开发更安全的ASP.NET 2.0应用程序【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

开发更安全的ASP.NET 2.0应用程序PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　Web应用程序安全1

1.1　OWASP Top 102

1.2　总体原则3

1.2.1　安全是一种特性4

1.2.2　使用最低权限4

1.2.3　预防、监测和反应4

1.2.4　分层防御5

1.2.5　不存在可信的输入5

1.2.6　注意故障模式5

1.2.7　注意应用程序拒绝服务5

1.2.8　首选默认安全措施5

1.2.9　加密不能确保安全6

1.2.10　防火墙不能确保安全6

1.3 小结7

第2章　ASP.NET 2.0架构8

2.1 理解宿主8

2.2　理解管线12

2.2.1 HTTP模块12

2.2.2　编写模块14

2.2.3　处理程序15

2.2.4　检查管线16

2.3　编译ASP.NET页19

2.4 小结22

第3章　输入验证23

3.1　什么是输入23

3.2　输入验证的必要性25

3.3　输入验证技术32

3.3.1　黑名单32

3.3.2 白名单35

3.4　缓解技术39

3.4.1　输出编码39

3.4.2 沙盒43

3.4.3　完整性检查44

3.5　ASP.NET应用程序中的验证45

3.5.1 自动验证服务45

3.5.2　表单验证53

3.5.3　创建自定义验证控件64

3.6 小结71

第4章　存储机密72

4.1　识别攻击和攻击者72

4.2　加密术是救星吗73

4.3 哈希数据73

4.3.1　哈希算法74

4.3.2 .NET的哈希算法75

4.4　保存密码76

4.5　加密数据79

4.5.1　对称性加密79

4.5.2　加密算法80

4.5.3 密钥和密钥大小81

4.5.4　.NET的对称性加密86

4.5.5　完整性保护87

4.5.6　整合：设计使用对称性加密的应用程序89

4.5.7　非对称性加密96

4.5.8　证书97

4.5.9　在.NET中使用非对称性加密证书99

4.5.10　整合：设计使用非对称性加密和证书的应用程序104

4.6　使用Windows数据保护API110

4.7　保护配置数据113

4.7.1　配置和安装114

4.7.2　保护配置116

4.8　保护ViewState120

4.9　小结123

第5章　验证和授权125

5.1　基础知识125

5.1.1　术语126

5.1.2　应用程序设计126

5.1.3　ASP.NET安全管道129

5.1.4　.NET安全架构和基于角色的安全131

5.1.5　服务器验证136

5.2　使用Windows账户137

5.2.1　IIS验证方法138

5.2.2　授权143

5.2.3　模拟143

5.2.4　委托152

5.2.5　安全上下文和访问外部资源158

5.3　使用自定义账户161

5.3.1　表单验证162

5.3.2　表单验证机制165

5.3.3　配置表单验证167

5.3.4　确保表单验证的安全168

5.3.5　自定义表单验证169

5.3.6　Web场177

5.3.7　单点登录178

5.3.8　使用ASP.NET保护非ASP.NET资源182

5.4　混合方法188

5.4.1 手动Windows验证188

5.4.2　协议转换197

5.4.3　对自定义账户实现基本验证198

5.4.4 用户证书201

5.4.5　混合模式验证210

5.5 小结216

第6章　安全提供程序和控件217

6.1　理解成员功能218

6.1.1 方法218

6.1.2　事件221

6.1.3　成员配置222

6.1.4　SQL成员提供程序222

6.1.5　Active Directory成员提供程序225

6.1.6　与成员相关的控件227

6.2　理解角色管理器232

6.2.1 角色管理器模块234

6.2.2　角色管理器配置236

6.2.3　SQL角色提供程序238

6.2.4　Windows令牌角色提供程序239

6.2.5　授权存储角色提供程序242

6.2.6　与角色相关的控件244

6.2.7　成员和角色打包245

6.3　使用SiteMap导航245

6.4　创建功能和提供程序248

6.5　指南269

6.6　小结270

第7章 日志和监测271

7.1　错误处理271

7.1.1　获取401非授权错误274

7.1.2　错误处理276

7.2 日志和监测280

7.2.1　事件日志282

7.2.2　性能监视器284

7.2.3 电子邮件286

7.2.4　Windows管理监测287

7.2.5 ASP.NET跟踪和System.Diagnostics.Trace291

7.2.6 日志和部分信任294

7.3　健康监测框架295

7.3.1　创建事件296

7.3.2　配置健康检测299

7.3.3 SQL服务器提供程序307

7.3.4　WMI提供程序308

7.3.5 电子邮件提供程序309

7.3.6　编写自定义提供程序311

7.3.7　编写自定义缓冲提供程序314

7.3.8　状态监视和部分信任317

7.3.9　指南318

7.4　小结318

第8章　部分信任ASP.NET319

8.1　为什么选择部分信任319

8.2　配置部分信任324

8.3　理解策略文件327

8.3.1　安全类327

8.3.2　命名权限集328

8.3.3　代码组329

8.3.4　策略加载和解析331

8.4　自定义策略文件332

8.5 分割代码337

8.5.1　重构代码338

8.5.2　堆栈审核341

8.5.3　为经过分区的程序集修改策略343

8.5.4　限制调用组件的用户346

8.6　创建自定义权限348

8.6.1　权限类348

8.6.2　封装355

8.6.3　属性355

8.7　SecurityException的作用356

8.8　锁定配置358

8.9　小结359

第9章　部署和配置360

9.1　总指导原则360

9.2　操作系统强化361

9.2.1 自动更新362

9.2.2　禁用服务和协议362

9.2.3 包过滤364

9.2.4　保护Windows文件共享365

9.2.5 审核366

9.3　数据库服务器强化366

9.4　Web服务器强化367

9.4.1　应用程序池367

9.4.2　Web服务扩展368

9.4.3 Web内容369

9.4.4 HTTP头369

9.4.5 日志369

9.4.6　URLScan369

9.4.7　访问控制列表370

9.4.8 启用SSL372

9.4.9　验证方法373

9.5　ASP.NET强化373

9.5.1　配置锁死373

9.5.2　推荐设置376

9.5.3　预编译380

9.6　小结382

第10章　工具和资源383

10.1　工具类型383

10.2　确定合适的工具383

10.3 浏览代理服务器和HTTP协议检测工具384

10.3.1 Fiddler385

10.3.2　Paros385

10.3.3 WebScarab385

10.3.4　WSDigger386

10.4　黑盒扫描器386

10.4.1 SPI Dynamics WebInspect387

10.4.2　Watchfire AppScan387

10.4.3　Berretta387

10.5 配置分析387

10.5.1 SSL Digger387

10.5.2　PermCalc388

10.5.3　Desaware CAS Tester388

10.5.4　ANSA388

10.5.5 IIS Lockdown388

10.6　源代码分析器388

10.6.1 Foundstone CodeScout392

10.6.2 Microsoft PREfix和PREfast392

10.6.3 Compuware ASP.NET Security Checker393

10.6.4　SPI Dynamics DevInspect394

10.7　多功能工具394

10.8　二进制分析399

10.8.1　静态二进制分析工具399

10.8.2　动态（“运行时”）二进制分析401

10.8.3　调试器403

10.8.4　反编译器／模糊处理器403

10.9　数据库扫描器405

10.9.1 AppDetective405

10.9.2　MetaCoretex406

10.9.3 NGSSquirrel406

10.10　博客406

10.11 小结408

附录A　创建自定义受保护配置提供程序409

附录B　会话状态413

B.1　会话状态如何工作414

B.1.1　Cookie vs．查询字符串414

B.1.2　超时设定415

B.1.3　会话模式415

B.2　会话存储416

B.2.1　进程内提供程序416

B.2.2　状态服务器416

B.2.3　SQL Server417

B.3 小结419

附录C　分拆ASP.NET应用程序420

C.1　创建服务器端421

C.2　创建客户端424

C.3　创建部分信任客户端425

C.4　小结427

附录D　安全的Web服务428

D.1 适用情况428

D.2　安全的通信和服务器验证428

D.3 客户端验证430

D.4　小结431

附录E　使用Visual StudioTeam Edition进行单元测试432

E.1　测试驱动开发432

E.2　运行测试433

E.3　测试现有代码434

E.4　测试列表和测试运行配置435

E.5　建立正确的测试环境437

E.6　测试私有方法438

E.7　预期的错误439

E.8　数据驱动测试440

E.9　数据驱动测试的数据管理442

E.10　测试Web服务代码443

E.11 在ASP.NET内部运行测试445

E.12　小结447