ASP.NET安全编程入门经典

第1章 Web安全的重要性

1.1 案例解析

1.2 风险与回报

1.3 构建安全体系

1.3.1 分层防御

1.3.2 不存在可信任的输入数据

1.3.3 关注错误提醒

1.3.4 监视攻击

1.3.5 使用最小特权

1.3.6 防火墙和加密不能确保安全

1.3.7 安全应该是默认状态

1.3.8 代码防御

1.4 0WASP中的十大安全隐患

1.5 进一步学习

1.6 本章小结

第Ⅰ部分 ASP.NE丁安全基础

第2章 Web工作原理

2.1 深入理解H丁7P

2.1.1 请求资源

2.1.2 请求响应

2.1.3 嗅探H丁丁P请求和响应

2.2 理解H丁ML表单

2.3 ASPNET的工作原理

2.3.1 理解ASP.NET事件的工作原理

2.3.2 检查ASP.NET管道

2.3.3 编写HTTP模块

2.4 本章小结

第3章 安全接受用户输入

3.1 定义输入

3.2 安全处理输入

3.2.1 安全应答用户输入

3.2.2 缓解XSS攻击

3.2.3 Micros oftAnti.XSS库

3.2.4 限制输入

3.2.5 保护cookie

3.3 验证表单输入

3.3.1 验证控件

3.3.2 标准的ASP.NET验证控件

3.4 本章小结

第4章 查询字符串、表单域、事件和浏览器信息的用法

4.1 使用合适的输入类型

4.2 查询字符串

4.3 表单域

4.4 避免请求伪造

4.5 保护ASP.NET事件

4.6 避免浏览器信息错误

4.7 本章小结

第5章 控制信息

5.1 控制View State

5.1.1 验证View State

5.1.2 加密View State气

5.1.3 保护View State避免一键攻击

5.1.4 从客户端页面中删除

ViewState

5.1.5 禁用浏览器缓存

5.2 错误处理和日志记录

5.2.1 改善错误处理

5.2.2 注意特殊异常

5.2.3 记录错误和监视应用程序

5.3 限制搜索引擎

5.3.1 使用元标记控制机器人

5.3.2 使用robots.txt文件控制

机器人

5.4 保护配置文件中的密码

5.5 本章小结

第6章 散列和加密

6.1 使用散列保护完整性

6.1.1 选择散列算法

6.1.2 保护散列密码

6.2 加密数据

6.2.1 对称加密

6.2.2 使用非对称加密来共享数据

6.2.3 使用WindowsDPAPI

6.3 本章小结

第Ⅱ部分 保护常见的ASP.NET任务

第7章 添加用户名和密码

7.1 身份验证和授权

7.2 发现您自己的身份

7.3 添加ASP.NET身份验证

7.3.1 表单身份验证

7.3.2 Windows身份验证

7.4 ASP.NET授权

7.4.1 检查和元素

7.4.2 基子角色授权

7.4.3 限制访问文件或者文件夹的权限

7.4.4 以编程方式检查用户和角色

7.5 本章小结

第8章 安全访问数据库

8.1 糟糕代码：演示SQL注入

攻击

8.2 修补漏洞

8.3 更多SQLServer安全措施

8.3.1 没有密码的连接

8.3.2 SQL权限

8.3.3 使用视图

8.3.4 SQLExpress用户实例

8.3.5 内置WebServer的缺点

8.3.6 动态SQL存储过程

8.3.7 使用SQL加密

8.4 本章小结

第9章 使用文件系统

9.1 安全访问现有的文件

9.1.1 静态文件的安全性

9.1.2 文件下载和设置文件名

9.1.3 更深入的文件访问检查

9.1.4 访问远程文件

9.2 安全创建文件

9.3 处理用户上传文件

9.4 本章小结

第10章 保护XML

10.1 验证XML

10.1.1 格式良好的XML

10.1.2 有效的XML

10.1.3 XML解析器

10.2 查询XML

10.3 保护XML文档

……

第Ⅲ部分 ASP.NET高级内容

《ASP.NET安全编程入门经典》探讨与用户输入有关的问题，包括验证、跨站脚本（cross-sites cripting，XSS）和跨站请求伪造（cross-siterequest for gery， CSRF）。讲授如何安全地访问数据库和防御SQL注入攻击。分享保密技术，包括加密、散列和防止信息泄漏。研究用户身份验证和授权的方法，包括ASP.NET成员资格提供程序和防止cookie被盗。分享保护Web服务安全的技巧，包括如何使用ASP.NET信任级别和锁定IIS。介绍安全使用WCF Web服务的方式。介绍使用Microsofi ASPN ETA jax架构和Silver ight的安全性。Microsoft MVC架构安全概述。

《ASP.NET安全编程入门经典》适合ASENET初学者和中级水平的ASP．NET编程人员阅读，《ASP.NET安全编程入门经典》为保护ASP．NE7开发的每个领域提供了逐步的解决方案，而不是从理论上宋解决安全问题。作为Microsoft MVP的Barry Dorrans向您说明了日常代码如何被攻击的示例，并描述了防御攻击的几个必要步骤。此外，您还将学习如何使用Microsoftt 其他供应商提供的．NET框架、产业模式、最佳实践、代码库和资源宋保护您的应用程序。