ASP.NET安全性高級(jí)編程

第1章 創(chuàng)建安全的Web應(yīng)用程序
1.1 “安全性”的含義
1.1.1 “安全”的含義
1.1.2 安全的其他定義
1.2 重視安全性的原因
1.2.1 Web應(yīng)用程序——一把雙刃劍
1.2.2 相關(guān)法律
1.2.3 對(duì)Web應(yīng)用程序的攻擊方式
1.2.4 每個(gè)人遲早都會(huì)遭受攻擊
1.2.5 安全并不僅僅是攔賊于門(mén)外
1.3 安全由誰(shuí)來(lái)負(fù)責(zé)
1.3.1 ASP.NET開(kāi)發(fā)人員力所不及的安全問(wèn)題
1.3.2 ASP.NET開(kāi)發(fā)人員的職責(zé)
1.4 一些安全建議
1.4.1 沒(méi)有百分之百的安全
1.4.2 隱藏起來(lái)并不能保證安全
1.4.3 應(yīng)用程序安全性由它最薄弱的環(huán)節(jié)決定
1.4.4 安全問(wèn)題在開(kāi)發(fā)過(guò)程的每一階段都很重要
1.4.5 安全領(lǐng)域有做不完的工作
1.4.6 過(guò)分限制的安全不利于產(chǎn)品開(kāi)發(fā)
1.4.7 安全并不只是技術(shù)問(wèn)題
1.4.8 維護(hù)安全不能依賴用戶
1.5 小結(jié)
第2章 認(rèn)真對(duì)待客戶
2.1 攻擊手段
2.1.1 腳本注入
2.1.2 跨站點(diǎn)腳本攻擊
2.1.3 SQL注入
2.1.4 SQL Union攻擊
2.1.5 更多的高級(jí)攻擊
2.1.6 驗(yàn)證、編碼和篩選用戶輸入
2.1.7 預(yù)防SQL注入攻擊
2.1.8 隱藏窗體字段
2.1.9 Cookies
2.1.10 Http Referrer
2.1.11 URL
2.1.12 視圖狀態(tài)
2.2 防止信息泄漏
2.2.1 控制錯(cuò)誤信息
2.2.2 禁用調(diào)試和跟蹤
2.3 小結(jié)
第3章 存儲(chǔ)秘密
3.1 存儲(chǔ)方式
3.1.1 將秘密存儲(chǔ)到頁(yè)面中
3.1.2 將秘密存儲(chǔ)到后臺(tái)編碼文件中
3.1.3 將秘密存儲(chǔ)到.config文件中
3.1.4 將秘密存儲(chǔ)到受保護(hù)的.config文件中
3.1.5 將秘密存儲(chǔ)到內(nèi)存中
3.1.6 使用散列技術(shù)存儲(chǔ)秘密
3.1.7 使用Data Protection API存儲(chǔ)秘密
3.2 小結(jié)
第4章 保護(hù)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)
4.1 保護(hù)措施
4.1.1 數(shù)據(jù)庫(kù)賬戶
4.1.2 限制到數(shù)據(jù)庫(kù)的連接
4.1.3 將秘密存儲(chǔ)到.NET組件中
4.1.4 COM＋對(duì)象構(gòu)造
4.1.5 使用受信任的連接
4.1.6 使用存儲(chǔ)過(guò)程控制數(shù)據(jù)庫(kù)訪問(wèn)
4.2 小結(jié)
第5章 實(shí)現(xiàn)密碼策略
5.1 密碼策略
5.1.1 如何創(chuàng)建安全密碼
5.1.2 密碼的最小長(zhǎng)度
5.1.3 混合大小寫(xiě)的密碼
5.1.4 數(shù)字和符號(hào)
5.1.5 對(duì)新密碼運(yùn)行字典檢查
5.1.6 密碼更新
5.1.7 為用戶選擇隨機(jī)密碼
5.1.8 幫助忘記密碼的用戶
5.2 防止蠻力攻擊
5.3 小結(jié)
第6章 ASP.NET安全架構(gòu)
6.1 ASP.NET安全過(guò)程
6.1.1 身份驗(yàn)證
6.1.2 授權(quán)
6.1.3 假冒
6.1.4 綜合運(yùn)用所有功能
6.2 如何實(shí)現(xiàn).NET安全
6.2.1 表示安全上下文
6.2.2 表示用戶標(biāo)識(shí)
6.2.3 ASP.NET頁(yè)面請(qǐng)求中出現(xiàn)的安全事件
6.2.4 內(nèi)置的身份驗(yàn)證模塊
6.2.5 內(nèi)置的授權(quán)模塊
6.3 小結(jié)
第7章 Windows身份驗(yàn)證
7.1 使用Windows身份驗(yàn)證的原因
7.2 Windows身份驗(yàn)證的工作方式
7.2.1 基本身份驗(yàn)證
7.2.2 摘要身份驗(yàn)證
7.2.3 集成Windows身份驗(yàn)證
7.3 ASP.NET Windows身份驗(yàn)證API
7.3.1 WindowsAuthenticationModule類(lèi)
7.3.2 WindowsPrincipal類(lèi)
7.3.3 WindowsIdentity類(lèi)
7.4 實(shí)現(xiàn)Windows身份驗(yàn)證
7.4.1 配置IIS以執(zhí)行身份驗(yàn)證
7.4.2 配置ASP.NET以使用Windows身份驗(yàn)證
7.4.3 訪問(wèn)ASP.NET中的Windows用戶信息
7.4.4 自定義Windows身份驗(yàn)證
7.5 小結(jié)
第8章 .NET Passport
8.1 使用Passport身份驗(yàn)證的原因
8.2 .NET Passport的工作原理
8.3 實(shí)現(xiàn).NET Passport
8.3.1 使用.NET Passport前的準(zhǔn)備
8.3.2 注冊(cè).NET Passport應(yīng)用程序
8.3.3 Passport管理實(shí)用程序
8.4 Passport SDK COM對(duì)象
8.5 .NET Passport類(lèi)
8.5.1 .NET Passport登錄
8.5.2 處理Passport Cookies
8.6 為Passport身份驗(yàn)證配置ASP.NET
8.7 獲取配置文件數(shù)據(jù)
8.8 自定義Passport身份驗(yàn)證
8.9 利用Passport加密和壓縮
8.9.1 加密
8.9.2 壓縮
8.9.3 多個(gè)密鑰
8.10 P3P
8.11 .NET Passport的前景
8.12 小結(jié)
8.13 相關(guān)鏈接
第9章 窗體身份驗(yàn)證
9.1 使用窗體身份驗(yàn)證的原因
9.1.1 不使用窗體身份驗(yàn)證的原因
9.1.2 不用親自實(shí)現(xiàn)Cookie身份驗(yàn)證
9.2 窗體身份驗(yàn)證的工作原理
9.3 窗體身份驗(yàn)證API
9.3.1 FormsAuthenticationModue HTTP模塊
9.3.2 FormsAuthentication類(lèi)
9.3.3 FormsIdentity類(lèi)
9.3.4 FormsAuthenticationTicket類(lèi)
9.4 實(shí)現(xiàn)窗體身份驗(yàn)證
9.4.1 重點(diǎn)關(guān)注SSL
9.4.2 配置窗體身份驗(yàn)證
9.4.3 設(shè)置登錄頁(yè)面
9.4.4 為存儲(chǔ)器散列密碼
9.4.5 保留身份驗(yàn)證Cookie
9.4.6 使用其他的憑證存儲(chǔ)器
9.5 小結(jié)
第10章 擴(kuò)充窗體身份驗(yàn)證
10.1 在多個(gè)服務(wù)器上使用窗體身份驗(yàn)證
10.1.1 在非Web Farm中使用這些方法
10.1.2 隨機(jī)生成機(jī)器密鑰
10.2 不帶Cookies的窗體身份驗(yàn)證
10.3 保護(hù).aspx頁(yè)面及其內(nèi)容
10.3.1 性能問(wèn)題
10.3.2 與文件類(lèi)型有關(guān)的問(wèn)題
10.4 向身份驗(yàn)證票證添加附加信息
10.5 構(gòu)建窗體身份驗(yàn)證以支持基于角色的授權(quán)
10.6 防止Cookie被盜
10.7 保存登錄用戶列表
10.8 提供多個(gè)登錄頁(yè)面
10.9 小結(jié)
第11章 自定義的身份驗(yàn)證
11.1 使用自定義身份驗(yàn)證的原因
11.1.1 為自定義身份驗(yàn)證配置ASP.NET
11.1.2 處理AuthenticateRequest事件
11.1.3 創(chuàng)建我們自己的主體和標(biāo)識(shí)
11.1.4 在運(yùn)行階段附加到自定義的Principal對(duì)象
11.2 電話銀行案例分析
11.2.1 將BeVocal Cafe作為服務(wù)提供商
11.2.2 SQL Server用戶／賬戶數(shù)據(jù)庫(kù)
11.3 小結(jié)
第12章 實(shí)現(xiàn)授權(quán)
12.1 角色
12.2 主體和標(biāo)識(shí)
12.2.1 標(biāo)識(shí)
12.2.2 主體
12.3 基于角色的安全
12.4 ASP.NET授權(quán)
12.5 文件授權(quán)
12.6 URL授權(quán)
12.7 權(quán)限的計(jì)算
12.8 代碼中的授權(quán)檢查
12.8.1 PrincipalPermission對(duì)象
12.8.2 合并PrincipalPermission對(duì)象
12.8.3 PrincipalPermissionAttribute類(lèi)
12.9 自定義授權(quán)
12.10 CustomHttpModule
12.11 處理Global.asax中的AuthorizeRequest
12.12 在web.config中添加CustomModule
12.12.1 授權(quán)失敗
12.12.2 自定義授權(quán)示例
12.13 小結(jié)
第13章 代碼訪問(wèn)安全
13.1 代碼訪問(wèn)安全概述
13.2 代碼訪問(wèn)安全的基本知識(shí)
13.2.1 獲得程序集標(biāo)識(shí)
13.2.2 為程序集分配權(quán)限
13.2.3 訪問(wèn)控制
13.3 證據(jù)
13.3.1 應(yīng)用程序、域和程序集證據(jù)
13.3.2 自定義證據(jù)
13.3.3 運(yùn)行庫(kù)主機(jī)
13.4 代碼訪問(wèn)安全權(quán)限
13.4.1 自定義權(quán)限類(lèi)
13.4.2 標(biāo)識(shí)權(quán)限
13.5 代碼訪問(wèn)安全策略
13.5.1 權(quán)限集和代碼組
13.5.2 內(nèi)置的權(quán)限集
13.5.3 策略結(jié)構(gòu)
13.5.4 策略結(jié)構(gòu)對(duì)象模型
13.5.5 使用策略評(píng)估
13.5.6 定制安全策略
13.5.7 使用自定義證據(jù)和權(quán)限
13.6 代碼訪問(wèn)安全和ASP.NET應(yīng)用程序
13.7 代碼訪問(wèn)安全限制
13.8 安全請(qǐng)求
13.9 安全需求
13.9.1 運(yùn)行時(shí)需求
13.9.2 加載時(shí)安全需求
13.10 真實(shí)示例
13.10.1 解決方案的運(yùn)作方式
13.10.2 安裝指令
13.11 小結(jié)
第14章 Web服務(wù)安全
14.1 Web服務(wù)身份驗(yàn)證
14.1.1 在Web服務(wù)中實(shí)現(xiàn)身份驗(yàn)證
14.1.2 自定義SOAP身份驗(yàn)證
14.2 Web服務(wù)加密方法
14.2.1 SSL
14.2.2 SOAP
14.3 用于授權(quán)的基于角色的安全
14.4 新生技術(shù)
14.4.1 WS－Security
14.4.2 XML－簽名
14.4.3 XML加密
14.5 XML密鑰管理規(guī)范
14.6 安全確認(rèn)標(biāo)記語(yǔ)言
14.7 小結(jié)
第15章 假冒
15.1 需要假冒的原因
15.2 針對(duì)Windows2000用戶的重要注釋
15.3 配置假冒
15.4 臨時(shí)假冒用戶
15.4.1 獲取令牌
15.4.2 執(zhí)行假冒
15.5 小結(jié)
附錄A IIS安全性配置
A.1 安全性和服務(wù)器的基礎(chǔ)結(jié)構(gòu)
A.2 計(jì)劃的安全性
A.3 保護(hù)IIS
A.3.1 設(shè)置Access Control List
A.3.2 禁用父路徑瀏覽
A.3.3 刪除IIS示例
A.3.4 禁用不用的COM組件
A.3.5 啟用日志記錄
A.3.6 安裝防毒軟件
A.4 Microsoft Data Access Component的安全性
A.5 鎖定IIS
A.5.1 服務(wù)器模板
A.5.2 Internet服務(wù)
A.5.3 腳本映射
A.5.4 附加安全設(shè)置
A.5.5 UrlScan
A.5.6 最后的要點(diǎn)
A.6 保護(hù)Telnet
A.7 小結(jié)
附錄B ASP.NET安全性配置
B.1 保護(hù)Windows
B.2 設(shè)置Windows安全性
B.3 URL授權(quán)
B.4 ASPNET賬戶
B.4.1 ASPNET賬戶權(quán)限
B.4.2 ASPNET賬戶限制
B.5 在System賬戶下運(yùn)行
B.6 設(shè)置假冒
B.6.1 通過(guò)IIS假冒
B.6.2 通過(guò)身份驗(yàn)證假冒
B.6.3 通過(guò)指定的用戶賬戶假冒
B.6.4 在部分代碼中假冒
B.7 小結(jié)