中文名: Web安全設計之道：.NET代碼安全、界面漏洞防范與程序優化楊雲，劉君
作者: 楊雲
劉君
圖書分類: 軟件
資源格式: PDF
版本: 掃描版
出版社: 人民郵電出版社
書號: 9787115211965
發行時間: 2009年10月01日
地區: 大陸
語言: 簡體中文
簡介:



內容簡介：
《Web安全設計之道：.NET代碼安全、界面漏洞防范與程序優化》作者總結了多年項目實施和管理經驗，在此基礎上加以提煉，試圖用最簡明易懂的方式介紹.NET框架下的安全問題以及應對措施。《Web安全設計之道：.NET代碼安全、界面漏洞防范與程序優化》內容涉及Web應用程序安全、代碼安全、數據庫安全通信、數據驗證、身份驗證、組件安全、會話安全以及安全日志的設計等，並用典型實例作為引導，介紹各種安全類庫和安全編程，帶領讀者進入神秘而妙不可言的.NET安全世界。隨著Web應用程序日益廣泛的應用，基於Web環境的安全性也越來越成為人們關注的問題，.NET框架的安全性給使用.NET平台編程的所有開發人員和用戶帶來了解決安全問題的福音。
　　《Web安全設計之道：.NET代碼安全、界面漏洞防范與程序優化》適合.NET平台下的開發人員、項目經理及系統管理人員閱讀。
資源來自網絡，如侵犯了您的權利，請點擊，謝謝！
網盤分流地址：[Web安全設計之道：.NET代碼安全、界面漏洞防范與程序優化].楊雲等.掃描版.pdf
網站建設及安全等電子書專題庫
內容截圖：

目錄:


第1章 Web應用程序安全概述 1
事情總有兩面性，Web應用程序在帶給我們便利的同時，也帶來了風險和問題，如何預防？如何控制？讓我們從頭細說
1.1 Web應用程序的安全性 1
追根溯源，總覽應用程序的安全性
1.1.1 代碼訪問安全性 3
1.1.2 基於角色的安全性 8
Web應用系統安全是一個整體，不該將其各部分分裂來看，明確.NET安全技術各個部分如何相互協作，應用系統整體安全將受益匪淺
1.2 Web應用系統安全模型 11
1.3 .NET安全類庫 15
全面地介紹安全API參考，涉及.NET框架基礎類庫中與安全有關的命名空間
1.3.1 安全類庫的內部關系 16
1.3.2 System.Security 16
1.3.3 System.Security.Cryptography 18
1.3.4 System.Security.Principal 19
1.3.5 System.Security.Policy 21
1.3.6 System.Security.Permissions 23
1.3.7 System.Web.Security 25
第2章 ASP.NET的安全控件 27
“工欲善其事，必先利其器”，能夠開發出安全的Web應用程序，安全控件功不可沒
2.1 登錄控件 27
2.2 登錄狀態控件 29
2.3 密碼維護控件 30
2.4 創建用戶向導控件 33
2.5 頁面訪問控件 35
第3章 Web應用系統的數據加密 37
數據加密永遠是Web應用系統中最需要關注的部分，我們不僅介紹了流行的加密方法，還為開發人員提供了編程參考
3.1 數據安全威脅 37
3.2 哈希加密算法 37
3.3 Windows API加密方法 43
3.4 配置信息加密方法 50
3.4.1 DpapiProtectedConfiguration Provider類 52
3.4.2 RsaProtectedConfiguration Provider類 56
3.5 保護視圖數據 60
視圖狀態中的數據總是讓黑客們垂涎三尺，但“道高一尺，魔高一丈”，在視圖中進行數據傳輸的同時，地下秘密保護工作也在積極進行
3.5.1 開啟視圖保護開關 62
3.5.2 加密視圖信息 64
3.5.3 用戶獨立視圖 66
3.6 通過密鑰進行數據加密 67
.NET安全命名空間Cryptography下的3種加密方法
3.6.1 對稱加密算法 68
3.6.2 非對稱加密算法 72
3.6.3 證書加密 75
第4章 數據庫安全通信 80
以SQL注入為典型代表的攻擊讓數據庫脆弱不堪，當今很多黑客攻擊和數據丟失事件都是從數據庫切入的，進行安全的數據庫連接對於保證數據庫正常運行尤為重要
4.1 SQL注入攻擊 80
SQL注入攻擊是一種常見的Web應用程序的安全漏洞，注入二字形象地描述了黑客攻擊性行為特點，攻擊理由也非常簡單：數據庫是系統數據的大本營。我們所要做的，首先就是保證後方安全
4.1.1 攻擊原理 81
4.1.2 攻擊方式 81
4.1.3 防范方法 82
4.2 注入攻擊實例 83
4.3 防止注入攻擊 89
4.4 安全數據庫連接 90
開發人員為了數據庫的連接安全真是絞盡腦汁，驗證、授權和加密都是其中的常見方法
4.4.1 數據庫身份驗證 92
4.4.2 數據庫授權 93
4.4.3 數據庫安全配置 95
4.4.4 數據庫加密 96
4.4.5 數據庫反饋信息保護 99
4.4.6 LINQ技術 102
4.4.7 數據庫安全部署 104
第5章 數據驗證 107
數據在傳輸過程中不僅要進行加密，還要進行有效性的驗證，主要為了避免輸入中發生低級錯誤，切莫“一失足成千古恨”
5.1 數據驗證概述 107
5.2 數據驗證方式 112
我們天天輸入的數據不一定正確或格式良好，它們可能成為應用系統的安全漏洞，這並不是危言聳聽。應用系統不對數據進行驗證，後果很嚴重
5.2.1 圖片和附加碼數據驗證 112
5.2.2 Web表單數據驗證 115
5.2.3 Web窗體數據驗證 116
5.3 數據審核 125
5.4 數據過濾 128
第6章 身份驗證技術 133
用戶名和密碼是通常意義上最簡單的身份驗證，角色驗證、IIS和活動目錄在這個領域一直是配合默契的親密戰友
6.1 用管道技術加固驗證功能 133
從用戶在地址欄敲入鍵接地址到頁面呈現在眼前的0.1秒之內，IIS和.NET框架做了大量的幕後工作，而管道就是在過程中進行銜接的橋梁
6.1.1 安全HTTP請求處理流程 134
6.1.2 安全HTTP管道 136
6.1.3 安全HTTP Modules 139
6.2 基於角色的安全認證 141
安全認證在整個Web應用程序的安全體系中扮演著重要的角色，而它肩上所擔負的安全責任也是不可推卸的
6.2.1 IIS和ASP.NET用戶認證流程 142
6.2.2 認證 143
6.2.3 授權 143
6.2.4 ASP.NET用戶認證 143
6.2.5 使用ASP.NET管理工具添加
用戶 146
6.2.6 ASP.NET角色管理系統 148
6.2.7 使用Membership/Role API添加用戶 153
6.2.8 ASP.NET的MemberShip Provider 161
6.2.9 實現自定義的Membership Provider類 164
6.2.10 基於角色的站點導航 169
6.3 窗體驗證 172
6.4 操作系統集成驗證 176
Windows身份驗證一般並不單獨行動，配合IIS和活動目錄方能發揮其巨大潛力
6.4.1 基於IIS的Windows身份驗證 177
6.4.2 基於活動目錄的Windows身份驗證 181
6.5 文件授權 189
第7章 構建安全的組件 191
系統是由一個個組件組成的，組件是否安全決定了整個系統的安全程度，從組建所面臨的威脅入手，積極應對，做到“兵來將擋，水來土掩”
7.1 組件面臨的威脅 191
7.2 安全的服務組件設計 192
7.3 組件的安全身份驗證 193
7.4 組件中的敏感數據 196
7.5 組件安全審核和日志記錄 196
7.6 安全組件構建實例 197
7.7 安全組件的部署 201
7.8 組件強簽名與反編譯 203
7.9 安全的I/O文件操作 204
7.10 安全操作注冊表 212
7.11 序列化代碼安全 214
7.12 安全的多線程訪問 214
第8章 加固會話安全 217
會話的安全對於加固整個Web應用系統來說不可或缺，會話中攜帶重要數據，必須防止客戶與服務器建立的會話被黑客截取和探查
8.1 安全會話概述 217
8.2 保護會話狀態 221
8.3 創建安全會話 222
8.4 基於HTTPS的自定義綁定會話 224
8.5 在會話中使用令牌 226
8.6 保護會話中的數據 228
8.7 會話參數 229
8.8 會話的存儲安全 230
第9章 安全日志 234
安全日志記錄了系統中出現的異常錯誤信息，設計有效而安全的日志是保證異常的捕獲和處理的最佳途徑
9.1 錯誤異常 234
9.2 錯誤異常的作用 234
9.2.1 錯誤異常處理機制 235
9.2.2 錯誤異常組成 235
9.3 異常處理程序的設計 235
設計涵蓋了異常處理的全生命周期，從引發到消亡，缺一不可
9.3.1 錯誤異常的引發 235
9.3.2 錯誤異常的處理 242
9.3.3 錯誤異常的捕獲 245
9.3.4 設計自定義錯誤異常 246
9.3.5 錯誤異常的性能 247
9.3.6 顯示安全的錯誤信息 248
9.4 保護ASP.NET日志 251
全球最強日志組件Log4net
9.4.1 Web系統安全監控 251
9.4.2 記錄錯誤信息 252
9.4.3 使用頂級日志組件 255
9.4.4 安全事件 261
第10章 代碼信任技術 267
代碼信任按照訪問權限進行分級，設置合適的代碼信任級別，保證應用程序順利訪問和執行
10.1 代碼信任技術概述 267
10.2 資源訪問安全 267
10.3 完全信任和部分信任 268
10.4 代碼訪問安全配置 269
10.5 ASP.NET策略文件 270
10.6 ASP.NET安全策略 271
10.7 開發部分信任Web應用程序 273
10.8 部分信任級的配置方法 274
10.9 部分信任的Web應用程序處理策略 275
10.10 自定義策略 276
10.11 沙箱保護策略 276
10.12 中度信任程序 278
10.13 中度信任的限制 278
第11章 Web服務器安全設置 281
不管代碼安全技術多麼完善，忽略服務器安全將使得安全防范體系功虧一篑。現在流行的IIS 6.0和IIS 7.0服務器軟件的安全設置就是我們要學習的重點
11.1 配置安全的操作系統 281
11.2 安全配置IIS 6.0 284
11.3 使用IIS 6.0 287
11.4 IIS 7.0安全設置 289
IIS 7.0是目前最流行的主流Web服務器軟件，這裡要注意其相對於IIS 6.0的改進
11.4.1 角色設置 291
11.4.2 頁面和控件設置 292
11.4.3 監控Web系統安全 295
11.4.4 安全密鑰配置 299
11.4.5 安全日志配置 302
第12章 代碼安全性測試工具 306
測試一直是檢驗代碼准確性的必要方式，也是審核的第一關，代碼安全性測試也不例外
12.1 監控系統HTTP流 306
12.2 黑盒安全檢測 313
12.3 檢測代碼漏洞工具 316
12.4 數據庫漏洞檢測工具 323
第13章 .NET安全審核模板 326
有了技術和計劃，就可以進入執行和審查環節，.NET安全審核不止起到亡羊補牢的作用，更是對安全開發進行評審，保證Web程序安全的重要壁壘