ASP.NET安全编程入门经典PDF|Epub|txt|kindle电子书版本网盘下载

ASP.NET安全编程入门经典PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 Web安全的重要性1

1.1案例解析1

1.2风险与回报4

1.3构建安全体系5

1.3.1分层防御6

1.3.2不存在可信任的输入数据7

1.3.3关注错误提醒7

1.3.4监视攻击7

1.3.5使用最小特权7

1.3.6防火墙和加密不能确保安全8

1.3.7安全应该是默认状态8

1.3.8代码防御8

1.4 OWASP中的十大安全隐患9

1.5进一步学习10

1.6本章小结10

第I部分 ASP&NET安全基础13

第2章 Web工作原理13

2.1深入理解HTTP13

2.1.1请求资源14

2.1.2请求响应15

2.1.3嗅探HTTP请求和响应17

2.2理解HTML表单18

2.3 ASP.NET的工作原理27

2.3.1理解ASP.NET事件的工作原理27

2.3.2检查ASP.NET管道31

2.3.3编写HTTP模块31

2.4本章小结34

第3章 安全接受用户输入35

3.1定义输入35

3.2安全处理输入36

3.2.1安全应答用户输入37

3.2.2缓解XSS攻击41

3.2.3Microsoft Anti-XSS库43

3.2.4限制输入45

3.2.5保护cookie48

3.3验证表单输入49

3.3.1验证控件51

3.3.2标准的ASP.NET验证控件52

3.4本章小结59

第4章 查询字符串、表单域、事件和浏览器信息的用法61

4.1使用合适的输入类型61

4.2查询字符串62

4.3表单域63

4.4避免请求伪造64

4.5保护ASP.NET事件76

4.6避免浏览器信息错误78

4.7本章小结80

第5章 控制信息81

5.1控制ViewState81

5.1.1验证ViewState83

5.1.2加密ViewState85

5.1.3保护ViewState避免一键攻击85

5.1.4从客户端页面中删除ViewState87

5.1.5禁用浏览器缓存88

5.2错误处理和日志记录88

5.2.1改善错误处理90

5.2.2注意特殊异常91

5.2.3记录错误和监视应用程序91

5.3限制搜索引擎104

5.3.1使用元标记控制机器人105

5.3.2使用robots.txt文件控制机器人105

5.4保护配置文件中的密码106

5.5本章小结108

第6章 散列和加密109

6.1使用散列保护完整性110

6.1.1选择散列算法110

6.1.2保护散列密码112

6.2加密数据115

6.2.1对称加密116

6.2.2使用非对称加密来共享数据123

6.2.3使用Windows DPAPI138

6.3本章小结139

第Ⅱ部分 保护常见的ASP.NET任务143

第7章 添加用户名和密码143

7.1身份验证和授权144

7.2发现您自己的身份144

7.3添加ASP.NET身份验证146

7.3.1表单身份验证146

7.3.2 Windows身份验证157

7.4 ASP.NET授权161

7.4.1检查＜allow＞和＜deny＞元素162

7.4.2基于角色授权163

7.4.3限制访问文件或者文件夹的权限168

7.4.4以编程方式检查用户和角色171

7.5本章小结171

第8章 安全访问数据库173

8.1糟糕代码:演示SQL注入攻击174

8.2修补漏洞179

8.3更多SQL Server安全措施182

8.3.1没有密码的连接183

8.3.2 SQL权限184

8.3.3使用视图186

8.3.4 SQL Express用户实例187

8.3.5内置Web Server的缺点188

8.3.6动态SQL存储过程188

8.3.7使用SQL加密189

8.4本章小结193

第9章 使用文件系统195

9.1安全访问现有的文件195

9.1.1静态文件的安全性201

9.1.2文件下载和设置文件名204

9.1.3更深入的文件访问检查204

9.1.4访问远程文件206

9.2安全创建文件206

9.3处理用户上传文件209

9.4本章小结212

第10章 保护×ML213

10.1验证XML213

10.1.1格式良好的XML213

10.1.2有效的XML214

10.1.3XML解析器215

10.2查询XML222

10.3保护XML文档225

10.3.1加密XML文档226

10.3.2签名XML文档234

10.4本章小结240

第Ⅲ部分 ASP.NET高级内容243

第11章 与WCF共享数据243

11.1创建和使用WCF服务243

11.2 WCF的安全和隐秘性247

11.2.1传输安全模式247

11.2.2消息安全模式248

11.2.3混合模式249

11.2.4选择安全模式249

11.2.5选择客户端凭据249

11.3增加Internet服务的安全性250

11.4使用WCF签名消息261

11.5 WCF的日志和审计功能265

11.6使用检查器来验证参数267

11.7使用消息检查器269

11.8在WCF中抛出错误273

11.9本章小结274

第12章 保护RlA277

12.1 RIA体系结构278

12.2 Ajax应用程序的安全性278

12.2.1 XMVLHttpRequest对象279

12.2.2 Ajax同源策略280

12.2.3 Microsoft ASP.NET Ajax架构281

12.3 Silverlight应用程序的安全性289

12.3.1 CoreCLR安全模型289

12.3.2使用HTML Bridge291

12.3.3访问本地文件系统295

12.3.4在Silverlight中使用加密算法297

12.3.5使用Silverlight访问Web和Web服务300

12.4在Ajax和Silverlight中使用ASP.NET身份验证和授权301

12.5本章小结302

第13章 代码访问安全性303

13.1代码访问安全性303

13.1.1 ASP.NET信任级别305

13.1.2 NET 4新特性314

13.2本章小结315

第14章 保护llS317

14.1安装和配置IIS7317

14.1.1IIS角色服务319

14.1.2创建和配置应用程序池322

14.1.3在IIS中配置信任级别324

14.2过滤请求326

14.2.1过滤双重编码请求327

14.2.2使用非ASCII字符过滤请求327

14.2.3以文件扩展名为基础过滤请求327

14.2.4以请求大小为基础过滤请求328

14.2.5以HTTP动词为基础过滤请求328

14.2.6以URL序列为基础过滤请求329

14.2.7以请求段为基础过滤请求329

14.2.8以请求头文件为基础过滤请求329

14.2.9拒绝请求的状态码330

14.3使用Log Parser挖掘IIS日志文件330

14.4使用证书336

14.4.1请求SSL证书337

14.4.2配置站点以使用HTTPS339

14.4.3建立测试CA339

14.5本章小结341

第15章 第三方身份验证343

15.1联合身份简史343

15.2使用WIF接收SAML和Information Card346

15.2.1创建一个声明感知Web站点347

15.2.2接受Information Card349

15.2.3使用声明身份357

15.3在Web站点中使用OpenID358

15.4在Web站点中使用Windows Live ID363

15.5表单身份验证与第三方身份验证集成策略366

15.6本章小结367

第16章 ASP.NET MVC架构安全开发369

16.1 MVC输入和输出370

16.1.1避免XSS攻击370

16.1.2避免CSRF攻击371

16.1.3保护模型绑定371

16.1.4模型验证和错误消息373

16.2 ASP.NET MVC身份验证和授权375

16.2.1授权操作和控制器376

16.2.2保护公共控制器方法377

16.2.3发现当前用户377

16.2.4使用授权过滤器自定义授权378

16.3错误处理379

16.4本章小结381