ASP.NET安全性高級編程

第1章 創(chuàng)建安全的Web應用程序
1.1 “安全性”的含義
1.1.1 “安全”的含義
1.1.2 安全的其他定義
1.2 重視安全性的原因
1.2.1 Web應用程序——一把雙刃劍
1.2.2 相關法律
1.2.3 對Web應用程序的攻擊方式
1.2.4 每個人遲早都會遭受攻擊
1.2.5 安全并不僅僅是攔賊于門外
1.3 安全由誰來負責
1.3.1 ASP.NET開發(fā)人員力所不及的安全問題
1.3.2 ASP.NET開發(fā)人員的職責
1.4 一些安全建議
1.4.1 沒有百分之百的安全
1.4.2 隱藏起來并不能保證安全
1.4.3 應用程序安全性由它最薄弱的環(huán)節(jié)決定
1.4.4 安全問題在開發(fā)過程的每一階段都很重要
1.4.5 安全領域有做不完的工作
1.4.6 過分限制的安全不利于產品開發(fā)
1.4.7 安全并不只是技術問題
1.4.8 維護安全不能依賴用戶
1.5 小結
第2章 認真對待客戶
2.1 攻擊手段
2.1.1 腳本注入
2.1.2 跨站點腳本攻擊
2.1.3 SQL注入
2.1.4 SQL Union攻擊
2.1.5 更多的高級攻擊
2.1.6 驗證、編碼和篩選用戶輸入
2.1.7 預防SQL注入攻擊
2.1.8 隱藏窗體字段
2.1.9 Cookies
2.1.10 Http Referrer
2.1.11 URL
2.1.12 視圖狀態(tài)
2.2 防止信息泄漏
2.2.1 控制錯誤信息
2.2.2 禁用調試和跟蹤
2.3 小結
第3章 存儲秘密
3.1 存儲方式
3.1.1 將秘密存儲到頁面中
3.1.2 將秘密存儲到后臺編碼文件中
3.1.3 將秘密存儲到.config文件中
3.1.4 將秘密存儲到受保護的.config文件中
3.1.5 將秘密存儲到內存中
3.1.6 使用散列技術存儲秘密
3.1.7 使用Data Protection API存儲秘密
3.2 小結
第4章 保護數(shù)據庫訪問權
4.1 保護措施
4.1.1 數(shù)據庫賬戶
4.1.2 限制到數(shù)據庫的連接
4.1.3 將秘密存儲到.NET組件中
4.1.4 COM＋對象構造
4.1.5 使用受信任的連接
4.1.6 使用存儲過程控制數(shù)據庫訪問
4.2 小結
第5章 實現(xiàn)密碼策略
5.1 密碼策略
5.1.1 如何創(chuàng)建安全密碼
5.1.2 密碼的最小長度
5.1.3 混合大小寫的密碼
5.1.4 數(shù)字和符號
5.1.5 對新密碼運行字典檢查
5.1.6 密碼更新
5.1.7 為用戶選擇隨機密碼
5.1.8 幫助忘記密碼的用戶
5.2 防止蠻力攻擊
5.3 小結
第6章 ASP.NET安全架構
6.1 ASP.NET安全過程
6.1.1 身份驗證
6.1.2 授權
6.1.3 假冒
6.1.4 綜合運用所有功能
6.2 如何實現(xiàn).NET安全
6.2.1 表示安全上下文
6.2.2 表示用戶標識
6.2.3 ASP.NET頁面請求中出現(xiàn)的安全事件
6.2.4 內置的身份驗證模塊
6.2.5 內置的授權模塊
6.3 小結
第7章 Windows身份驗證
7.1 使用Windows身份驗證的原因
7.2 Windows身份驗證的工作方式
7.2.1 基本身份驗證
7.2.2 摘要身份驗證
7.2.3 集成Windows身份驗證
7.3 ASP.NET Windows身份驗證API
7.3.1 WindowsAuthenticationModule類
7.3.2 WindowsPrincipal類
7.3.3 WindowsIdentity類
7.4 實現(xiàn)Windows身份驗證
7.4.1 配置IIS以執(zhí)行身份驗證
7.4.2 配置ASP.NET以使用Windows身份驗證
7.4.3 訪問ASP.NET中的Windows用戶信息
7.4.4 自定義Windows身份驗證
7.5 小結
第8章 .NET Passport
8.1 使用Passport身份驗證的原因
8.2 .NET Passport的工作原理
8.3 實現(xiàn).NET Passport
8.3.1 使用.NET Passport前的準備
8.3.2 注冊.NET Passport應用程序
8.3.3 Passport管理實用程序
8.4 Passport SDK COM對象
8.5 .NET Passport類
8.5.1 .NET Passport登錄
8.5.2 處理Passport Cookies
8.6 為Passport身份驗證配置ASP.NET
8.7 獲取配置文件數(shù)據
8.8 自定義Passport身份驗證
8.9 利用Passport加密和壓縮
8.9.1 加密
8.9.2 壓縮
8.9.3 多個密鑰
8.10 P3P
8.11 .NET Passport的前景
8.12 小結
8.13 相關鏈接
第9章 窗體身份驗證
9.1 使用窗體身份驗證的原因
9.1.1 不使用窗體身份驗證的原因
9.1.2 不用親自實現(xiàn)Cookie身份驗證
9.2 窗體身份驗證的工作原理
9.3 窗體身份驗證API
9.3.1 FormsAuthenticationModue HTTP模塊
9.3.2 FormsAuthentication類
9.3.3 FormsIdentity類
9.3.4 FormsAuthenticationTicket類
9.4 實現(xiàn)窗體身份驗證
9.4.1 重點關注SSL
9.4.2 配置窗體身份驗證
9.4.3 設置登錄頁面
9.4.4 為存儲器散列密碼
9.4.5 保留身份驗證Cookie
9.4.6 使用其他的憑證存儲器
9.5 小結
第10章 擴充窗體身份驗證
10.1 在多個服務器上使用窗體身份驗證
10.1.1 在非Web Farm中使用這些方法
10.1.2 隨機生成機器密鑰
10.2 不帶Cookies的窗體身份驗證
10.3 保護.aspx頁面及其內容
10.3.1 性能問題
10.3.2 與文件類型有關的問題
10.4 向身份驗證票證添加附加信息
10.5 構建窗體身份驗證以支持基于角色的授權
10.6 防止Cookie被盜
10.7 保存登錄用戶列表
10.8 提供多個登錄頁面
10.9 小結
第11章 自定義的身份驗證
11.1 使用自定義身份驗證的原因
11.1.1 為自定義身份驗證配置ASP.NET
11.1.2 處理AuthenticateRequest事件
11.1.3 創(chuàng)建我們自己的主體和標識
11.1.4 在運行階段附加到自定義的Principal對象
11.2 電話銀行案例分析
11.2.1 將BeVocal Cafe作為服務提供商
11.2.2 SQL Server用戶／賬戶數(shù)據庫
11.3 小結
第12章 實現(xiàn)授權
12.1 角色
12.2 主體和標識
12.2.1 標識
12.2.2 主體
12.3 基于角色的安全
12.4 ASP.NET授權
12.5 文件授權
12.6 URL授權
12.7 權限的計算
12.8 代碼中的授權檢查
12.8.1 PrincipalPermission對象
12.8.2 合并PrincipalPermission對象
12.8.3 PrincipalPermissionAttribute類
12.9 自定義授權
12.10 CustomHttpModule
12.11 處理Global.asax中的AuthorizeRequest
12.12 在web.config中添加CustomModule
12.12.1 授權失敗
12.12.2 自定義授權示例
12.13 小結
第13章 代碼訪問安全
13.1 代碼訪問安全概述
13.2 代碼訪問安全的基本知識
13.2.1 獲得程序集標識
13.2.2 為程序集分配權限
13.2.3 訪問控制
13.3 證據
13.3.1 應用程序、域和程序集證據
13.3.2 自定義證據
13.3.3 運行庫主機
13.4 代碼訪問安全權限
13.4.1 自定義權限類
13.4.2 標識權限
13.5 代碼訪問安全策略
13.5.1 權限集和代碼組
13.5.2 內置的權限集
13.5.3 策略結構
13.5.4 策略結構對象模型
13.5.5 使用策略評估
13.5.6 定制安全策略
13.5.7 使用自定義證據和權限
13.6 代碼訪問安全和ASP.NET應用程序
13.7 代碼訪問安全限制
13.8 安全請求
13.9 安全需求
13.9.1 運行時需求
13.9.2 加載時安全需求
13.10 真實示例
13.10.1 解決方案的運作方式
13.10.2 安裝指令
13.11 小結
第14章 Web服務安全
14.1 Web服務身份驗證
14.1.1 在Web服務中實現(xiàn)身份驗證
14.1.2 自定義SOAP身份驗證
14.2 Web服務加密方法
14.2.1 SSL
14.2.2 SOAP
14.3 用于授權的基于角色的安全
14.4 新生技術
14.4.1 WS－Security
14.4.2 XML－簽名
14.4.3 XML加密
14.5 XML密鑰管理規(guī)范
14.6 安全確認標記語言
14.7 小結
第15章 假冒
15.1 需要假冒的原因
15.2 針對Windows2000用戶的重要注釋
15.3 配置假冒
15.4 臨時假冒用戶
15.4.1 獲取令牌
15.4.2 執(zhí)行假冒
15.5 小結
附錄A IIS安全性配置
A.1 安全性和服務器的基礎結構
A.2 計劃的安全性
A.3 保護IIS
A.3.1 設置Access Control List
A.3.2 禁用父路徑瀏覽
A.3.3 刪除IIS示例
A.3.4 禁用不用的COM組件
A.3.5 啟用日志記錄
A.3.6 安裝防毒軟件
A.4 Microsoft Data Access Component的安全性
A.5 鎖定IIS
A.5.1 服務器模板
A.5.2 Internet服務
A.5.3 腳本映射
A.5.4 附加安全設置
A.5.5 UrlScan
A.5.6 最后的要點
A.6 保護Telnet
A.7 小結
附錄B ASP.NET安全性配置
B.1 保護Windows
B.2 設置Windows安全性
B.3 URL授權
B.4 ASPNET賬戶
B.4.1 ASPNET賬戶權限
B.4.2 ASPNET賬戶限制
B.5 在System賬戶下運行
B.6 設置假冒
B.6.1 通過IIS假冒
B.6.2 通過身份驗證假冒
B.6.3 通過指定的用戶賬戶假冒
B.6.4 在部分代碼中假冒
B.7 小結