Web安全設計之道

出版時間:2009-10  出版社:人民郵電出版社  作者:楊云,劉君 編著  頁數:338  
Tag標簽:無  

前言

  .NET框架是微軟公司為了滿足廣大用戶的需求而開發(fā)的一種通用平臺,它帶給我們方便、快捷的應用服務。但是在實際環(huán)境中,網絡入侵和安全隱患也成了不容忽視的問題,這使得開發(fā)人員和軟件用戶更加關注系統(tǒng)的安全性?! “踩ぷ髟谄髽I(yè)級軟件開發(fā)中被戲稱為“亡羊補牢”,大家印象中的安全工作都是在問題發(fā)生后才采取措施。本文旨在從根本上糾正這一做法,通過對.NET平臺安全問題的了解,做到風險早避免,問題早處理,在應用程序開發(fā)的全生命周期中嚴把安全關,保證系統(tǒng)正常、穩(wěn)定地運行?! ”緯鵀閮山M人群編寫。 ?。?).NET應用程序的設計和開發(fā)人員,他們應該了解.NET安全的特點和局限性,以便在設計和編碼過程中進行相應考慮。本書的每一章節(jié)都使用了大量實例,幫助開發(fā)人員理解安全的服務配置和代碼編寫?! 。?)應用系統(tǒng)的用戶,這些應用系統(tǒng)是基于.NET平臺進行開發(fā)和部署的。通過本書,讀者可以清晰地分辨哪些行為是危險的,而這些行為我們是每天都會遇到的.比如,通過最常見的數據加密和身份驗證,了解.NET平臺安全運行的機制,就可以減少在系統(tǒng)操作過程中的低級錯誤,排除安全隱患。  我們希望讀者具有基本C#或Visual Basic.NE7.編程經驗,相關技術可以參考作者所著.NET開發(fā)系列書籍?! ”緯蓷钤啤⒕骶?,參加編寫的還有:劉小鹿、謝曉鋒、蔡芳、胡建、陳雪郊、劉揚、杜華富、胡浩、成梅花、王磊、李渝乎、王宇晟、王春中、冉劍、陳代勇、陳佳佳、陳家云、李廣平等。在編寫過程中,人民郵電出版社和作者所在院校領導對此給予了大力支持和幫助,東北大學的喬建忠教授對本書進行了審閱,在此表示感謝。最后,還要感謝家人在寫作過程中的理解和支持,那是我們工作的持續(xù)動力和精神支撐?! ”緯糠执a可在http:llwww.ptpress.com.ell處下載。如有問題,可以訪問作者博客:http:Naspnet.spaces.1ive.com/。  由于水平有限,書中難免存在不足之處,歡迎廣大讀者批評指正(電子函件:book better@sina.tom)。另外,如果想要發(fā)表關于本書的評論,可發(fā)電子郵件或者在博客上留言。

內容概要

隨著Web應用程序日益廣泛的應用,基于Web環(huán)境的安全性也越來越成為人們關注的問題,.NET框架的安全性給使用.NET平臺編程的所有開發(fā)人員和用戶帶來了解決安全問題的福音。本書作者總結了多年項目實施和管理經驗,在此基礎上加以提煉,試圖用最簡明易懂的方式介紹.NET框架下的安全問題以及應對措施。本書內容涉及Web應用程序安全、代碼安全、數據庫安全通信、數據驗證、身份驗證、組件安全、會話安全以及安全日志的設計等,并用典型實例作為引導,介紹各種安全類庫和安全編程,帶領讀者進入神秘而妙不可言的.NET安全世界?! ”緯m合.NET平臺下的開發(fā)人員、項目經理及系統(tǒng)管理人員閱讀。

作者簡介

楊云,微軟指定培訓中心講師,微軟最有價值專家(Microsoft MVP)。長期從事微軟ASP.NET技術培訓,為微軟新聞組和多家報紙雜志撰寫文章。
參加多項大型微軟.NET項目。如企業(yè)級應用系統(tǒng)開發(fā)、電信系統(tǒng)開發(fā)、政府辦公自動化架構等。主要研究方向是ASP.NET安全部署技術、設計模式。

書籍目錄

第1章 Web應用程序安全概述   1.1 Web應用程序的安全性   1.2 Web應用系統(tǒng)安全模型   1.3 .NET安全類庫 第2章 ASP.NET的安全控件   2.1 登錄控件   2.2 登錄狀態(tài)控件   2.3 密碼維護控件   2.4 創(chuàng)建用戶向導控件   2.5 頁面訪問控件 第3章 Web應用系統(tǒng)的數據加密   3.1 數據安全威脅   3.2 哈希加密算法   3.3 Windows API加密方法   3.4 配置信息加密方法   3.5 保護視圖數據   3.6 通過密鑰進行數據加密 第4章 數據庫安全通信   4.1 SQL注入攻擊   4.2 注入攻擊實例   4.3 防止注入攻擊   4.4 安全數據庫連接 第5章 數據驗證   5.1 數據驗證概述   5.2 數據驗證方式   5.3 數據審核   5.4 數據過濾 第6章 身份驗證技術   6.1 用管道技術加固驗證功能   6.2 基于角色的安全認證   6.3 窗體驗證   6.4 操作系統(tǒng)集成驗證   6.5 文件授權 第7章 構建安全的組件   7.1 組件面臨的威脅   7.2 安全的服務組件設計   7.3 組件的安全身份驗證   7.4 組件中的敏感數據   7.5 組件安全審核和日志記錄   7.6 安全組件構建實例   7.7 安全組件的部署   7.8 組件強簽名與反編譯   7.9 安全的I/O文件操作   7.10 安全操作注冊表   7.11 序列化代碼安全   7.12 安全的多線程訪問 第8章 加固會話安全   8.1 安全會話概述   8.2 保護會話狀態(tài)   8.3 創(chuàng)建安全會話   8.4 基于HTTPS的自定義綁定會話   8.5 在會話中使用令牌   8.6 保護會話中的數據   8.7 會話參數   8.8 會話的存儲安全 第9章 安全日志 第10章 代碼信任技術 第11章 Web服務器安全設置 第12章 代碼安全性測試工具 第13章 .NET安全審核模板

章節(jié)摘錄

  (2)加載時,除非控件擁有受信任的簽名,否則,運行庫僅授予控件與工.ocalIntranet命名權限集關聯(lián)的權限。在控件擁有受信任簽名的情況下,會被授予與LocalIntranet權限集關聯(lián)的權限,同時因為控件擁有受信任簽名,還可能被授予其他一些權限。 ?。?)運行時,每當調用方(在此情況下為寄宿的控件)訪問公開受保護資源的庫或調用非托管代碼的庫時,該庫就會提出安全要求,導致對調用方的權限進行檢查,查看調用方是否被授予了適當權限。這些安全檢查可防止控件在客戶端執(zhí)行未經授權的操作?! ?.基礎知識  每種以公共語言運行庫為目標的應用程序必須與運行庫的安全系統(tǒng)進行交互。當應用程序執(zhí)行時,運行庫將自動對它進行計算,然后賦予其一個權限集。根據應用程序獲得的權限不同,應用程序或者正常運行,或者發(fā)生安全性異常。特定計算機上的本地安全設置最終決定代碼所收到的權限。這些設置會因計算機而異,所以無法確保代碼將收到運行所需的足夠的權限。這與非托管開發(fā)領域不同,在非托管開發(fā)領域,不必擔心運行代碼所需權限?! ∶總€開發(fā)人員都必須熟悉下面的代碼訪問安全性操作?! 【帉戭愋桶踩a:若要使代碼受益于代碼訪問安全性,必須使用生成可驗證為類型安全代碼的編譯器?! 娭菩哉Z法和聲明式語法:與運行庫安全系統(tǒng)的交互使用強制性安全調用和聲明式安全調用執(zhí)行。聲明式調用使用屬性執(zhí)行,強制性調用在代碼中使用類的新實例執(zhí)行。有些調用只能強制性地執(zhí)行,有些調用只能以聲明方式執(zhí)行,還有一些調用可以這兩種方式中的任一種方式執(zhí)行?! 榇a請求權限:請求將應用到程序集范圍,代碼通知運行庫在此范圍內運行它所需的權限,運行庫在代碼加載到內存中時計算安全請求。代碼使用請求通知運行庫運行所需權限?! ∈褂冒踩悗欤侯悗焓褂么a訪問安全性指定所需權限?! ?.通過部分受信任的代碼使用類庫  系統(tǒng)一般不允許通過低于完全信任級別(該信任級別是運行庫代碼訪問安全系統(tǒng)授予的)的應用程序調用共享托管庫,除非庫編寫器通過使用AllowPartiallylYustedCallersAttribute類明確允許調用。因此,應用程序編寫器必須注意在部分受信任的上下文中不能使用的庫。默認情況下,在本地:Intranet或Internet區(qū)域中執(zhí)行的所有代碼都是部分受信任的。如果您的代碼不會在部分受信任的上下文中執(zhí)行或被部分受信任的代碼調用,那么您就不需要關心本小節(jié)中的信息。但是,如果編寫的代碼必須與部分受信任的代碼交互或在部分受信任的上下文中運行,則應該考慮以下因素?! ”仨氂脧娒Q對庫進行簽名,這樣該庫就可以被多個應用程序共享。強名稱允許代碼放置在全局程序集緩存中,并允許使用者驗證特定的移動代碼?! ∧J情況下,具有強名稱的共享庫自動為完全信任執(zhí)行隱式LinkDemand,無須庫編寫器執(zhí)行任何操作。

媒體關注與評論

  黑客入侵、掛馬、網頁篡改……網絡系統(tǒng)安全的種種問題令人困擾,是否有方法能徹底解決這些安全問題呢……  互聯(lián)網上黑與白的較量已經持續(xù)了多年,雙方都在不斷地博弈。目前病毒的發(fā)展方向已經從普通桌面軟件轉移到了網站上,這些黑客利用網站本身的各類漏洞植入非法腳本甚至木馬程序。提高網站自身的安全性是當務之急,是網絡程序員務必要思考的問題。這本書教會了大家如何開發(fā)出高質量的安全網站,值得推薦!  ——瑞星 西南分公司 首席網絡安全顧問 顧明凱  我覺得系統(tǒng)安全的本質就是意識和技術不斷學習提高的過程。這本書敘述清晰,語言簡練,把安全技術講解得樸實無華,實在是一本不可多得的安全力作?!  虾=煌ù髮W 計逄機網絡安全博士 張濤  這本書很實用,內容很經典,是安全編碼技術方面一本難得的好書。年輕時如果有這樣一本書,也許我會少走不少彎路?!  疤詫毤爸Ц秾殻ㄖ袊┚W絡安全工程師 劉明德  安全問題,我想現在上到政府機關,下到中小公司,沒有敢不重視吧?這本書,我覺得使用NET技術的人員,應該人手一冊。  ——中國殺毒網 安全顧問 張慶生

編輯推薦

  黑客入侵、掛馬、網頁篡改……網絡系統(tǒng)安全的種種問題令人困擾,是否有方法能徹底解決這些安全問題呢……《Web安全設計之道:.NET代碼安全、界面漏洞防范與程序優(yōu)化》為你解決。

圖書封面

圖書標簽Tags

評論、評分、閱讀與下載


    Web安全設計之道 PDF格式下載


用戶評論 (總計17條)

 
 

  •   紙質很好,關于web安全方面介紹對于初學者來講,通俗易懂!
  •   關于****代碼安全難得的一本書,適合做B/S項目的程序員看
  •   本書物有所值,對****安全技術講的很全面,有很多需要深入挖掘的東西
  •   應該對我有提升
  •   幫朋友買的沒看,發(fā)貨速度很快。
  •   說是還可以了。
  •   書很好..到貨很快..
  •   整體還可以 就是問題提出后缺少點解決方案來
  •   有些設計到密碼學。還是很有用的。使自己少走很多彎路。不過在注入的那里再寫的深入一下就好了。
  •   解決方案上面還是不太詳細,
  •   正需要這方面的經驗
  •   初學者比較不錯的一本書
  •   收到了,還沒有仔細看
  •   只能說這類型的書比較少。
  •   如果你剛學.net沿可,如果你正在用.net,那此書無任何實用!
  •   Web安全設計之道這本書很垃圾
  •   光看目錄是作者介紹,感覺這本書應該還不錯。拿到手后,第一感覺,不錯,挺好的??稍酵竺婵?,越覺得上當受騙。內容太空洞了,很多內容都是泛泛而談,大部分內容我們在blog上,或者別的書籍上都能看到。書中倒是提到了很多實際的問題,可是都沒有給出解決方案,甚至連作者自己的觀點都沒有?。?!簡直是欺騙!順便說一句,這已經是我第二次在當當上買到這樣的書了,算我不長記性。中國的這些技術書籍的作者啊,我實質是無語了~出版社也是,什么書都出,坑人?。。。。?/li>
 

250萬本中文圖書簡介、評論、評分,PDF格式免費下載。 第一圖書網 手機版

京ICP備13047387號-7