ASP.NET安全性高级编程

定　价：¥56.00

作　者：	（英）Russ Basiura[等]著；王晓娜，黄开枝译；王晓娜译
出版社：	清华大学出版社
丛编项：	清华版WROX公司.NET和Oracle编程经典系列
标　签：	ASP.NET

购买这本书可以去

ISBN：	9787302064930	出版时间：	2003-04-01	包装：	胶版纸
开本：	26cm	页数：	420	字数：

内容简介

　　本书内容提挈：·常规的安全攻击类型和各种安全措施·ASP．NET安全架构中的身份验证和授权·多种不同的授权方式：窗体授权、．NETPassport授权、Windows授权和自定义授权解决方案·代码访问安全·Web服务安全·配置IIS和ASPNET以确保安全随着Internet在各行各业的应用和普及，安全问题越来越受到Web应用程序开发人员的关注。为了帮助您全面掌握ASP.NET应用程序安全性问题的解决方案，本书深入探讨了各种安全攻击类型以及相应的ASP.NET安全对策。具体内容包括常规的安全攻击类型和可以实现的多种安全措施、在ASP.NET安全架构中的身份验证和授权、包括.NETPassport和Windows授权在内的多种不同授权方式、代码访问安全性、Web服务安全性、IIS和ASP.NET安全性配置等。通过阅读本书，可大大提高您的安全意识和预防Internet攻击的能力。本书适合那些具有一定的ASP.NET和.NETFramework编程经验并需要自己开发各种安全选项，以确保ASP.NET应用程序安全的中高级ASP.NET开发人员。随着Web应用程序的日益强大和完善，安全性也变得越来越重要。我们不仅需要保护应用程序和站点免受攻击，而且还必须设法确保数据的机密性和完整性。作为．NETFramework的一部分，ASP．NET提供了很多高级安全功能，包括实现身份验证和授权解决方案的机制、对角色和身份标识的支持、可以实现自定义身份验证和授权的架构、与Microsoft的．NETPassport的集成，以及代码访问安全等。为了确保应用程序的安全，我们必须了解对Internet上所发布的应用程序进行攻击的类型，还要掌握在实现安全应用程序时所利用的大量工具、技术和技巧。本书全面介绍了ASP．NET安全性，具体包括从常规安全问题的检查方法到高级ASP．NET安全功能的实现方式。本书读者对象本书适合那些具备一定ASP．NET和NETFramework编程经验，并需要自己开发各种安全措施来确保ASP．NET应用程序安全的中高级ASP．NET开发人员。

作者简介

暂缺《ASP.NET安全性高级编程》作者简介

图书目录

第1章创建安全的Web应用程序
1.1 “安全性”的含义
1.1.1 “安全”的含义
1.1.2 安全的其他定义
1.2 重视安全性的原因
1.2.1 Web应用程序——一把双刃剑
1.2.2 相关法律
1.2.3 对Web应用程序的攻击方式
1.2.4 每个人迟早都会遭受攻击
1.2.5 安全并不仅仅是拦贼于门外
1.3 安全由谁来负责
1.3.1 ASP.NET开发人员力所不及的安全问题
1.3.2 ASP.NET开发人员的职责
1.4 一些安全建议
1.4.1 没有百分之百的安全
1.4.2 隐藏起来并不能保证安全
1.4.3 应用程序安全性由它最薄弱的环节决定
1.4.4 安全问题在开发过程的每一阶段都很重要
1.4.5 安全领域有做不完的工作
1.4.6 过分限制的安全不利于产品开发
1.4.7 安全并不只是技术问题
1.4.8 维护安全不能依赖用户
1.5 小结
第2章认真对待客户
2.1 攻击手段
2.1.1 脚本注入
2.1.2 跨站点脚本攻击
2.1.3 SQL注入
2.1.4 SQL Union攻击
2.1.5 更多的高级攻击
2.1.6 验证、编码和筛选用户输入
2.1.7 预防SQL注入攻击
2.1.8 隐藏窗体字段
2.1.9 Cookies
2.1.10 Http Referrer
2.1.11 URL
2.1.12 视图状态
2.2 防止信息泄漏
2.2.1 控制错误信息
2.2.2 禁用调试和跟踪
2.3 小结
第3章存储秘密
3.1 存储方式
3.1.1 将秘密存储到页面中
3.1.2 将秘密存储到后台编码文件中
3.1.3 将秘密存储到.config文件中
3.1.4 将秘密存储到受保护的.config文件中
3.1.5 将秘密存储到内存中
3.1.6 使用散列技术存储秘密
3.1.7 使用Data Protection API存储秘密
3.2 小结
第4章保护数据库访问权
4.1 保护措施
4.1.1 数据库账户
4.1.2 限制到数据库的连接
4.1.3 将秘密存储到.NET组件中
4.1.4 COM＋对象构造
4.1.5 使用受信任的连接
4.1.6 使用存储过程控制数据库访问
4.2 小结
第5章实现密码策略
5.1 密码策略
5.1.1 如何创建安全密码
5.1.2 密码的最小长度
5.1.3 混合大小写的密码
5.1.4 数字和符号
5.1.5 对新密码运行字典检查
5.1.6 密码更新
5.1.7 为用户选择随机密码
5.1.8 帮助忘记密码的用户
5.2 防止蛮力攻击
5.3 小结
第6章 ASP.NET安全架构
6.1 ASP.NET安全过程
6.1.1 身份验证
6.1.2 授权
6.1.3 假冒
6.1.4 综合运用所有功能
6.2 如何实现.NET安全
6.2.1 表示安全上下文
6.2.2 表示用户标识
6.2.3 ASP.NET页面请求中出现的安全事件
6.2.4 内置的身份验证模块
6.2.5 内置的授权模块
6.3 小结
第7章 Windows身份验证
7.1 使用Windows身份验证的原因
7.2 Windows身份验证的工作方式
7.2.1 基本身份验证
7.2.2 摘要身份验证
7.2.3 集成Windows身份验证
7.3 ASP.NET Windows身份验证API
7.3.1 WindowsAuthenticationModule类
7.3.2 WindowsPrincipal类
7.3.3 WindowsIdentity类
7.4 实现Windows身份验证
7.4.1 配置IIS以执行身份验证
7.4.2 配置ASP.NET以使用Windows身份验证
7.4.3 访问ASP.NET中的Windows用户信息
7.4.4 自定义Windows身份验证
7.5 小结
第8章 .NET Passport
8.1 使用Passport身份验证的原因
8.2 .NET Passport的工作原理
8.3 实现.NET Passport
8.3.1 使用.NET Passport前的准备
8.3.2 注册.NET Passport应用程序
8.3.3 Passport管理实用程序
8.4 Passport SDK COM对象
8.5 .NET Passport类
8.5.1 .NET Passport登录
8.5.2 处理Passport Cookies
8.6 为Passport身份验证配置ASP.NET
8.7 获取配置文件数据
8.8 自定义Passport身份验证
8.9 利用Passport加密和压缩
8.9.1 加密
8.9.2 压缩
8.9.3 多个密钥
8.10 P3P
8.11 .NET Passport的前景
8.12 小结
8.13 相关链接
第9章窗体身份验证
9.1 使用窗体身份验证的原因
9.1.1 不使用窗体身份验证的原因
9.1.2 不用亲自实现Cookie身份验证
9.2 窗体身份验证的工作原理
9.3 窗体身份验证API
9.3.1 FormsAuthenticationModue HTTP模块
9.3.2 FormsAuthentication类
9.3.3 FormsIdentity类
9.3.4 FormsAuthenticationTicket类
9.4 实现窗体身份验证
9.4.1 重点关注SSL
9.4.2 配置窗体身份验证
9.4.3 设置登录页面
9.4.4 为存储器散列密码
9.4.5 保留身份验证Cookie
9.4.6 使用其他的凭证存储器
9.5 小结
第10章扩充窗体身份验证
10.1 在多个服务器上使用窗体身份验证
10.1.1 在非Web Farm中使用这些方法
10.1.2 随机生成机器密钥
10.2 不带Cookies的窗体身份验证
10.3 保护.aspx页面及其内容
10.3.1 性能问题
10.3.2 与文件类型有关的问题
10.4 向身份验证票证添加附加信息
10.5 构建窗体身份验证以支持基于角色的授权
10.6 防止Cookie被盗
10.7 保存登录用户列表
10.8 提供多个登录页面
10.9 小结
第11章自定义的身份验证
11.1 使用自定义身份验证的原因
11.1.1 为自定义身份验证配置ASP.NET
11.1.2 处理AuthenticateRequest事件
11.1.3 创建我们自己的主体和标识
11.1.4 在运行阶段附加到自定义的Principal对象
11.2 电话银行案例分析
11.2.1 将BeVocal Cafe作为服务提供商
11.2.2 SQL Server用户／账户数据库
11.3 小结
第12章实现授权
12.1 角色
12.2 主体和标识
12.2.1 标识
12.2.2 主体
12.3 基于角色的安全
12.4 ASP.NET授权
12.5 文件授权
12.6 URL授权
12.7 权限的计算
12.8 代码中的授权检查
12.8.1 PrincipalPermission对象
12.8.2 合并PrincipalPermission对象
12.8.3 PrincipalPermissionAttribute类
12.9 自定义授权
12.10 CustomHttpModule
12.11 处理Global.asax中的AuthorizeRequest
12.12 在web.config中添加CustomModule
12.12.1 授权失败
12.12.2 自定义授权示例
12.13 小结
第13章代码访问安全
13.1 代码访问安全概述
13.2 代码访问安全的基本知识
13.2.1 获得程序集标识
13.2.2 为程序集分配权限
13.2.3 访问控制
13.3 证据
13.3.1 应用程序、域和程序集证据
13.3.2 自定义证据
13.3.3 运行库主机
13.4 代码访问安全权限
13.4.1 自定义权限类
13.4.2 标识权限
13.5 代码访问安全策略
13.5.1 权限集和代码组
13.5.2 内置的权限集
13.5.3 策略结构
13.5.4 策略结构对象模型
13.5.5 使用策略评估
13.5.6 定制安全策略
13.5.7 使用自定义证据和权限
13.6 代码访问安全和ASP.NET应用程序
13.7 代码访问安全限制
13.8 安全请求
13.9 安全需求
13.9.1 运行时需求
13.9.2 加载时安全需求
13.10 真实示例
13.10.1 解决方案的运作方式
13.10.2 安装指令
13.11 小结
第14章 Web服务安全
14.1 Web服务身份验证
14.1.1 在Web服务中实现身份验证
14.1.2 自定义SOAP身份验证
14.2 Web服务加密方法
14.2.1 SSL
14.2.2 SOAP
14.3 用于授权的基于角色的安全
14.4 新生技术
14.4.1 WS－Security
14.4.2 XML－签名
14.4.3 XML加密
14.5 XML密钥管理规范
14.6 安全确认标记语言
14.7 小结
第15章假冒
15.1 需要假冒的原因
15.2 针对Windows2000用户的重要注释
15.3 配置假冒
15.4 临时假冒用户
15.4.1 获取令牌
15.4.2 执行假冒
15.5 小结
附录A IIS安全性配置
A.1 安全性和服务器的基础结构
A.2 计划的安全性
A.3 保护IIS
A.3.1 设置Access Control List
A.3.2 禁用父路径浏览
A.3.3 删除IIS示例
A.3.4 禁用不用的COM组件
A.3.5 启用日志记录
A.3.6 安装防毒软件
A.4 Microsoft Data Access Component的安全性
A.5 锁定IIS
A.5.1 服务器模板
A.5.2 Internet服务
A.5.3 脚本映射
A.5.4 附加安全设置
A.5.5 UrlScan
A.5.6 最后的要点
A.6 保护Telnet
A.7 小结
附录B ASP.NET安全性配置
B.1 保护Windows
B.2 设置Windows安全性
B.3 URL授权
B.4 ASPNET账户
B.4.1 ASPNET账户权限
B.4.2 ASPNET账户限制
B.5 在System账户下运行
B.6 设置假冒
B.6.1 通过IIS假冒
B.6.2 通过身份验证假冒
B.6.3 通过指定的用户账户假冒
B.6.4 在部分代码中假冒
B.7 小结