ASP.NET安全性高級編程

第1章 創(chuàng)建安全的Web應(yīng)用程序
1.1 “安全性”的含義
1.1.1 “安全”的含義
1.1.2 安全的其他定義
1.2 重視安全性的原因
1.2.1 Web應(yīng)用程序——一把雙刃劍
1.2.2 相關(guān)法律
1.2.3 對Web應(yīng)用程序的攻擊方式
1.2.4 每個(gè)人遲早都會遭受攻擊
1.2.5 安全并不僅僅是攔賊于門外
1.3 安全由誰來負(fù)責(zé)
1.3.1 ASP.NET開發(fā)人員力所不及的安全問題
1.3.2 ASP.NET開發(fā)人員的職責(zé)
1.4 一些安全建議
1.4.1 沒有百分之百的安全
1.4.2 隱藏起來并不能保證安全
1.4.3 應(yīng)用程序安全性由它最薄弱的環(huán)節(jié)決定
1.4.4 安全問題在開發(fā)過程的每一階段都很重要
1.4.5 安全領(lǐng)域有做不完的工作
1.4.6 過分限制的安全不利于產(chǎn)品開發(fā)
1.4.7 安全并不只是技術(shù)問題
1.4.8 維護(hù)安全不能依賴用戶
1.5 小結(jié)
第2章 認(rèn)真對待客戶
2.1 攻擊手段
2.1.1 腳本注入
2.1.2 跨站點(diǎn)腳本攻擊
2.1.3 SQL注入
2.1.4 SQL Union攻擊
2.1.5 更多的高級攻擊
2.1.6 驗(yàn)證、編碼和篩選用戶輸入
2.1.7 預(yù)防SQL注入攻擊
2.1.8 隱藏窗體字段
2.1.9 Cookies
2.1.10 Http Referrer
2.1.11 URL
2.1.12 視圖狀態(tài)
2.2 防止信息泄漏
2.2.1 控制錯(cuò)誤信息
2.2.2 禁用調(diào)試和跟蹤
2.3 小結(jié)
第3章 存儲秘密
3.1 存儲方式
3.1.1 將秘密存儲到頁面中
3.1.2 將秘密存儲到后臺編碼文件中
3.1.3 將秘密存儲到.config文件中
3.1.4 將秘密存儲到受保護(hù)的.config文件中
3.1.5 將秘密存儲到內(nèi)存中
3.1.6 使用散列技術(shù)存儲秘密
3.1.7 使用Data Protection API存儲秘密
3.2 小結(jié)
第4章 保護(hù)數(shù)據(jù)庫訪問權(quán)
4.1 保護(hù)措施
4.1.1 數(shù)據(jù)庫賬戶
4.1.2 限制到數(shù)據(jù)庫的連接
4.1.3 將秘密存儲到.NET組件中
4.1.4 COM＋對象構(gòu)造
4.1.5 使用受信任的連接
4.1.6 使用存儲過程控制數(shù)據(jù)庫訪問
4.2 小結(jié)
第5章 實(shí)現(xiàn)密碼策略
5.1 密碼策略
5.1.1 如何創(chuàng)建安全密碼
5.1.2 密碼的最小長度
5.1.3 混合大小寫的密碼
5.1.4 數(shù)字和符號
5.1.5 對新密碼運(yùn)行字典檢查
5.1.6 密碼更新
5.1.7 為用戶選擇隨機(jī)密碼
5.1.8 幫助忘記密碼的用戶
5.2 防止蠻力攻擊
5.3 小結(jié)
第6章 ASP.NET安全架構(gòu)
6.1 ASP.NET安全過程
6.1.1 身份驗(yàn)證
6.1.2 授權(quán)
6.1.3 假冒
6.1.4 綜合運(yùn)用所有功能
6.2 如何實(shí)現(xiàn).NET安全
6.2.1 表示安全上下文
6.2.2 表示用戶標(biāo)識
6.2.3 ASP.NET頁面請求中出現(xiàn)的安全事件
6.2.4 內(nèi)置的身份驗(yàn)證模塊
6.2.5 內(nèi)置的授權(quán)模塊
6.3 小結(jié)
第7章 Windows身份驗(yàn)證
7.1 使用Windows身份驗(yàn)證的原因
7.2 Windows身份驗(yàn)證的工作方式
7.2.1 基本身份驗(yàn)證
7.2.2 摘要身份驗(yàn)證
7.2.3 集成Windows身份驗(yàn)證
7.3 ASP.NET Windows身份驗(yàn)證API
7.3.1 WindowsAuthenticationModule類
7.3.2 WindowsPrincipal類
7.3.3 WindowsIdentity類
7.4 實(shí)現(xiàn)Windows身份驗(yàn)證
7.4.1 配置IIS以執(zhí)行身份驗(yàn)證
7.4.2 配置ASP.NET以使用Windows身份驗(yàn)證
7.4.3 訪問ASP.NET中的Windows用戶信息
7.4.4 自定義Windows身份驗(yàn)證
7.5 小結(jié)
第8章 .NET Passport
8.1 使用Passport身份驗(yàn)證的原因
8.2 .NET Passport的工作原理
8.3 實(shí)現(xiàn).NET Passport
8.3.1 使用.NET Passport前的準(zhǔn)備
8.3.2 注冊.NET Passport應(yīng)用程序
8.3.3 Passport管理實(shí)用程序
8.4 Passport SDK COM對象
8.5 .NET Passport類
8.5.1 .NET Passport登錄
8.5.2 處理Passport Cookies
8.6 為Passport身份驗(yàn)證配置ASP.NET
8.7 獲取配置文件數(shù)據(jù)
8.8 自定義Passport身份驗(yàn)證
8.9 利用Passport加密和壓縮
8.9.1 加密
8.9.2 壓縮
8.9.3 多個(gè)密鑰
8.10 P3P
8.11 .NET Passport的前景
8.12 小結(jié)
8.13 相關(guān)鏈接
第9章 窗體身份驗(yàn)證
9.1 使用窗體身份驗(yàn)證的原因
9.1.1 不使用窗體身份驗(yàn)證的原因
9.1.2 不用親自實(shí)現(xiàn)Cookie身份驗(yàn)證
9.2 窗體身份驗(yàn)證的工作原理
9.3 窗體身份驗(yàn)證API
9.3.1 FormsAuthenticationModue HTTP模塊
9.3.2 FormsAuthentication類
9.3.3 FormsIdentity類
9.3.4 FormsAuthenticationTicket類
9.4 實(shí)現(xiàn)窗體身份驗(yàn)證
9.4.1 重點(diǎn)關(guān)注SSL
9.4.2 配置窗體身份驗(yàn)證
9.4.3 設(shè)置登錄頁面
9.4.4 為存儲器散列密碼
9.4.5 保留身份驗(yàn)證Cookie
9.4.6 使用其他的憑證存儲器
9.5 小結(jié)
第10章 擴(kuò)充窗體身份驗(yàn)證
10.1 在多個(gè)服務(wù)器上使用窗體身份驗(yàn)證
10.1.1 在非Web Farm中使用這些方法
10.1.2 隨機(jī)生成機(jī)器密鑰
10.2 不帶Cookies的窗體身份驗(yàn)證
10.3 保護(hù).aspx頁面及其內(nèi)容
10.3.1 性能問題
10.3.2 與文件類型有關(guān)的問題
10.4 向身份驗(yàn)證票證添加附加信息
10.5 構(gòu)建窗體身份驗(yàn)證以支持基于角色的授權(quán)
10.6 防止Cookie被盜
10.7 保存登錄用戶列表
10.8 提供多個(gè)登錄頁面
10.9 小結(jié)
第11章 自定義的身份驗(yàn)證
11.1 使用自定義身份驗(yàn)證的原因
11.1.1 為自定義身份驗(yàn)證配置ASP.NET
11.1.2 處理AuthenticateRequest事件
11.1.3 創(chuàng)建我們自己的主體和標(biāo)識
11.1.4 在運(yùn)行階段附加到自定義的Principal對象
11.2 電話銀行案例分析
11.2.1 將BeVocal Cafe作為服務(wù)提供商
11.2.2 SQL Server用戶／賬戶數(shù)據(jù)庫
11.3 小結(jié)
第12章 實(shí)現(xiàn)授權(quán)
12.1 角色
12.2 主體和標(biāo)識
12.2.1 標(biāo)識
12.2.2 主體
12.3 基于角色的安全
12.4 ASP.NET授權(quán)
12.5 文件授權(quán)
12.6 URL授權(quán)
12.7 權(quán)限的計(jì)算
12.8 代碼中的授權(quán)檢查
12.8.1 PrincipalPermission對象
12.8.2 合并PrincipalPermission對象
12.8.3 PrincipalPermissionAttribute類
12.9 自定義授權(quán)
12.10 CustomHttpModule
12.11 處理Global.asax中的AuthorizeRequest
12.12 在web.config中添加CustomModule
12.12.1 授權(quán)失敗
12.12.2 自定義授權(quán)示例
12.13 小結(jié)
第13章 代碼訪問安全
13.1 代碼訪問安全概述
13.2 代碼訪問安全的基本知識
13.2.1 獲得程序集標(biāo)識
13.2.2 為程序集分配權(quán)限
13.2.3 訪問控制
13.3 證據(jù)
13.3.1 應(yīng)用程序、域和程序集證據(jù)
13.3.2 自定義證據(jù)
13.3.3 運(yùn)行庫主機(jī)
13.4 代碼訪問安全權(quán)限
13.4.1 自定義權(quán)限類
13.4.2 標(biāo)識權(quán)限
13.5 代碼訪問安全策略
13.5.1 權(quán)限集和代碼組
13.5.2 內(nèi)置的權(quán)限集
13.5.3 策略結(jié)構(gòu)
13.5.4 策略結(jié)構(gòu)對象模型
13.5.5 使用策略評估
13.5.6 定制安全策略
13.5.7 使用自定義證據(jù)和權(quán)限
13.6 代碼訪問安全和ASP.NET應(yīng)用程序
13.7 代碼訪問安全限制
13.8 安全請求
13.9 安全需求
13.9.1 運(yùn)行時(shí)需求
13.9.2 加載時(shí)安全需求
13.10 真實(shí)示例
13.10.1 解決方案的運(yùn)作方式
13.10.2 安裝指令
13.11 小結(jié)
第14章 Web服務(wù)安全
14.1 Web服務(wù)身份驗(yàn)證
14.1.1 在Web服務(wù)中實(shí)現(xiàn)身份驗(yàn)證
14.1.2 自定義SOAP身份驗(yàn)證
14.2 Web服務(wù)加密方法
14.2.1 SSL
14.2.2 SOAP
14.3 用于授權(quán)的基于角色的安全
14.4 新生技術(shù)
14.4.1 WS－Security
14.4.2 XML－簽名
14.4.3 XML加密
14.5 XML密鑰管理規(guī)范
14.6 安全確認(rèn)標(biāo)記語言
14.7 小結(jié)
第15章 假冒
15.1 需要假冒的原因
15.2 針對Windows2000用戶的重要注釋
15.3 配置假冒
15.4 臨時(shí)假冒用戶
15.4.1 獲取令牌
15.4.2 執(zhí)行假冒
15.5 小結(jié)
附錄A IIS安全性配置
A.1 安全性和服務(wù)器的基礎(chǔ)結(jié)構(gòu)
A.2 計(jì)劃的安全性
A.3 保護(hù)IIS
A.3.1 設(shè)置Access Control List
A.3.2 禁用父路徑瀏覽
A.3.3 刪除IIS示例
A.3.4 禁用不用的COM組件
A.3.5 啟用日志記錄
A.3.6 安裝防毒軟件
A.4 Microsoft Data Access Component的安全性
A.5 鎖定IIS
A.5.1 服務(wù)器模板
A.5.2 Internet服務(wù)
A.5.3 腳本映射
A.5.4 附加安全設(shè)置
A.5.5 UrlScan
A.5.6 最后的要點(diǎn)
A.6 保護(hù)Telnet
A.7 小結(jié)
附錄B ASP.NET安全性配置
B.1 保護(hù)Windows
B.2 設(shè)置Windows安全性
B.3 URL授權(quán)
B.4 ASPNET賬戶
B.4.1 ASPNET賬戶權(quán)限
B.4.2 ASPNET賬戶限制
B.5 在System賬戶下運(yùn)行
B.6 設(shè)置假冒
B.6.1 通過IIS假冒
B.6.2 通過身份驗(yàn)證假冒
B.6.3 通過指定的用戶賬戶假冒
B.6.4 在部分代碼中假冒
B.7 小結(jié)