ASP.NET安全性高级编程PDF|Epub|txt|kindle电子书版本网盘下载

ASP.NET安全性高级编程PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 创建安全的Web应用程序1

1.1 “安全性”的含义1

1.1.1 “安全”的含义1

1.1.2 安全的其他定义3

1.2 重视安全性的原因4

1.2.1 Web应用程序——一把双刃剑4

1.2.2 相关法律4

1.2.3 对Web应用程序的攻击方式5

1.2.4 每个人迟早都会遭受攻击9

1.2.5 安全并不仅仅是拦贼于门外10

1.3 安全由谁来负责10

1.3.1 ASP.NET开发人员力所不及的安全问题11

1.3.2 ASP.NET开发人员的职责12

1.4 一些安全建议18

1.4.1 没有百分之百的安全18

1.4.2 隐藏起来并不能保证安全18

1.4.3 应用程序安全性由它最薄弱的环节决定19

1.4.4 安全问题在开发过程的每一阶段都很重要20

1.4.5 安全领域有做不完的工作20

1.4.6 过分限制的安全不利于产品开发21

1.4.7 安全并不只是技术问题21

1.4.8 维护安全不能依赖用户22

1.5 小结22

第2章 认真对待客户24

2.1 攻击手段25

2.1.1 脚本注入25

2.1.2 跨站点脚本攻击28

2.1.3 SQL注入32

2.1.4 SQL Union攻击33

2.1.5 更多的高级攻击35

2.1.6 验证、编码和筛选用户输入36

2.1.7 预防SQL注入攻击45

2.1.8 隐藏窗体字段47

2.1.9 Cookies48

2.1.10 Http Referrer49

2.1.11 URL51

2.1.12 视图状态57

2.2 防止信息泄漏58

2.2.1 控制错误信息60

2.2.2 禁用调试和跟踪60

2.3 小结61

第3章 存储秘密63

3.1 存储方式63

3.1.1 将秘密存储到页面中63

3.1.2 将秘密存储到后台编码文件中64

3.1.3 将秘密存储到.config文件中65

3.1.4 将秘密存储到受保护的.config文件中65

3.1.5 将秘密存储到内存中67

3.1.6 使用散列技术存储秘密68

3.2 小结70

3.1.7 使用Data Protection API存储秘密70

第4章 保护数据库访问权71

4.1 保护措施71

4.1.1 数据库账户71

4.1.2 限制到数据库的连接72

4.1.3 将秘密存储到.NET组件中72

4.1.4 COM+对象构造74

4.1.5 使用受信任的连接78

4.1.6 使用存储过程控制数据库访问79

4.2 小结82

第5章 实现密码策略83

5.1 密码策略83

5.1.1 如何创建安全密码83

5.1.2 密码的最小长度83

5.1.3 混合大小写的密码85

5.1.4 数字和符号86

5.1.5 对新密码运行字典检查88

5.1.6 密码更新94

5.1.7 为用户选择随机密码96

5.1.8 帮助忘记密码的用户96

5.2 防止蛮力攻击97

5.3 小结97

第6章 ASP.NET安全架构99

6.1 ASP.NET安全过程100

6.1.1 身份验证100

6.1.2 授权101

6.1.3 假冒101

6.1.4 综合运用所有功能102

6.2 如何实现NET安全104

6.2.1 表示安全上下文104

6.2.2 表示用户标识106

6.2.3 ASP.NET页面请求中出现的安全事件109

6.2.4 内置的身份验证模块110

6.2.5 内置的授权模块112

6.3 小结113

第7章 Windows身份验证115

7.1 使用Windows身份验证的原因115

7.2 Windows身份验证的工作方式116

7.2.1 基本身份验证116

7.2.2 摘要身份验证119

7.2.3 集成Windows身份验证121

7.3 ASP.NET Windows身份验证API122

7.3.1 WindowsAuthenticationModule类122

7.3.2 WindowsPrincipal类123

7.3.3 WindowsIdentity类123

7.4 实现Windows身份验证124

7.4.1 配置IIS以执行身份验证124

7.4.2 配置ASP.NET以使用Windows身份验证125

7.4.3 访问ASP.NET中的Windows用户信息125

7.4.4 自定义Windows身份验证127

7.5 小结129

第8章 .NET Passport130

8.1 使用Passport身份验证的原因131

8.2 .NET Passport的工作原理132

8.3 实现.NET Passport133

8.3.1 实现.NET Passport前的准备134

8.3.2 注册.NET Passport应用程序134

8.3.3 Passport管理实用程序137

8.4 Passport SDK COM对象137

8.5 .NET Passport类139

8.5.1 .NET Passport登录141

8.5.2 处理Passport Cookies142

8.6 为Passport身份验证配置ASP.NET144

8.7 获取配置文件数据145

8.8 自定义Passport身份验证147

8.9 利用Passport加密和压缩148

8.9.1 加密149

8.9.2 压缩149

8.10 P3P150

8.9.3 多个密钥150

8.11 .NET Passport的前景151

8.12 小结153

8.13 相关链接153

第9章 窗体身份验证154

9.1 使用窗体身份验证的原因154

9.1.1 不使用窗体身份验证的原因155

9.1.2 不用亲自实现Cookie身份验证157

9.2 窗体身份验证的工作原理158

9.3 窗体身份验证API158

9.3.1 FormsAuthenticationModule HTTP模块159

9.3.2 FormsAuthentication类159

9.3.3 FormsIdentity类160

9.3.4 FormsAuthenticationTicket类161

9.4 实现窗体身份验证162

9.4.1 重点关注SSL162

9.4.2 配置窗体身份验证163

9.4.3 设置登录页面166

9.4.4 为存储器散列密码176

9.4.5 保留身份验证Cookie180

9.4.6 使用其他的凭证存储器182

9.5 小结196

第10章 扩充窗体身份验证197

10.1 在多个服务器上使用窗体身份验证197

10.1.1 在非Web Farm中使用这些方法199

10.1.2 随机生成机器密钥204

10.2 不带Cookies的窗体身份验证207

10.3 保护.aspx页面及其内容213

10.3.1 性能问题215

10.3.2 与文件类型有关的问题215

10.4 向身份验证票证添加附加信息217

10.5 构建窗体身份验证以支持基于角色的授权221

10.6 防止Cookie被盗227

10.7 保存登录用户列表230

10.8 提供多个登录页面235

10.9 小结239

第11章 自定义的身份验证240

11.1 使用自定义身份验证的原因240

11.1.1 为自定义身份验证配置ASP.NET241

11.1.2 处理AuthenticateRequest事件242

11.1.3 创建我们自己的主体和标识247

11.1.4 在运行阶段附加到自定义的Principal对象252

11.2 电话银行案例分析255

11.2.1 将BeVocal Café作为服务提供商260

11.2.2 SQL Server用户/账户数据库261

11.3 小结282

第12章 实现授权283

12.1 角色283

12.2 主体和标识284

12.2.1 标识284

12.3 基于角色的安全285

12.2.2 主体285

12.4 ASP.NET授权287

12.5 文件授权287

12.6 URL授权290

12.7 权限的计算293

12.8 代码中的授权检查294

12.8.1 PrincipalPermission对象297

12.8.3 PrincipalPermissionAttribute类298

12.8.2 合并PrincipalPermission对象298

12.9 自定义授权299

12.10 CustomHttpModule300

12.11 处理Global.asax中的AuthorizeRequest302

12.12 在Web.config中添加CustomModule303

12.12.1 授权失败304

12.12.2 自定义授权示例304

12.13 小结308

第13章 代码访问安全309

13.1 代码访问安全概述310

13.2 代码访问安全的基本知识312

13.2.1 获得程序集标识312

13.2.2 为程序集分配权限312

13.2.3 访问控制314

13.3 证据315

13.3.1 应用程序、域和程序集证据316

13.3.2 自定义证据317

13.4 代码访问安全权限318

13.3.3 运行库主机318

13.4.1 自定义权限类321

13.4.2 标识权限322

13.5 代码访问安全策略323

13.5.1 权限集和代码组324

13.5.2 内置的权限集325

13.5.3 策略结构327

13.5.4 策略结构对象模型327

13.5.5 使用策略评估328

13.5.6 定制安全策略332

13.5.7 使用自定义证据和权限333

13.6 代码访问安全和ASP.NET应用程序334

13.7 代码访问安全限制335

13.8 安全请求336

13.9 安全需求338

13.9.1 运行时需求339

13.9.2 加载时安全需求343

13.10 真实示例344

13.10.1 解决方案的运作方式345

13.10.2 安装指令348

13.11 小结348

第14章 Web服务安全350

14.1 Web服务身份验证350

14.1.1 在Web服务中实现身份验证351

14.1.2 自定义SOAP身份验证359

14.2.1 SSL364

14.2 Web服务加密方法364

14.2.2 SOAP365

14.3 用于授权的基于角色的安全370

14.4 新生技术371

14.4.1 WS-Security371

14.4.2 XML-签名371

14.4.3 XML加密372

14.6 安全确认标记语言373

14.5 XML密钥管理规范373

14.7 小结374

第15章 假冒375

15.1 需要假冒的原因375

15.2 针对Windows 2000用户的重要注释376

15.3 配置假冒376

15.4 临时假冒用户377

15.4.1 获取令牌378

15.4.2 执行假冒379

15.5 小结383

附录A IIS安全性配置384

A.1 安全性和服务器的基础结构384

A.2 计划的安全性385

A.3 保护IIS386

A.3.1 设置Access Control List387

A.3.2 禁用父路径浏览389

A.3.3 删除IIS示例389

A.3.4 禁用不用的COM组件390

A.3.5 启用日志记录390

A.3.6 安装防毒软件391

A.4 Microsoft Data Access Component的安全性392

A.5 锁定IIS392

A.5.1 服务器模板393

A.5.2 Internet服务393

A.5.3 脚本映射394

A.5.5 UrlScan395

A.5.4 附加安全设置395

A.5.6 最后的要点397

A.6 保护Telnet397

A.7 小结397

附录B ASP.NET安全性配置399

B.1 保护Windows399

B.2 设置Windows安全性404

B.3 URL授权407

B.4.1 ASPNET账户权限408

B.4 ASPNET账户408

B.4.2 ASPNET账户限制409

B.5 在System账户下运行411

B.6 设置假冒411

B.6.1 通过IIS假冒412

B.6.2 通过身份验证假冒415

B.6.3 通过指定的用户账户假冒415

B.6.4 在部分代码中假冒417

B.7 小结419