

前言

　　.NET框架是微軟公司為了滿足廣大用戶的需求而開(kāi)發(fā)的一種通用平臺(tái)，它帶給我們方便、快捷的應(yīng)用服務(wù)。但是在實(shí)際環(huán)境中，網(wǎng)絡(luò)入侵和安全隱患也成了不容忽視的問(wèn)題，這使得開(kāi)發(fā)人員和軟件用戶更加關(guān)注系統(tǒng)的安全性?！　“踩ぷ髟谄髽I(yè)級(jí)軟件開(kāi)發(fā)中被戲稱為“亡羊補(bǔ)牢”，大家印象中的安全工作都是在問(wèn)題發(fā)生后才采取措施。本文旨在從根本上糾正這一做法，通過(guò)對(duì).NET平臺(tái)安全問(wèn)題的了解，做到風(fēng)險(xiǎn)早避免，問(wèn)題早處理，在應(yīng)用程序開(kāi)發(fā)的全生命周期中嚴(yán)把安全關(guān)，保證系統(tǒng)正常、穩(wěn)定地運(yùn)行。　　本書(shū)為兩組人群編寫?！　。?）.NET應(yīng)用程序的設(shè)計(jì)和開(kāi)發(fā)人員，他們應(yīng)該了解.NET安全的特點(diǎn)和局限性，以便在設(shè)計(jì)和編碼過(guò)程中進(jìn)行相應(yīng)考慮。本書(shū)的每一章節(jié)都使用了大量實(shí)例，幫助開(kāi)發(fā)人員理解安全的服務(wù)配置和代碼編寫?！　。?）應(yīng)用系統(tǒng)的用戶，這些應(yīng)用系統(tǒng)是基于.NET平臺(tái)進(jìn)行開(kāi)發(fā)和部署的。通過(guò)本書(shū)，讀者可以清晰地分辨哪些行為是危險(xiǎn)的，而這些行為我們是每天都會(huì)遇到的.比如，通過(guò)最常見(jiàn)的數(shù)據(jù)加密和身份驗(yàn)證，了解.NET平臺(tái)安全運(yùn)行的機(jī)制，就可以減少在系統(tǒng)操作過(guò)程中的低級(jí)錯(cuò)誤，排除安全隱患。　　我們希望讀者具有基本C#或Visual Basic.NE7.編程經(jīng)驗(yàn)，相關(guān)技術(shù)可以參考作者所著.NET開(kāi)發(fā)系列書(shū)籍?！　”緯?shū)由楊云、劉君主編，參加編寫的還有：劉小鹿、謝曉鋒、蔡芳、胡建、陳雪郊、劉揚(yáng)、杜華富、胡浩、成梅花、王磊、李渝乎、王宇晟、王春中、冉劍、陳代勇、陳佳佳、陳家云、李廣平等。在編寫過(guò)程中，人民郵電出版社和作者所在院校領(lǐng)導(dǎo)對(duì)此給予了大力支持和幫助，東北大學(xué)的喬建忠教授對(duì)本書(shū)進(jìn)行了審閱，在此表示感謝。最后，還要感謝家人在寫作過(guò)程中的理解和支持，那是我們工作的持續(xù)動(dòng)力和精神支撐?！　”緯?shū)部分代碼可在http：llwww.ptpress.com.ell處下載。如有問(wèn)題，可以訪問(wèn)作者博客：http：Naspnet.spaces.1ive.com／?！　∮捎谒接邢?，書(shū)中難免存在不足之處，歡迎廣大讀者批評(píng)指正（電子函件：book better@sina.tom）。另外，如果想要發(fā)表關(guān)于本書(shū)的評(píng)論，可發(fā)電子郵件或者在博客上留言。

內(nèi)容概要

隨著Web應(yīng)用程序日益廣泛的應(yīng)用，基于Web環(huán)境的安全性也越來(lái)越成為人們關(guān)注的問(wèn)題，.NET框架的安全性給使用.NET平臺(tái)編程的所有開(kāi)發(fā)人員和用戶帶來(lái)了解決安全問(wèn)題的福音。本書(shū)作者總結(jié)了多年項(xiàng)目實(shí)施和管理經(jīng)驗(yàn)，在此基礎(chǔ)上加以提煉，試圖用最簡(jiǎn)明易懂的方式介紹.NET框架下的安全問(wèn)題以及應(yīng)對(duì)措施。本書(shū)內(nèi)容涉及Web應(yīng)用程序安全、代碼安全、數(shù)據(jù)庫(kù)安全通信、數(shù)據(jù)驗(yàn)證、身份驗(yàn)證、組件安全、會(huì)話安全以及安全日志的設(shè)計(jì)等，并用典型實(shí)例作為引導(dǎo)，介紹各種安全類庫(kù)和安全編程，帶領(lǐng)讀者進(jìn)入神秘而妙不可言的.NET安全世界。　　本書(shū)適合.NET平臺(tái)下的開(kāi)發(fā)人員、項(xiàng)目經(jīng)理及系統(tǒng)管理人員閱讀。

作者簡(jiǎn)介

楊云，微軟指定培訓(xùn)中心講師，微軟最有價(jià)值專家（Microsoft MVP）。長(zhǎng)期從事微軟ASP．NET技術(shù)培訓(xùn)，為微軟新聞組和多家報(bào)紙雜志撰寫文章。
    參加多項(xiàng)大型微軟．NET項(xiàng)目。如企業(yè)級(jí)應(yīng)用系統(tǒng)開(kāi)發(fā)、電信系統(tǒng)開(kāi)發(fā)、政府辦公自動(dòng)化架構(gòu)等。主要研究方向是ASP．NET安全部署技術(shù)、設(shè)計(jì)模式。

書(shū)籍目錄

第1章　Web應(yīng)用程序安全概述　  1.1　Web應(yīng)用程序的安全性　  1.2　Web應(yīng)用系統(tǒng)安全模型　  1.3　.NET安全類庫(kù)　第2章　ASP.NET的安全控件　  2.1　登錄控件　  2.2　登錄狀態(tài)控件　  2.3　密碼維護(hù)控件　  2.4　創(chuàng)建用戶向?qū)Э丶? 2.5　頁(yè)面訪問(wèn)控件　第3章　Web應(yīng)用系統(tǒng)的數(shù)據(jù)加密　  3.1　數(shù)據(jù)安全威脅　  3.2　哈希加密算法　  3.3　Windows　API加密方法　  3.4　配置信息加密方法　  3.5　保護(hù)視圖數(shù)據(jù)　  3.6　通過(guò)密鑰進(jìn)行數(shù)據(jù)加密　第4章　數(shù)據(jù)庫(kù)安全通信　  4.1　SQL注入攻擊　  4.2　注入攻擊實(shí)例　  4.3　防止注入攻擊　  4.4　安全數(shù)據(jù)庫(kù)連接　第5章　數(shù)據(jù)驗(yàn)證　  5.1　數(shù)據(jù)驗(yàn)證概述　  5.2　數(shù)據(jù)驗(yàn)證方式　  5.3　數(shù)據(jù)審核　  5.4　數(shù)據(jù)過(guò)濾　第6章　身份驗(yàn)證技術(shù)　  6.1　用管道技術(shù)加固驗(yàn)證功能　  6.2　基于角色的安全認(rèn)證　  6.3　窗體驗(yàn)證　  6.4　操作系統(tǒng)集成驗(yàn)證　  6.5　文件授權(quán)　第7章　構(gòu)建安全的組件　  7.1　組件面臨的威脅　  7.2　安全的服務(wù)組件設(shè)計(jì)　  7.3　組件的安全身份驗(yàn)證　  7.4　組件中的敏感數(shù)據(jù)　  7.5　組件安全審核和日志記錄　  7.6　安全組件構(gòu)建實(shí)例　  7.7　安全組件的部署　  7.8　組件強(qiáng)簽名與反編譯　  7.9　安全的I/O文件操作　  7.10　安全操作注冊(cè)表　  7.11　序列化代碼安全　  7.12　安全的多線程訪問(wèn)　第8章　加固會(huì)話安全　  8.1　安全會(huì)話概述　  8.2　保護(hù)會(huì)話狀態(tài)　  8.3　創(chuàng)建安全會(huì)話　  8.4　基于HTTPS的自定義綁定會(huì)話　  8.5　在會(huì)話中使用令牌　  8.6　保護(hù)會(huì)話中的數(shù)據(jù)　  8.7　會(huì)話參數(shù)　  8.8　會(huì)話的存儲(chǔ)安全　第9章　安全日志　第10章　代碼信任技術(shù)　第11章　Web服務(wù)器安全設(shè)置　第12章　代碼安全性測(cè)試工具　第13章　.NET安全審核模板

章節(jié)摘錄

　　（2）加載時(shí)，除非控件擁有受信任的簽名，否則，運(yùn)行庫(kù)僅授予控件與工.ocalIntranet命名權(quán)限集關(guān)聯(lián)的權(quán)限。在控件擁有受信任簽名的情況下，會(huì)被授予與LocalIntranet權(quán)限集關(guān)聯(lián)的權(quán)限，同時(shí)因?yàn)榭丶碛惺苄湃魏灻€可能被授予其他一些權(quán)限?！　。?）運(yùn)行時(shí)，每當(dāng)調(diào)用方（在此情況下為寄宿的控件）訪問(wèn)公開(kāi)受保護(hù)資源的庫(kù)或調(diào)用非托管代碼的庫(kù)時(shí)，該庫(kù)就會(huì)提出安全要求，導(dǎo)致對(duì)調(diào)用方的權(quán)限進(jìn)行檢查，查看調(diào)用方是否被授予了適當(dāng)權(quán)限。這些安全檢查可防止控件在客戶端執(zhí)行未經(jīng)授權(quán)的操作?！　?.基礎(chǔ)知識(shí)　　每種以公共語(yǔ)言運(yùn)行庫(kù)為目標(biāo)的應(yīng)用程序必須與運(yùn)行庫(kù)的安全系統(tǒng)進(jìn)行交互。當(dāng)應(yīng)用程序執(zhí)行時(shí)，運(yùn)行庫(kù)將自動(dòng)對(duì)它進(jìn)行計(jì)算，然后賦予其一個(gè)權(quán)限集。根據(jù)應(yīng)用程序獲得的權(quán)限不同，應(yīng)用程序或者正常運(yùn)行，或者發(fā)生安全性異常。特定計(jì)算機(jī)上的本地安全設(shè)置最終決定代碼所收到的權(quán)限。這些設(shè)置會(huì)因計(jì)算機(jī)而異，所以無(wú)法確保代碼將收到運(yùn)行所需的足夠的權(quán)限。這與非托管開(kāi)發(fā)領(lǐng)域不同，在非托管開(kāi)發(fā)領(lǐng)域，不必?fù)?dān)心運(yùn)行代碼所需權(quán)限。　　每個(gè)開(kāi)發(fā)人員都必須熟悉下面的代碼訪問(wèn)安全性操作。　　編寫類型安全代碼：若要使代碼受益于代碼訪問(wèn)安全性，必須使用生成可驗(yàn)證為類型安全代碼的編譯器?！　?qiáng)制性語(yǔ)法和聲明式語(yǔ)法：與運(yùn)行庫(kù)安全系統(tǒng)的交互使用強(qiáng)制性安全調(diào)用和聲明式安全調(diào)用執(zhí)行。聲明式調(diào)用使用屬性執(zhí)行，強(qiáng)制性調(diào)用在代碼中使用類的新實(shí)例執(zhí)行。有些調(diào)用只能強(qiáng)制性地執(zhí)行，有些調(diào)用只能以聲明方式執(zhí)行，還有一些調(diào)用可以這兩種方式中的任一種方式執(zhí)行。　　為代碼請(qǐng)求權(quán)限：請(qǐng)求將應(yīng)用到程序集范圍，代碼通知運(yùn)行庫(kù)在此范圍內(nèi)運(yùn)行它所需的權(quán)限，運(yùn)行庫(kù)在代碼加載到內(nèi)存中時(shí)計(jì)算安全請(qǐng)求。代碼使用請(qǐng)求通知運(yùn)行庫(kù)運(yùn)行所需權(quán)限?！　∈褂冒踩悗?kù)：類庫(kù)使用代碼訪問(wèn)安全性指定所需權(quán)限?！　?.通過(guò)部分受信任的代碼使用類庫(kù)　　系統(tǒng)一般不允許通過(guò)低于完全信任級(jí)別（該信任級(jí)別是運(yùn)行庫(kù)代碼訪問(wèn)安全系統(tǒng)授予的）的應(yīng)用程序調(diào)用共享托管庫(kù)，除非庫(kù)編寫器通過(guò)使用AllowPartiallylYustedCallersAttribute類明確允許調(diào)用。因此，應(yīng)用程序編寫器必須注意在部分受信任的上下文中不能使用的庫(kù)。默認(rèn)情況下，在本地：Intranet或Internet區(qū)域中執(zhí)行的所有代碼都是部分受信任的。如果您的代碼不會(huì)在部分受信任的上下文中執(zhí)行或被部分受信任的代碼調(diào)用，那么您就不需要關(guān)心本小節(jié)中的信息。但是，如果編寫的代碼必須與部分受信任的代碼交互或在部分受信任的上下文中運(yùn)行，則應(yīng)該考慮以下因素?！　”仨氂脧?qiáng)名稱對(duì)庫(kù)進(jìn)行簽名，這樣該庫(kù)就可以被多個(gè)應(yīng)用程序共享。強(qiáng)名稱允許代碼放置在全局程序集緩存中，并允許使用者驗(yàn)證特定的移動(dòng)代碼?！　∧J(rèn)情況下，具有強(qiáng)名稱的共享庫(kù)自動(dòng)為完全信任執(zhí)行隱式LinkDemand，無(wú)須庫(kù)編寫器執(zhí)行任何操作。

媒體關(guān)注與評(píng)論

　　黑客入侵、掛馬、網(wǎng)頁(yè)篡改……網(wǎng)絡(luò)系統(tǒng)安全的種種問(wèn)題令人困擾，是否有方法能徹底解決這些安全問(wèn)題呢……　　互聯(lián)網(wǎng)上黑與白的較量已經(jīng)持續(xù)了多年，雙方都在不斷地博弈。目前病毒的發(fā)展方向已經(jīng)從普通桌面軟件轉(zhuǎn)移到了網(wǎng)站上，這些黑客利用網(wǎng)站本身的各類漏洞植入非法腳本甚至木馬程序。提高網(wǎng)站自身的安全性是當(dāng)務(wù)之急，是網(wǎng)絡(luò)程序員務(wù)必要思考的問(wèn)題。這本書(shū)教會(huì)了大家如何開(kāi)發(fā)出高質(zhì)量的安全網(wǎng)站，值得推薦！　　——瑞星 西南分公司 首席網(wǎng)絡(luò)安全顧問(wèn) 顧明凱　　我覺(jué)得系統(tǒng)安全的本質(zhì)就是意識(shí)和技術(shù)不斷學(xué)習(xí)提高的過(guò)程。這本書(shū)敘述清晰，語(yǔ)言簡(jiǎn)練，把安全技術(shù)講解得樸實(shí)無(wú)華，實(shí)在是一本不可多得的安全力作?！　　虾＝煌ù髮W(xué) 計(jì)逄機(jī)網(wǎng)絡(luò)安全博士 張濤　　這本書(shū)很實(shí)用，內(nèi)容很經(jīng)典，是安全編碼技術(shù)方面一本難得的好書(shū)。年輕時(shí)如果有這樣一本書(shū)，也許我會(huì)少走不少?gòu)澛??！　　疤詫毤爸Ц秾殻ㄖ袊?guó)）網(wǎng)絡(luò)安全工程師 劉明德　　安全問(wèn)題，我想現(xiàn)在上到政府機(jī)關(guān)，下到中小公司，沒(méi)有敢不重視吧？這本書(shū)，我覺(jué)得使用NET技術(shù)的人員，應(yīng)該人手一冊(cè)。　　——中國(guó)殺毒網(wǎng) 安全顧問(wèn) 張慶生

編輯推薦

　　黑客入侵、掛馬、網(wǎng)頁(yè)篡改……網(wǎng)絡(luò)系統(tǒng)安全的種種問(wèn)題令人困擾，是否有方法能徹底解決這些安全問(wèn)題呢……《Web安全設(shè)計(jì)之道：.NET代碼安全、界面漏洞防范與程序優(yōu)化》為你解決。

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    Web安全設(shè)計(jì)之道 PDF格式下載

---