無(wú)懈可擊

內(nèi)容概要

　　《無(wú)懈可擊:全方位構(gòu)建安全Web系統(tǒng)》對(duì)常見的web安全問題，依照分類的方式講解每一個(gè)知識(shí)點(diǎn)，告訴讀者如何開發(fā)安全高效的web系統(tǒng)，如何使自己的系統(tǒng)免受黑客的攻擊。《無(wú)懈可擊:全方位構(gòu)建安全Web系統(tǒng)》內(nèi)容是作者多年項(xiàng)目實(shí)施和管理經(jīng)驗(yàn)的總結(jié)，在此基礎(chǔ)上加以提煉，試圖用最簡(jiǎn)明易懂的方式介紹網(wǎng)站開發(fā)的安全問題以及應(yīng)對(duì)措施；內(nèi)容涉及界面ui安全、代碼安全、中間件安全、session安全等，并用典型實(shí)例作為引導(dǎo)，介紹各種安全類庫(kù)和安全編程?！稛o(wú)懈可擊:全方位構(gòu)建安全Web系統(tǒng)》適合網(wǎng)站開發(fā)人員、應(yīng)用程序設(shè)計(jì)和開發(fā)人員使用，也適合網(wǎng)站系統(tǒng)的管理維護(hù)人員閱讀和參考。

書籍目錄

第一部分
　第1章 網(wǎng)站安全技術(shù)概述
　　1.1 代碼安全性的含義
　　1.1.1 代碼與代碼的安全域
　　1.1.2 代碼的安全策略
　　1.2 可靠的安全架構(gòu)
　第2章 類庫(kù)與安全類
　　2.1 安全類的總體架構(gòu)
　　2.2 system.security
　　2.3 system.security.cryptography
　　2.4 system.security.principal
　　2.5 system.security.p01icy
　　2.6 system.security.permissions
　　2.7 system.web.security
　　2.8 jsp的安全類
　第3章 asp.net4.0的安全組件
　　3.1 登錄控件
　　3.2 登錄狀態(tài)控件
　　3.3 密碼維護(hù)控件
　　3.4 創(chuàng)建用戶向?qū)Э丶?br />　　3.5 頁(yè)面訪問控件
第二部分
　第4章 存儲(chǔ)的安全
　　4.1 對(duì)數(shù)據(jù)的攻擊方式
　　4.2 hash算法
　　4.3 利用操作系統(tǒng)的接口加密
　　4.4 加密xml文件
　　4.4.1 dpapiprotectedconfigurationprovider類
　　4.4.2 rsaprotectedconfigurationprovider類
　　4.5 保護(hù)視圖數(shù)據(jù)
　　4.5.1 開啟視圖保護(hù)開關(guān)
　　4.5.2 加密視圖信息
　　4.5.3 用戶獨(dú)立視圖
　　4.6 數(shù)據(jù)保護(hù)
　　4.6.1 對(duì)稱加密算法
　　4.6.2 非對(duì)稱加密算法
　　4.6.3 證書加密
　第5章 讓asp.net／jsp與數(shù)據(jù)庫(kù)安全通信
　　5.1 數(shù)據(jù)庫(kù)與注入隱患
　　5.1.1 攻擊原理
　　5.1.2 攻擊方式
　　5.1.3 防范方法
　　5.2 一個(gè)注入實(shí)例
　　5.3 加固sql參數(shù)與存儲(chǔ)過程
　　5.4 正確連接數(shù)據(jù)庫(kù)
　　5.4.1 數(shù)據(jù)庫(kù)身份驗(yàn)證
　　5.4.2 數(shù)據(jù)庫(kù)授權(quán)
　　5.4.3 數(shù)據(jù)庫(kù)安全配置
　　5.4.4 加密敏感數(shù)據(jù)
　　5.4.5 安全處理出錯(cuò)數(shù)據(jù)
　　5.4.6 正確安裝數(shù)據(jù)庫(kù)
　第6章 把住用戶輸入關(guān)
　　6.1 需要驗(yàn)證的數(shù)據(jù)
　　6.2 幾種常見驗(yàn)證方案
　　6.2.1 圖片和附加碼數(shù)據(jù)驗(yàn)證
　　6.2.2 web表單數(shù)據(jù)驗(yàn)證
　　6.2.3 web窗體數(shù)據(jù)驗(yàn)證
　　6.3 信息過濾
第三部分
　第7章 編寫安全中間件
　　7.1 脆弱的中間件
　　7.2 如何設(shè)計(jì)中間件
　　7.3 設(shè)計(jì)中間件的權(quán)限
　　7.4 一個(gè)中間件的實(shí)例
　　7.5 強(qiáng)簽名與反編譯
　　7.6 如何操作存儲(chǔ)系統(tǒng)
　第8章 asp.net角色機(jī)制
　　8.1 asp.net安全管道
　　8.1.1 http請(qǐng)求處理流程
　　8.1.2 安全http管道
　　8.1.3 過濾器
　　8.2 角色安全認(rèn)證
　　8.2.1 11s和asp.net用戶認(rèn)證流程
　　8.2.2 asp.net用戶認(rèn)證
　　8.2.3 使用asp.net管理工具添加用戶
　　8.2.4 角色管理系統(tǒng)
　　8.2.5 使用membership／roleapi添加用戶
　　8.3 窗體驗(yàn)證
　　8.4 混合認(rèn)證
　　8.4.1 基于iis的windows身份驗(yàn)證
　　8.4.2 基于活動(dòng)目錄的windows身份驗(yàn)證
　第9章 構(gòu)建可靠session
　　9.1 session的概念
　　9.2 安全session的運(yùn)行時(shí)
　　9.3 如何創(chuàng)建session
　　9.4 利用加密連接加固session
　　9.5 使用權(quán)標(biāo)
　　9.6 合理配置session
　　9.7 正確處理鏈接
　　9.8 利用數(shù)據(jù)庫(kù)保存session
　第10章 安全的provider模式
　　10.1 asp.net的membershipprovider
　　10.2 實(shí)現(xiàn)自定義的membershipprovider類
　　10.3 安全使用sitemap
　第11章 保護(hù)錯(cuò)誤信息
　　11.1 安全處理asp.net系統(tǒng)錯(cuò)誤
　　11.1.1 錯(cuò)誤異常處理機(jī)制
　　11.1.2 錯(cuò)誤異常組成
　　11.2 異常處理程序的設(shè)計(jì)
　　11.2.1 錯(cuò)誤異常的引發(fā)
　　11.2.2 錯(cuò)誤異常的處理
　　11.2.3 錯(cuò)誤異常的捕獲
　　11.2.4 設(shè)計(jì)自定義錯(cuò)誤異常
　　11.2.5 錯(cuò)誤異常的性能
　　11.2.6 顯示安全的錯(cuò)誤信息
　　11.3 監(jiān)控自己系統(tǒng)的安全狀態(tài)
　　11.3.1 web系統(tǒng)安全監(jiān)控
　　11.3.2 記錄錯(cuò)誤信息
　　11.3.3 日志組件
　第12章 web系統(tǒng)與釣魚技術(shù)
　　12.1 反射型xss漏洞
　　12.2 保存型xss漏洞
　　12.3 重定向漏洞
　　12.4 本站點(diǎn)請(qǐng)求漏洞
第四部分
　第13章 程序間的訪問策略
　　13.1 代碼信任技術(shù)概述
　　13.2 資源訪問安全
　　13.3 完全信任和部分信任
　　13.4 代碼訪問安全配置
　　13.5 asp.net策略文件
　　13.6 asp.net安全策略
　　13.7 開發(fā)部分信任web應(yīng)用程序
　　13.8 部分信任級(jí)的配置方法
　　13.9 部分信任的web應(yīng)用程序處理策略
　　13.1 0自定義策略
　　13.1 1沙箱保護(hù)策略
　　13.1 2中度信任程序
　　13.1 3中度信任的限制
　第14章 正確加固ils
　　14.1 配置安全的操作系統(tǒng)
　　14.2 安全配置ils
　　14.3 使用iis
　　14.4 11s安全設(shè)置
　　14.4.1 角色設(shè)置
　　14.4.2 頁(yè)面和控件設(shè)置
　　14.4.3 監(jiān)控web系統(tǒng)安全
　　14.4.4 安全密鑰配置
　　14.4.5 安全日志配置
　第15章 代碼漏洞檢測(cè)軟件
　　15.1 檢測(cè)http協(xié)議
　　15.1.1 fiddler工具
　　15.2 黑盒技術(shù)
　　15.3 二進(jìn)制代碼分析
　　15.4 數(shù)據(jù)庫(kù)安全掃描
參考文獻(xiàn)
　　　　

章節(jié)摘錄

版權(quán)頁(yè)：插圖：本章主要介紹在.NET框架下開發(fā)Web應(yīng)用時(shí)必須用到的安全控件，這些控件與安全代碼一起構(gòu)成了安全罩。對(duì)于用戶來(lái)說(shuō)，這些控件是系統(tǒng)界面所必須的元素。對(duì)于開發(fā)人員來(lái)說(shuō)，正確并有效地使用安全控件能夠迅速的構(gòu)建最基本的安全體系。安全控件實(shí)質(zhì)上是一種程序，可以依據(jù)Web應(yīng)用的需要進(jìn)行編寫。目前，安全控件主要應(yīng)用于銀行的網(wǎng)銀及網(wǎng)絡(luò)交易平臺(tái)，用來(lái)保護(hù)用戶的賬號(hào)和密碼等信息，避免經(jīng)濟(jì)損失。

編輯推薦

《無(wú)懈可擊:全方位構(gòu)建安全Web系統(tǒng)》：操作性強(qiáng)，通過圖文并茂的方式把復(fù)雜的問題簡(jiǎn)單化，讓讀者看得懂、學(xué)得會(huì)、用得上。內(nèi)容全面，《無(wú)懈可擊:全方位構(gòu)建安全Web系統(tǒng)》涵蓋Web系統(tǒng)從設(shè)計(jì)到開發(fā)、防御等領(lǐng)域所需要的全部技術(shù)。案例經(jīng)典，實(shí)例涵蓋存儲(chǔ)、通訊、釣魚技術(shù)等與安全最相關(guān)的領(lǐng)域。通用性強(qiáng)，《無(wú)懈可擊:全方位構(gòu)建安全Web系統(tǒng)》采用目前最通用的．NETWeb程序，方便讀者參考借鑒。第一部分介紹了開發(fā)安全Web系統(tǒng)必須具備的基本概念，必須掌握的安全類庫(kù)和網(wǎng)站標(biāo)準(zhǔn)化安全控件。這部分內(nèi)容主要是打基礎(chǔ)，為讀者閱讀后續(xù)章節(jié)提供方便。同時(shí)讀者通過案例講解能夠更加深刻地理解Web程序安全性的必要，以及自己編程時(shí)應(yīng)注意的一些重要環(huán)節(jié)。第二部分討論了如何進(jìn)行數(shù)據(jù)加密和驗(yàn)證，保護(hù)系統(tǒng)敏感數(shù)據(jù)的同時(shí)防止黑客的暴力探測(cè)和注入攻擊。這部分內(nèi)容是時(shí)下的大熱點(diǎn)，因?yàn)楹诳妥罱K需要獲取的就是這些數(shù)據(jù)，比如用戶資料、賬號(hào)、客戶聯(lián)系方式等。如何保護(hù)好核心數(shù)據(jù)免受黑客的攻擊，是這部分講述的重點(diǎn)。第三部分闡述了如何使用與程序運(yùn)行平臺(tái)有關(guān)的安全功能，包括組件安全、會(huì)話安全、代碼信任和網(wǎng)站釣魚技術(shù)的防與治。這部分內(nèi)容非常實(shí)用和高效，通過對(duì)服務(wù)器和Web系統(tǒng)相關(guān)配置文件進(jìn)行設(shè)置。從而成倍地加強(qiáng)了Web系統(tǒng)的安全可靠性。第四部分重點(diǎn)介紹了服務(wù)器上如何安全地部署程序，以及測(cè)試代碼的安全性和可能存在的漏洞。不管敵人招數(shù)千變?nèi)f化，研發(fā)和維護(hù)人員所要做的就是將漏洞隱患消滅在萌芽階段。讀者對(duì)象：網(wǎng)站開發(fā)人員，網(wǎng)站應(yīng)用程序設(shè)計(jì)和開發(fā)人員，網(wǎng)站系統(tǒng)的管理維護(hù)人員，網(wǎng)站開發(fā)和網(wǎng)站安全愛好者。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    無(wú)懈可擊 PDF格式下載

---