注冊(cè) | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當(dāng)前位置: 首頁(yè)出版圖書科學(xué)技術(shù)計(jì)算機(jī)/網(wǎng)絡(luò)軟件與程序設(shè)計(jì)網(wǎng)絡(luò)編程拒絕黑客:ASP.NET Web應(yīng)用程序安全性剖析

拒絕黑客:ASP.NET Web應(yīng)用程序安全性剖析

拒絕黑客:ASP.NET Web應(yīng)用程序安全性剖析

定 價(jià):¥48.00

作 者: (美)Mark M.Burnett著;良忠譯;良忠譯
出版社: 電子工業(yè)出版社
叢編項(xiàng): 安全技術(shù)大系
標(biāo) 簽: 網(wǎng)絡(luò)安全

ISBN: 9787121004056 出版時(shí)間: 2005-02-01 包裝: 平裝
開本: 24cm 頁(yè)數(shù): 355 字?jǐn)?shù):  

內(nèi)容簡(jiǎn)介

  這是一本為脆弱的ASP.NET Web應(yīng)用程序提供完美解決方案的書。不僅講解了ASP.NET Web應(yīng)用程序可能受到的各種威脅,而且提供了理想的解決方案。對(duì)于重要的安全技術(shù),還提供了典型的案例,并穿插了實(shí)用技巧。本書的最大特點(diǎn)是其務(wù)實(shí)性,即先提出問題(安全威脅),再有針對(duì)性地給出解決方案(安全技術(shù)),并對(duì)各種可能性進(jìn)行提綱挈領(lǐng)式的總結(jié)。本書內(nèi)容快覽·管理用戶·訪問數(shù)據(jù)·驗(yàn)證和授權(quán)用戶·開發(fā)安全的ASP.NET應(yīng)用程序·管理會(huì)話·保護(hù)XML·加密私有數(shù)據(jù)·附錄A:理解.NET安全·對(duì)用戶輸入的過濾·附錄B:Web應(yīng)用程序安全威脅術(shù)語(yǔ)表本書詳細(xì)介紹了ASP.NET Web應(yīng)用程序面對(duì)的各種威脅和攻擊,并有針對(duì)性地提供了完美解決方案。運(yùn)用本書介紹的安全技術(shù)基本上可以抵御到目前為止出現(xiàn)的各種黑客攻擊,如賬號(hào)劫持、社會(huì)工程、跨站點(diǎn)腳本、暴力攻擊等。 對(duì)于ASP.NET Web程序開發(fā)人員而言,本書可謂是一本非常實(shí)用的參考書,同時(shí)也知適合網(wǎng)絡(luò)管理員參考學(xué)習(xí)。譯者序 對(duì)于Web應(yīng)用程序來(lái)說, 若安全措施脆弱, 或存在潛在的安全漏洞, 無(wú)異于敞開大門不設(shè)防的銀行, 對(duì)于用戶來(lái)說, 在不安全的網(wǎng)站上輸入用戶名和密碼, 實(shí)際上使自己的隱私置入危險(xiǎn)之中, 對(duì)于黑客來(lái)說, 各種安全隱患則成為他們的有力攻擊目標(biāo). 隨著網(wǎng)絡(luò)應(yīng)用的進(jìn)一步深入, 網(wǎng)絡(luò)安全的重要性也日益凸現(xiàn). 有人將各種網(wǎng)絡(luò)攻擊比做"洪水猛獸"也毫不為過. 抵御這種"洪水猛獸"的根本途徑是堵塞各種安全漏洞, 構(gòu)筑堅(jiān)固的Web應(yīng)用程序. 本書正是這樣一本為脆弱的ASP. NET Web應(yīng)用程序提供完美解決方案的參考書籍. 本書講解了ASP. NET Web應(yīng)用程序可能受到的各種威脅, 并提供了理想的解決方案. 對(duì)于重要的安全技術(shù), 本書還提供了典型的案例. 本書的最大特點(diǎn)是其務(wù)實(shí)性, 即先提出問題(安全威脅), 再有針對(duì)性地給出解決方案(安全技術(shù)), 并對(duì)各種可能性進(jìn)行提綱挈領(lǐng)式的總結(jié). 當(dāng)然, 黑客技術(shù)與安全技術(shù)永遠(yuǎn)是"攻"與"防"的兩個(gè)對(duì)立面, 它們的技術(shù)也在不斷地發(fā)展. 即使充分運(yùn)用了本書介紹的安全技術(shù), 也不可能一勞永逸, 因?yàn)楣艏夹g(shù)無(wú)時(shí)無(wú)刻不在更新. 何況, 應(yīng)用程序在升級(jí)過程中, 由于種種原因, 也可能引入新的攻擊點(diǎn), 無(wú)形中擴(kuò)大了攻擊面. 因此, 閱讀此書時(shí), 我們要理解其精髓, 在安全維護(hù)中做到舉一反三. 由于譯者水平有限, 且時(shí)間倉(cāng)促, 錯(cuò)誤在所難免, 希望廣大讀者不吝指正. 我的E-mail地址是:web_zhou@21cn. com. 譯者 Mark Burnett(微軟MVP)他是一位獨(dú)立安全顧問和自由作家, 也是一位基于Windows的IIS Web服務(wù)器的安全專家. Mark是MaximumWindowsSecurity一書的合作者, 也是Stealing the Network:How to Own the Box(Syngress Publishing, 1-9311836-87-6)和Dr. Tom Shinder‘s ISA Server and Beyond:Real World SecuritySolutions for Microsoft Enterprise Networks(Syngress Publishing, ISBN:1-931836-66-3)撰稿人之一. 他是Syngress出版社Special Ops:Host and Network Security for Microsoft, UNIX,and Oracle(ISBN:1-931836-69-8)一書的撰稿人和技術(shù)編輯. Mark曾在多次安全會(huì)議上發(fā)表演講, 并在Windows &. NEI:Information Security,Windows Web Solutions, Security Administrator雜志上發(fā)表多篇技術(shù)文章, 還經(jīng)常給SecurityFoucs. com投稿. Mark還在自己的Web站點(diǎn)IISSecurity.info上發(fā)表語(yǔ)文章. 第1章管理用戶 1.1引言 1.1.1理解威脅 1.2建立用戶證書 1.2.1實(shí)施強(qiáng)密碼 1.2.2避免使用易于猜測(cè)的證書 1.2.3防止證書獲取 1.2.4限制空閑的賬戶 1.3管理密碼 1.3.1存儲(chǔ)密碼 1.3.2密碼時(shí)效和歷史記錄 1.3.3改變密碼 1.4重新設(shè)置丟失或被遺忘的密碼 1.4.1重新設(shè)置密碼 1.4.2通過電子郵件發(fā)送信息 1.4.3分配臨時(shí)密碼 1.4.4使用秘密問題 1.5授權(quán)用戶 1.5.1教育用戶 1.5.2證用戶置身其中 1.6編碼標(biāo)準(zhǔn)快速參考 1.6.1建立用戶證書 1.6.2管理密碼 1.6.3重新設(shè)置丟失或被遺忘的密碼 1.6.4授權(quán)用戶 1.7代碼審查快速參考 1.7.1建立用戶證書 1.7.2管理密碼 1.7.3重新設(shè)置丟失或被遺忘的密碼 1.7.4授權(quán)用戶 1.8常見問題 第2章驗(yàn)證和授權(quán)用戶 2.1引言 2.1.1理解威脅 2.2驗(yàn)證用戶 2.2.1構(gòu)建登錄表單 2.2.2使用表單驗(yàn)證 2.2.3使用Windows驗(yàn)證 2.2.4使用Passport驗(yàn)證 2.2.5阻塞暴力攻擊 2.3授權(quán)用戶 2.3.1決定如何授權(quán) 2.3.2使用文件授權(quán) 2.3.3應(yīng)用URL授權(quán) 2.3.4通過代碼授權(quán)用戶 2.4編碼標(biāo)準(zhǔn)快速參考 2.4.1驗(yàn)證用戶 2.4.2授權(quán)用戶 2.5代碼審查快速參考 2.5.1驗(yàn)證用戶 2.5.2授權(quán)用戶 2.6常見問題 第3章管理會(huì)話 3.1引言 3.1.1會(huì)話標(biāo)記 3.1.2驗(yàn)證標(biāo)記 3.1.3理解威脅 3.2維持狀態(tài) 3.2.1設(shè)計(jì)安全標(biāo)記 3.2.2選擇標(biāo)記機(jī)制 3.2.3使用狀態(tài)提供器 3.3使用ASP.NET標(biāo)記 3.3.1使用cookie 3.3.2使用視圖狀態(tài) 3.4ASP.NET狀態(tài)管理 3.4.1創(chuàng)建標(biāo)記 3.4.2終止會(huì)話 3.5編碼標(biāo)準(zhǔn)快速參考 3.5.1維持狀態(tài) 3.5.2使用ASP.NET標(biāo)態(tài) 3.5.3增強(qiáng)ASP.NET狀態(tài)管理 3.6代碼審查快速參考 3.6.1維持狀態(tài) 3.6.2使用ASP.NET標(biāo)記 3.6.3增強(qiáng)ASP.NET狀態(tài)管理 3.7常見問題 第4章加密私有數(shù)據(jù) 4.1引言 4.2使用ASP.NET中的加密技術(shù) 4.2.1使用對(duì)稱加密技術(shù) 4.2.2使用非對(duì)稱加密技術(shù) 4.2.3使用哈希算法 4.3利用.NET加密特性 4.3.1創(chuàng)建隨機(jī)數(shù) 4.3.2保持內(nèi)存清潔 4.3.3保護(hù)機(jī)密內(nèi)容 4.4使用SSL保護(hù)通信 4.5編碼標(biāo)準(zhǔn)快速參考 4.5.1在ASP.NET中使用加密技術(shù) 4.5.2利用.NET加密特性 4.6代碼審查快速參考 4.6.1在ASP.NET中使用加密技術(shù) 4.6.2利用.NET加密特性 4.7常見問題 第5章過濾用戶輸入 5.1引言 5.2惡意輸入處理 5.2.1識(shí)別輸入源 5.2.2防御性編程 5.3輸入約束 5.3.1邊界檢查 5.3.2模式匹配 5.3.3數(shù)據(jù)映射 5.3.4數(shù)據(jù)編碼 5.3.5封裝 5.3.6參數(shù)化 5.3.7雙重解碼 5.3.8語(yǔ)法檢查 5.3.9異常處理 5.3.10HoneyDrop 5.4限制惡意輸入下的暴露 5.4.1減少攻擊面 5.4.2限制攻擊范圍 5.4.3堅(jiān)固服務(wù)器應(yīng)用程序 5.5編碼標(biāo)準(zhǔn)快速參考 5.5.1處理惡意輸入 5.5.2約束輸入 5.5.3限制惡意輸入下的暴露 5.6代碼審查快速參考 5.6.1處理惡意輸入 5.6.2約束輸入 5.6.3限制惡意輸入下的暴露 5.7常見問題 第6章訪問數(shù)據(jù) 6.1引言 6.2保護(hù)數(shù)據(jù)庫(kù) 6.2.1保護(hù)數(shù)據(jù)庫(kù)位置 6.2.2限制攻擊面 6.2.3保證最小特權(quán) 6.2.4保護(hù)數(shù)據(jù)庫(kù) 6.3編寫安全的數(shù)據(jù)訪問代碼 6.3.1連接數(shù)據(jù)源 6.3.2阻止SQL注入 6.3.3編寫安全SQL代碼 6.3.4讀寫數(shù)據(jù)文件 6.4編碼標(biāo)準(zhǔn)快速參考 6.4.1保護(hù)數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序 6.4.2保護(hù)數(shù)據(jù)庫(kù) 6.4.3編寫安全的數(shù)據(jù)訪問代碼 6.5代碼審查快速參考 6.5.1保護(hù)數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序 6.5.2保護(hù)數(shù)據(jù)庫(kù) 6.5.3編寫安全的數(shù)據(jù)訪問代碼 6.6常見問題 第7章開發(fā)安全的ASP.NET應(yīng)用程序 7.1引言 7.1.1理解威脅 7.2編寫安全的HTML 7.2.1構(gòu)造安全的HTML 7.2.2阻止信息匯漏 7.3處理異常 7.3.1使用結(jié)構(gòu)化錯(cuò)誤處理 7.3.2報(bào)告和記錄錯(cuò)誤 7.4編碼標(biāo)準(zhǔn)快速參考 7.4.1編寫安全的HTML 7.4.2處理異常 7.5代碼審查快速參考 7.5.1編寫安全的HTML 7.5.2處理異常 7.6常見問題 第8章保護(hù)XML 8.1引言 8.2應(yīng)用XML加密 8.2.1加密XML數(shù)據(jù) 8.3應(yīng)用XML數(shù)字簽名 8.3.1XML數(shù)據(jù)簽名 8.4編碼標(biāo)準(zhǔn)快速參考 8.4.1應(yīng)用XML加密 8.4.2應(yīng)用XML數(shù)字簽名 8.5代碼審查快速參考 8.5.1應(yīng)用XML加密 8.5.2應(yīng)用XML數(shù)字簽名 8.6常見問題 附錄A理解.NET安全 附錄BWeb應(yīng)用程序安全威脅術(shù)語(yǔ)表

作者簡(jiǎn)介

  Mark Burnett(微軟MVP)他是一位獨(dú)立安全顧問和自由作家,也是一位基于Windows的IIS Web服務(wù)器的安全專家。Mark是Maximum Windows Security一書的合作者,也是Stealing the Network;How to Own the Box撰稿人之一。他是Syngress出版社Special Ops:Host and Network Security for Microsoft,UNIX,and Oracle一書的撰稿人和技術(shù)編輯。Mark曾在多次安全會(huì)議上發(fā)表演講,并在Windows & .NET,Information Security,windows Web Solutions,Security Administrator雜志上發(fā)表多篇技術(shù)文章,還經(jīng)常給SecurityFoucs.com投稿。Mark還在自己的Web站點(diǎn)IISSecurity.info上發(fā)表文章。

圖書目錄

第1章  管理用戶
 1.1  引言
 1.1.1  理解威脅
 1.2  建立用戶證書
 1.2.1  實(shí)施強(qiáng)密碼
 1.2.2  避免使用易于猜測(cè)的證書
 1.2.3  防止證書獲取
 1.2.4  限制空閑的賬戶
 1.3  管理密碼
 1.3.1  存儲(chǔ)密碼
 1.3.2  密碼時(shí)效和歷史記錄
 1.3.3  改變密碼
 1.4  重新設(shè)置丟失或被遺忘的密碼
 1.4.1  重新設(shè)置密碼
 1.4.2  通過電子郵件發(fā)送信息
 1.4.3  分配臨時(shí)密碼
 1.4.4  使用秘密問題
 1.5  授權(quán)用戶
 1.5.1  教育用戶
 1.5.2  證用戶置身其中
 1.6  編碼標(biāo)準(zhǔn)快速參考
 1.6.1  建立用戶證書
 1.6.2  管理密碼
 1.6.3  重新設(shè)置丟失或被遺忘的密碼
 1.6.4  授權(quán)用戶
 1.7  代碼審查快速參考
 1.7.1  建立用戶證書
 1.7.2  管理密碼
 1.7.3  重新設(shè)置丟失或被遺忘的密碼
 1.7.4  授權(quán)用戶
 1.8  常見問題
 第2章  驗(yàn)證和授權(quán)用戶
 2.1  引言
 2.1.1  理解威脅
 2.2  驗(yàn)證用戶
 2.2.1  構(gòu)建登錄表單
 2.2.2  使用表單驗(yàn)證
 2.2.3  使用Windows驗(yàn)證
 2.2.4  使用Passport驗(yàn)證
 2.2.5  阻塞暴力攻擊
 2.3  授權(quán)用戶
 2.3.1  決定如何授權(quán)
 2.3.2  使用文件授權(quán)
 2.3.3  應(yīng)用URL授權(quán)
 2.3.4  通過代碼授權(quán)用戶
 2.4  編碼標(biāo)準(zhǔn)快速參考
 2.4.1  驗(yàn)證用戶
 2.4.2  授權(quán)用戶
 2.5  代碼審查快速參考
 2.5.1  驗(yàn)證用戶
 2.5.2  授權(quán)用戶
 2.6  常見問題
 第3章  管理會(huì)話
 3.1  引言
 3.1.1  會(huì)話標(biāo)記
 3.1.2  驗(yàn)證標(biāo)記
 3.1.3  理解威脅
 3.2  維持狀態(tài)
 3.2.1  設(shè)計(jì)安全標(biāo)記
 3.2.2  選擇標(biāo)記機(jī)制
 3.2.3  使用狀態(tài)提供器
 3.3  使用ASP.NET標(biāo)記
 3.3.1  使用cookie
 3.3.2  使用視圖狀態(tài)
 3.4  ASP.NET狀態(tài)管理
 3.4.1  創(chuàng)建標(biāo)記
 3.4.2  終止會(huì)話
 3.5  編碼標(biāo)準(zhǔn)快速參考
 3.5.1  維持狀態(tài)
 3.5.2  使用ASP.NET標(biāo)態(tài)
 3.5.3  增強(qiáng)ASP.NET狀態(tài)管理
 3.6  代碼審查快速參考
 3.6.1  維持狀態(tài)
 3.6.2  使用ASP.NET標(biāo)記
 3.6.3  增強(qiáng)ASP.NET狀態(tài)管理
 3.7  常見問題
 第4章  加密私有數(shù)據(jù)
 4.1  引言
 4.2  使用ASP.NET中的加密技術(shù)
 4.2.1  使用對(duì)稱加密技術(shù)
 4.2.2  使用非對(duì)稱加密技術(shù)
 4.2.3  使用哈希算法
 4.3  利用.NET加密特性
 4.3.1  創(chuàng)建隨機(jī)數(shù)
 4.3.2  保持內(nèi)存清潔
 4.3.3  保護(hù)機(jī)密內(nèi)容
 4.4  使用SSL保護(hù)通信
 4.5  編碼標(biāo)準(zhǔn)快速參考
 4.5.1  在ASP.NET中使用加密技術(shù)
 4.5.2  利用.NET加密特性
 4.6  代碼審查快速參考
 4.6.1  在ASP.NET中使用加密技術(shù)
 4.6.2  利用.NET加密特性
 4.7  常見問題
 第5章  過濾用戶輸入
 5.1  引言
 5.2  惡意輸入處理
 5.2.1  識(shí)別輸入源
 5.2.2  防御性編程
 5.3  輸入約束
 5.3.1  邊界檢查
 5.3.2  模式匹配
 5.3.3  數(shù)據(jù)映射
 5.3.4  數(shù)據(jù)編碼
 5.3.5  封裝
 5.3.6  參數(shù)化
 5.3.7  雙重解碼
 5.3.8  語(yǔ)法檢查
 5.3.9  異常處理
 5.3.10  Honey  Drop
 5.4  限制惡意輸入下的暴露
 5.4.1  減少攻擊面
 5.4.2  限制攻擊范圍
 5.4.3  堅(jiān)固服務(wù)器應(yīng)用程序
 5.5  編碼標(biāo)準(zhǔn)快速參考
 5.5.1  處理惡意輸入
 5.5.2  約束輸入
 5.5.3  限制惡意輸入下的暴露
 5.6  代碼審查快速參考
 5.6.1  處理惡意輸入
 5.6.2  約束輸入
 5.6.3  限制惡意輸入下的暴露
 5.7  常見問題
 第6章  訪問數(shù)據(jù)
 6.1  引言
 6.2  保護(hù)數(shù)據(jù)庫(kù)
 6.2.1  保護(hù)數(shù)據(jù)庫(kù)位置
 6.2.2  限制攻擊面
 6.2.3  保證最小特權(quán)
 6.2.4  保護(hù)數(shù)據(jù)庫(kù)
 6.3  編寫安全的數(shù)據(jù)訪問代碼
 6.3.1  連接數(shù)據(jù)源
 6.3.2  阻止SQL注入
 6.3.3  編寫安全SQL代碼
 6.3.4  讀寫數(shù)據(jù)文件
 6.4  編碼標(biāo)準(zhǔn)快速參考
 6.4.1  保護(hù)數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序
 6.4.2  保護(hù)數(shù)據(jù)庫(kù)
 6.4.3  編寫安全的數(shù)據(jù)訪問代碼
 6.5  代碼審查快速參考
 6.5.1  保護(hù)數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序
 6.5.2  保護(hù)數(shù)據(jù)庫(kù)
 6.5.3  編寫安全的數(shù)據(jù)訪問代碼
 6.6  常見問題
 第7章  開發(fā)安全的ASP.NET應(yīng)用程序
 7.1  引言
 7.1.1  理解威脅
 7.2  編寫安全的HTML
 7.2.1  構(gòu)造安全的HTML
 7.2.2  阻止信息匯漏
 7.3  處理異常
 7.3.1  使用結(jié)構(gòu)化錯(cuò)誤處理
 7.3.2  報(bào)告和記錄錯(cuò)誤
 7.4  編碼標(biāo)準(zhǔn)快速參考
 7.4.1  編寫安全的HTML
 7.4.2  處理異常
 7.5  代碼審查快速參考
 7.5.1  編寫安全的HTML
 7.5.2  處理異常
 7.6  常見問題
 第8章  保護(hù)XML
 8.1  引言
 8.2  應(yīng)用XML加密
 8.2.1  加密XML數(shù)據(jù)
 8.3  應(yīng)用XML數(shù)字簽名
 8.3.1  XML數(shù)據(jù)簽名
 8.4  編碼標(biāo)準(zhǔn)快速參考
 8.4.1  應(yīng)用XML加密
 8.4.2  應(yīng)用XML數(shù)字簽名
 8.5  代碼審查快速參考
 8.5.1  應(yīng)用XML加密
 8.5.2  應(yīng)用XML數(shù)字簽名
 8.6  常見問題
 附錄A  理解.NET安全
 附錄B  Web應(yīng)用程序安全威脅術(shù)語(yǔ)表

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號(hào) 鄂公網(wǎng)安備 42010302001612號(hào)