開發(fā)更安全的ASP.NET 2.0應(yīng)用程序

第1章　Web應(yīng)用程序安全　
　1.1　OWASP Top 10　
　1.2　總體原則　
　　1.2.1　安全是一種特性　
　　1.2.2　使用最低權(quán)限　
　　1.2.3　預(yù)防、監(jiān)測和反應(yīng)　
　　1.2.4　分層防御　
　　1.2.5　不存在可信的輸入　
　　1.2.6　注意故障模式　
　　1.2.7　注意應(yīng)用程序拒絕服務(wù)　
　　1.2.8　首選默認(rèn)安全措施　
　　1.2.9　加密不能確保安全　
　　1.2.10　防火墻不能確保安全　
　1.3　小結(jié)　
第2章　ASP.NET 2.0架構(gòu)　
　2.1　理解宿主　
　2.2　理解管線　
　　2.2.1　HTTP模塊　
　　2.2.2　編寫模塊　
　　2.2.3　處理程序　
　　2.2.4　檢查管線　
　2.3　編譯ASP.NET頁　
　2.4　小結(jié)　
第3章　輸入驗(yàn)證　
　3.1　什么是輸入　
　3.2　輸入驗(yàn)證的必要性　
　3.3　輸入驗(yàn)證技術(shù)　
　　3.3.1　黑名單　
　　3.3.2　白名單　
　3.4　緩解技術(shù)　
　　3.4.1　輸出編碼　
　　3.4.2　沙盒　
　　3.4.3　完整性檢查　
　3.5　ASP.NET應(yīng)用程序中的驗(yàn)證　
　　3.5.1　自動(dòng)驗(yàn)證服務(wù)　
　　3.5.2　表單驗(yàn)證　
　　3.5.3　創(chuàng)建自定義驗(yàn)證控件　
　3.6　小結(jié)　
第4章　存儲(chǔ)機(jī)密　
　4.1　識(shí)別攻擊和攻擊者　
　4.2　加密術(shù)是救星嗎　
　4.3　哈希數(shù)據(jù)　
　　4.3.1　哈希算法　
　　4.3.2　.NET的哈希算法　
　4.4　保存密碼　
　4.5　加密數(shù)據(jù)　
　　4.5.1　對(duì)稱性加密　
　　4.5.2　加密算法　
　　4.5.3　密鑰和密鑰大小　
　　4.5.4　.NET的對(duì)稱性加密　
　　4.5.5　完整性保護(hù)　
　　4.5.6　整合：設(shè)計(jì)使用對(duì)稱性加密的應(yīng)用程序　
　　4.5.7　非對(duì)稱性加密　
　　4.5.8　證書　
　　4.5.9　在.NET中使用非對(duì)稱性加密證書　
　　4.5.10　整合：設(shè)計(jì)使用非對(duì)稱性加密和證書的應(yīng)用程序　
　4.6　使用Windows數(shù)據(jù)保護(hù)API　
　4.7　保護(hù)配置數(shù)據(jù)　
　　4.7.1　配置和安裝　
　　4.7.2　保護(hù)配置　
　4.8　保護(hù)ViewState　
　4.9　小結(jié)　
第5章　驗(yàn)證和授權(quán)　
　5.1　基礎(chǔ)知識(shí)　
　　5.1.1　術(shù)語　
　　5.1.2　應(yīng)用程序設(shè)計(jì)　
　　5.1.3　ASP.NET安全管道　
　　5.1.4　.NET安全架構(gòu)和基于角色的安全　
　　5.1.5　服務(wù)器驗(yàn)證　
　5.2　使用Windows賬戶　
　　5.2.1　IIS驗(yàn)證方法　
　　5.2.2　授權(quán)　
　　5.2.3　模擬　
　　5.2.4　委托　
　　5.2.5　安全上下文和訪問外部資源　
　5.3　使用自定義賬戶　
　　5.3.1　表單驗(yàn)證　
　　5.3.2　表單驗(yàn)證機(jī)制　
　　5.3.3　配置表單驗(yàn)證　
　　5.3.4　確保表單驗(yàn)證的安全　
　　5.3.5　自定義表單驗(yàn)證　
　　5.3.6　Web場　
　　5.3.7　單點(diǎn)登錄　
　　5.3.8　使用ASP.NET保護(hù)非ASP.NET資源　
　5.4　混合方法　
　　5.4.1　手動(dòng)Windows驗(yàn)證　
　　5.4.2　協(xié)議轉(zhuǎn)換　
　　5.4.3　對(duì)自定義賬戶實(shí)現(xiàn)基本驗(yàn)證　
　　5.4.4　用戶證書　
　　5.4.5　混合模式驗(yàn)證　
　5.5　小結(jié)　
第6章　安全提供程序和控件　
　6.1　理解成員功能　
　　6.1.1　方法　
　　6.1.2　事件　
　　6.1.3　成員配置　
　　6.1.4　SQL成員提供程序　
　　6.1.5　Active Directory成員提供程序　
　　6.1.6　與成員相關(guān)的控件　
　6.2　理解角色管理器　
　　6.2.1　角色管理器模塊　
　　6.2.2　角色管理器配置　
　　6.2.3　SQL角色提供程序　
　　6.2.4　Windows令牌角色提供程序　
　　6.2.5　授權(quán)存儲(chǔ)角色提供程序　
　　6.2.6　與角色相關(guān)的控件　
　　6.2.7　成員和角色打包　
　6.3　使用SiteMap導(dǎo)航　
　6.4　創(chuàng)建功能和提供程序　
　6.5　指南　
　6.6　小結(jié)　
第7章　日志和監(jiān)測　
　7.1　錯(cuò)誤處理　
　　7.1.1　獲取401非授權(quán)錯(cuò)誤　
　　7.1.2　錯(cuò)誤處理　
　7.2　日志和監(jiān)測　
　　7.2.1　事件日志　
　　7.2.2　性能監(jiān)視器　
　　7.2.3　電子郵件　
　　7.2.4　Windows管理監(jiān)測　
　　7.2.5　ASP.NET跟蹤和System.Diagnostics.Trace　
　　7.2.6　日志和部分信任　
　7.3　健康監(jiān)測框架　
　　7.3.1　創(chuàng)建事件　
　　7.3.2　配置健康檢測　
　　7.3.3　SQL服務(wù)器提供程序　
　　7.3.4　WMI提供程序　
　　7.3.5　電子郵件提供程序　
　　7.3.6　編寫自定義提供程序　
　　7.3.7　編寫自定義緩沖提供程序　
　　7.3.8　狀態(tài)監(jiān)視和部分信任　
　　7.3.9　指南　
　7.4　小結(jié)　
第8章　部分信任ASP.NET　
　8.1　為什么選擇部分信任　
　8.2　配置部分信任　
　8.3　理解策略文件　
　　8.3.1　安全類　
　　8.3.2　命名權(quán)限集　
　　8.3.3　代碼組　
　　8.3.4　策略加載和解析　
　8.4　自定義策略文件　
　8.5　分割代碼
　　8.5.1　重構(gòu)代碼　
　　8.5.2　堆棧審核　
　　8.5.3　為經(jīng)過分區(qū)的程序集修改策略　
　　8.5.4　限制調(diào)用組件的用戶　
　8.6　創(chuàng)建自定義權(quán)限　
　　8.6.1　權(quán)限類　
　　8.6.2　封裝　
　　8.6.3　屬性　
　8.7　SecurityException的作用　
　8.8　鎖定配置　
　8.9　小結(jié)　
第9章　部署和配置　
　9.1　總指導(dǎo)原則　
　9.2　操作系統(tǒng)強(qiáng)化　
　　9.2.1　自動(dòng)更新　
　　9.2.2　禁用服務(wù)和協(xié)議　
　　9.2.3　包過濾　
　　9.2.4　保護(hù)Windows文件共享　
　　9.2.5　審核　
　9.3　數(shù)據(jù)庫服務(wù)器強(qiáng)化　
　9.4　Web服務(wù)器強(qiáng)化　
　　9.4.1　應(yīng)用程序池　
　　9.4.2　Web服務(wù)擴(kuò)展　
　　9.4.3　Web內(nèi)容　
　　9.4.4　HTTP頭　
　　9.4.5　日志　
　　9.4.6　URLScan　
　　9.4.7　訪問控制列表　
　　9.4.8　啟用SSL　
　　9.4.9　驗(yàn)證方法　
　9.5　ASP.NET強(qiáng)化　
　　9.5.1　配置鎖死　
　　9.5.2　推薦設(shè)置　
　　9.5.3　預(yù)編譯　
　9.6　小結(jié)　
第10章　工具和資源　
　10.1　工具類型　
　10.2　確定合適的工具　
　10.3　瀏覽代理服務(wù)器和HTTP協(xié)議檢測工具　
　　10.3.1　Fiddler　
　　10.3.2　Paros　
　　10.3.3　WebScarab　
　　10.3.4　WSDigger　
　10.4　黑盒掃描器　
　　10.4.1　SPI Dynamics WebInspect　
　　10.4.2　Watchfire AppScan　
　　10.4.3　Berretta　
　10.5　配置分析　
　　10.5.1　SSL Digger　
　　10.5.2　PermCalc　
　　10.5.3　Desaware CAS Tester　
　　10.5.4　ANSA　
　　10.5.5　IIS Lockdown　
　10.6　源代碼分析器　
　　10.6.1　Foundstone CodeScout　
　　10.6.2　Microsoft PREfix和PREfast　
　　10.6.3　Compuware ASP.NET Security Checker　
　　10.6.4　SPI Dynamics DevInspect　
　10.7　多功能工具　
　10.8　二進(jìn)制分析　
　　10.8.1　靜態(tài)二進(jìn)制分析工具　
　　10.8.2　動(dòng)態(tài)(“運(yùn)行時(shí)”)二進(jìn)制分析　
　　10.8.3　調(diào)試器　
　　10.8.4　反編譯器/模糊處理器　
　10.9　數(shù)據(jù)庫掃描器　
　　10.9.1　AppDetective　
　　10.9.2　MetaCoretex　
　　10.9.3　NGSSquirrel　
　10.10　博客　
　10.11　小結(jié)　
附錄A　創(chuàng)建自定義受保護(hù)配置提供程序　
附錄B　會(huì)話狀態(tài)　
　B.1　會(huì)話狀態(tài)如何工作　
　　B.1.1　Cookie vs.查詢字符串　
　　B.1.2　超時(shí)設(shè)定　
　　B.1.3　會(huì)話模式　
　B.2　會(huì)話存儲(chǔ)　
　　B.2.1　進(jìn)程內(nèi)提供程序　
　　B.2.2　狀態(tài)服務(wù)器　
　　B.2.3　SQL Server　
　B.3　小結(jié)　
附錄C　分拆ASP.NET應(yīng)用程序　
　C.1　創(chuàng)建服務(wù)器端　
　C.2　創(chuàng)建客戶端　
　C.3　創(chuàng)建部分信任客戶端　
　C.4　小結(jié)　
附錄D　安全的Web服務(wù)　
　D.1　適用情況　
　D.2　安全的通信和服務(wù)器驗(yàn)證　
　D.3　客戶端驗(yàn)證　
　D.4　小結(jié)　
附錄E　使用Visual Studio Team Edition進(jìn)行單元測試　
　E.1　測試驅(qū)動(dòng)開發(fā)　
　E.2　運(yùn)行測試　
　E.3　測試現(xiàn)有代碼　
　E.4　測試列表和測試運(yùn)行配置　
　E.5　建立正確的測試環(huán)境　
　E.6　測試私有方法　
　E.7　預(yù)期的錯(cuò)誤　
　E.8　數(shù)據(jù)驅(qū)動(dòng)測試　
　E.9　數(shù)據(jù)驅(qū)動(dòng)測試的數(shù)據(jù)管理　
　E.10　測試Web服務(wù)代碼　
　E.11　在ASP.NET內(nèi)部運(yùn)行測試　
　E.12　小結(jié)