《ASP.NET安全編程入門經典》是2011年清華大學出版社出版的圖書,作者是(英)多蘭斯(Dorrans,B.)。
基本介紹
- 作者:(英) 多蘭斯(Dorrans, B.)
- 譯者:臧國輕
- ISBN:9787302263746
- 頁數:381
- 定價:59.80元
- 出版社:清華大學出版社
- 出版時間:2011-11
- 原作名:Beginning ASP.NET Security
內容介紹,作者介紹,作品目錄,
內容介紹
《ASP.NET安全編程入門經典》適合ASP.NET初學者和中級水平的ASP.NET編程人員閱讀,本書為保護ASP.NET開發的每個領域提供了逐步的解決方案,而不是從理論上來解決安全問題。作為Microsoft MVP的Barry Dorrans向您說明了日常代碼如何被攻擊的示例,並描述了防禦攻擊的幾個必要步驟。此外,您還將學習如何使用Microsoft和其他供應商提供的.NET 框架、產業模式、最佳實踐、代碼庫和資源來保護您的應用程式。
作者介紹
Barry Dorrans,“可視化工具——安全”領
域的資深顧問、演講家和Microsoft MVP,他的
開發和編寫風格融合了幽默和狂想,這種風格適
合考慮安全方面的問題。
作品目錄
目 錄
第1章 Web安全的重要性 1
1.1 案例解析 1
1.2 風險與回報 4
1.3 構建安全體系 5
1.3.1 分層防禦 6
1.3.2 不存在可信任的輸入數據 7
1.3.3 關注錯誤提醒 7
1.3.4 監視攻擊 7
1.3.5 使用最小特權 7
1.3.6 防火牆和加密不能確保全全 8
1.3.7 安全應該是默認狀態 8
1.3.8 代碼防禦 8
1.4 OWASP中的十大安全隱患 9
1.5 進一步學習 10
1.6 本章小結 10
第Ⅰ部分 ASP.NET安全基礎
第2章 Web工作原理 13
2.1 深入理解HTTP 13
2.1.1 請求資源 14
2.1.2 請求回響 15
2.1.3 嗅探HTTP請求和回響 17
2.2 理解HTML表單 18
2.3 ASP.NET的工作原理 27
2.3.1 理解ASP.NET事件的工作
原理 27
2.3.2 檢查ASP.NET管道 31
2.3.3 編寫HTTP模組 31
2.4 本章小結 34
第3章 安全接受用戶輸入 35
3.1 定義輸入 35
3.2 安全處理輸入 36
3.2.1 安全應答用戶輸入 37
3.2.2 緩解XSS攻擊 41
3.2.3 Microsoft Anti-XSS庫 43
3.2.4 限制輸入 45
3.2.5 保護cookie 48
3.3 驗證表單輸入 49
3.3.1 驗證控制項 51
3.3.2 標準的ASP.NET驗證
控制項 52
3.4 本章小結 59
第4章 查詢字元串、表單域、事件
和瀏覽器信息的用法 61
4.1 使用合適的輸入類型 61
4.2 查詢字元串 62
4.3 表單域 63
4.4 避免請求偽造 64
4.5 保護ASP.NET事件 76
4.6 避免瀏覽器信息錯誤 78
4.7 本章小結 80
第5章 控制信息 81
5.1 控制ViewState 81
5.1.1 驗證ViewState 83
5.1.2 加密ViewState 85
5.1.3 保護ViewState避免一鍵
攻擊 85
5.1.4 從客戶端頁面中刪除
ViewState 87
5.1.5 禁用瀏覽器快取 88
5.2 錯誤處理和日誌記錄 88
5.2.1 改善錯誤處理 90
5.2.2 注意特殊異常 91
5.2.3 記錄錯誤和監視應用程式 91
5.3 限制搜尋引擎 104
5.3.1 使用元標記控制機器人 105
5.3.2 使用robots.txt檔案控制
機器人 105
5.4 保護配置檔案中的密碼 106
5.5 本章小結 108
第6章 散列和加密 109
6.1 使用散列保護完整性 110
6.1.1 選擇散列算法 110
6.1.2 保護散列密碼 112
6.2 加密數據 115
6.2.1 對稱加密 116
6.2.2 使用非對稱加密來共享
數據 123
6.2.3 使用Windows DPAPI 138
6.3 本章小結 139
第Ⅱ部分 保護常見的ASP.NET任務
第7章 添加用戶名和密碼 143
7.1 身份驗證和授權 144
7.2 發現您自己的身份 144
7.3 添加ASP.NET身份驗證 146
7.3.1 表單身份驗證 146
7.3.2 Windows身份驗證 157
7.4 ASP.NET授權 161
7.4.1 檢查<allow>和<deny>
元素 162
7.4.2 基於角色授權 163
7.4.3 限制訪問檔案或者資料夾
的許可權 168
7.4.4 以編程方式檢查用戶和
角色 171
7.5 本章小結 171
第8章 安全訪問資料庫 173
8.1 糟糕代碼:演示SQL注入
攻擊 174
8.2 修補漏洞 179
8.3 更多SQL Server安全措施 182
8.3.1 沒有密碼的連線 183
8.3.2 SQL許可權 184
8.3.3 使用視圖 186
8.3.4 SQL Express用戶實例 187
8.3.5 內置Web Server的缺點 188
8.3.6 動態SQL存儲過程 188
8.3.7 使用SQL加密 189
8.4 本章小結 193
第9章 使用檔案系統 195
9.1 安全訪問現有的檔案 195
9.1.1 靜態檔案的安全性 201
9.1.2 檔案下載和設定檔案名稱 204
9.1.3 更深入的檔案訪問檢查 204
9.1.4 訪問遠程檔案 206
9.2 安全創建檔案 206
9.3 處理用戶上傳檔案 209
9.4 本章小結 212
第10章 保護XML 213
10.1 驗證XML 213
10.1.1 格式良好的XML 213
10.1.2 有效的XML 214
10.1.3 XML解析器 215
10.2 查詢XML 222
10.3 保護XML文檔 225
10.3.1 加密XML文檔 226
10.3.2 簽名XML文檔 234
10.4 本章小結 240
第Ⅲ部分 ASP.NET高級內容
第11章 與WCF共享數據 243
11.1 創建和使用WCF服務 243
11.2 WCF的安全和隱秘性 247
11.2.1 傳輸安全模式 247
11.2.2 訊息安全模式 248
11.2.3 混合模式 249
11.2.4 選擇安全模式 249
11.2.5 選擇客戶端憑據 249
11.3 增加Internet服務的
安全性 250
11.4 使用WCF簽名訊息 261
11.5 WCF的日誌和審計功能 265
11.6 使用檢查器來驗證參數 267
11.7 使用訊息檢查器 269
11.8 在WCF中拋出錯誤 273
11.9 本章小結 274
第12章 保護RIA 277
12.1 RIA體系結構 278
12.2 Ajax應用程式的安全性 278
12.2.1 XMLHttpRequest對象 279
12.2.2 Ajax同源策略 280
12.2.3 Microsoft ASP.NET Ajax
架構 281
12.3 Silverlight應用程式的
安全性 289
12.3.1 CoreCLR安全模型 289
12.3.2 使用HTML Bridge 291
12.3.3 訪問本地檔案系統 295
12.3.4 在Silverlight中使用加密
算法 297
12.3.5 使用Silverlight訪問Web
和Web服務 300
12.4 在Ajax和Silverlight中使用
ASP.NET身份驗證和授權 301
12.5 本章小結 302
第13章 代碼訪問安全性 303
13.1 代碼訪問安全性 303
13.1.1 ASP.NET信任級別 305
13.1.2 .NET 4新特性 314
13.2 本章小結 315
第14章 保護IIS 317
14.1 安裝和配置IIS 7 317
14.1.1 IIS角色服務 319
14.1.2 創建和配置應用程式池 322
14.1.3 在IIS中配置信任級別 324
14.2 過濾請求 326
14.2.1 過濾雙重編碼請求 327
14.2.2 使用非ASCII字元過濾
請求 327
14.2.3 以檔案擴展名為基礎
過濾請求 327
14.2.4 以請求大小為基礎過濾
請求 328
14.2.5 以HTTP動詞為基礎
過濾請求 328
14.2.6 以URL序列為基礎過濾
請求 329
14.2.7 以請求段為基礎過濾
請求 329
14.2.8 以請求頭檔案為基礎
過濾請求 329
14.2.9 拒絕請求的狀態碼 330
14.3 使用Log Parser挖掘IIS
日誌檔案 330
14.4 使用證書 336
14.4.1 請求SSL證書 337
14.4.2 配置站點以使用
HTTPS 339
14.4.3 建立測試CA 339
14.5 本章小結 341
第15章 第三方身份驗證 343
15.1 聯合身份簡史 343
15.2 使用WIF接收SAML和
Information Card 346
15.2.1 創建一個聲明感知Web
站點 347
15.2.2 接受Information Card 349
15.2.3 使用聲明身份 357
15.3 在Web站點中使用
OpenID 358
15.4 在Web站點中使用
Windows Live ID 363
15.5 表單身份驗證與第三方身份
驗證集成策略 366
15.6 本章小結 367
第16章 ASP.NET MVC架構
安全開發 369
16.1 MVC輸入和輸出 370
16.1.1 避免XSS攻擊 370
16.1.2 避免CSRF攻擊 371
16.1.3 保護模型綁定 371
16.1.4 模型驗證和錯誤訊息 373
16.2 ASP.NET MVC身份驗證和
授權 375
16.2.1 授權操作和控制器 376
16.2.2 保護公共控制器方法 377
16.2.3 發現當前用戶 377
16.2.4 使用授權過濾器自定義
授權 378
16.3 錯誤處理 379
16.4 本章小結 381
第1章 Web安全的重要性 1
1.1 案例解析 1
1.2 風險與回報 4
1.3 構建安全體系 5
1.3.1 分層防禦 6
1.3.2 不存在可信任的輸入數據 7
1.3.3 關注錯誤提醒 7
1.3.4 監視攻擊 7
1.3.5 使用最小特權 7
1.3.6 防火牆和加密不能確保全全 8
1.3.7 安全應該是默認狀態 8
1.3.8 代碼防禦 8
1.4 OWASP中的十大安全隱患 9
1.5 進一步學習 10
1.6 本章小結 10
第Ⅰ部分 ASP.NET安全基礎
第2章 Web工作原理 13
2.1 深入理解HTTP 13
2.1.1 請求資源 14
2.1.2 請求回響 15
2.1.3 嗅探HTTP請求和回響 17
2.2 理解HTML表單 18
2.3 ASP.NET的工作原理 27
2.3.1 理解ASP.NET事件的工作
原理 27
2.3.2 檢查ASP.NET管道 31
2.3.3 編寫HTTP模組 31
2.4 本章小結 34
第3章 安全接受用戶輸入 35
3.1 定義輸入 35
3.2 安全處理輸入 36
3.2.1 安全應答用戶輸入 37
3.2.2 緩解XSS攻擊 41
3.2.3 Microsoft Anti-XSS庫 43
3.2.4 限制輸入 45
3.2.5 保護cookie 48
3.3 驗證表單輸入 49
3.3.1 驗證控制項 51
3.3.2 標準的ASP.NET驗證
控制項 52
3.4 本章小結 59
第4章 查詢字元串、表單域、事件
和瀏覽器信息的用法 61
4.1 使用合適的輸入類型 61
4.2 查詢字元串 62
4.3 表單域 63
4.4 避免請求偽造 64
4.5 保護ASP.NET事件 76
4.6 避免瀏覽器信息錯誤 78
4.7 本章小結 80
第5章 控制信息 81
5.1 控制ViewState 81
5.1.1 驗證ViewState 83
5.1.2 加密ViewState 85
5.1.3 保護ViewState避免一鍵
攻擊 85
5.1.4 從客戶端頁面中刪除
ViewState 87
5.1.5 禁用瀏覽器快取 88
5.2 錯誤處理和日誌記錄 88
5.2.1 改善錯誤處理 90
5.2.2 注意特殊異常 91
5.2.3 記錄錯誤和監視應用程式 91
5.3 限制搜尋引擎 104
5.3.1 使用元標記控制機器人 105
5.3.2 使用robots.txt檔案控制
機器人 105
5.4 保護配置檔案中的密碼 106
5.5 本章小結 108
第6章 散列和加密 109
6.1 使用散列保護完整性 110
6.1.1 選擇散列算法 110
6.1.2 保護散列密碼 112
6.2 加密數據 115
6.2.1 對稱加密 116
6.2.2 使用非對稱加密來共享
數據 123
6.2.3 使用Windows DPAPI 138
6.3 本章小結 139
第Ⅱ部分 保護常見的ASP.NET任務
第7章 添加用戶名和密碼 143
7.1 身份驗證和授權 144
7.2 發現您自己的身份 144
7.3 添加ASP.NET身份驗證 146
7.3.1 表單身份驗證 146
7.3.2 Windows身份驗證 157
7.4 ASP.NET授權 161
7.4.1 檢查<allow>和<deny>
元素 162
7.4.2 基於角色授權 163
7.4.3 限制訪問檔案或者資料夾
的許可權 168
7.4.4 以編程方式檢查用戶和
角色 171
7.5 本章小結 171
第8章 安全訪問資料庫 173
8.1 糟糕代碼:演示SQL注入
攻擊 174
8.2 修補漏洞 179
8.3 更多SQL Server安全措施 182
8.3.1 沒有密碼的連線 183
8.3.2 SQL許可權 184
8.3.3 使用視圖 186
8.3.4 SQL Express用戶實例 187
8.3.5 內置Web Server的缺點 188
8.3.6 動態SQL存儲過程 188
8.3.7 使用SQL加密 189
8.4 本章小結 193
第9章 使用檔案系統 195
9.1 安全訪問現有的檔案 195
9.1.1 靜態檔案的安全性 201
9.1.2 檔案下載和設定檔案名稱 204
9.1.3 更深入的檔案訪問檢查 204
9.1.4 訪問遠程檔案 206
9.2 安全創建檔案 206
9.3 處理用戶上傳檔案 209
9.4 本章小結 212
第10章 保護XML 213
10.1 驗證XML 213
10.1.1 格式良好的XML 213
10.1.2 有效的XML 214
10.1.3 XML解析器 215
10.2 查詢XML 222
10.3 保護XML文檔 225
10.3.1 加密XML文檔 226
10.3.2 簽名XML文檔 234
10.4 本章小結 240
第Ⅲ部分 ASP.NET高級內容
第11章 與WCF共享數據 243
11.1 創建和使用WCF服務 243
11.2 WCF的安全和隱秘性 247
11.2.1 傳輸安全模式 247
11.2.2 訊息安全模式 248
11.2.3 混合模式 249
11.2.4 選擇安全模式 249
11.2.5 選擇客戶端憑據 249
11.3 增加Internet服務的
安全性 250
11.4 使用WCF簽名訊息 261
11.5 WCF的日誌和審計功能 265
11.6 使用檢查器來驗證參數 267
11.7 使用訊息檢查器 269
11.8 在WCF中拋出錯誤 273
11.9 本章小結 274
第12章 保護RIA 277
12.1 RIA體系結構 278
12.2 Ajax應用程式的安全性 278
12.2.1 XMLHttpRequest對象 279
12.2.2 Ajax同源策略 280
12.2.3 Microsoft ASP.NET Ajax
架構 281
12.3 Silverlight應用程式的
安全性 289
12.3.1 CoreCLR安全模型 289
12.3.2 使用HTML Bridge 291
12.3.3 訪問本地檔案系統 295
12.3.4 在Silverlight中使用加密
算法 297
12.3.5 使用Silverlight訪問Web
和Web服務 300
12.4 在Ajax和Silverlight中使用
ASP.NET身份驗證和授權 301
12.5 本章小結 302
第13章 代碼訪問安全性 303
13.1 代碼訪問安全性 303
13.1.1 ASP.NET信任級別 305
13.1.2 .NET 4新特性 314
13.2 本章小結 315
第14章 保護IIS 317
14.1 安裝和配置IIS 7 317
14.1.1 IIS角色服務 319
14.1.2 創建和配置應用程式池 322
14.1.3 在IIS中配置信任級別 324
14.2 過濾請求 326
14.2.1 過濾雙重編碼請求 327
14.2.2 使用非ASCII字元過濾
請求 327
14.2.3 以檔案擴展名為基礎
過濾請求 327
14.2.4 以請求大小為基礎過濾
請求 328
14.2.5 以HTTP動詞為基礎
過濾請求 328
14.2.6 以URL序列為基礎過濾
請求 329
14.2.7 以請求段為基礎過濾
請求 329
14.2.8 以請求頭檔案為基礎
過濾請求 329
14.2.9 拒絕請求的狀態碼 330
14.3 使用Log Parser挖掘IIS
日誌檔案 330
14.4 使用證書 336
14.4.1 請求SSL證書 337
14.4.2 配置站點以使用
HTTPS 339
14.4.3 建立測試CA 339
14.5 本章小結 341
第15章 第三方身份驗證 343
15.1 聯合身份簡史 343
15.2 使用WIF接收SAML和
Information Card 346
15.2.1 創建一個聲明感知Web
站點 347
15.2.2 接受Information Card 349
15.2.3 使用聲明身份 357
15.3 在Web站點中使用
OpenID 358
15.4 在Web站點中使用
Windows Live ID 363
15.5 表單身份驗證與第三方身份
驗證集成策略 366
15.6 本章小結 367
第16章 ASP.NET MVC架構
安全開發 369
16.1 MVC輸入和輸出 370
16.1.1 避免XSS攻擊 370
16.1.2 避免CSRF攻擊 371
16.1.3 保護模型綁定 371
16.1.4 模型驗證和錯誤訊息 373
16.2 ASP.NET MVC身份驗證和
授權 375
16.2.1 授權操作和控制器 376
16.2.2 保護公共控制器方法 377
16.2.3 發現當前用戶 377
16.2.4 使用授權過濾器自定義
授權 378
16.3 錯誤處理 379
16.4 本章小結 381
