无懈可击 全方位构建安全Web系统PDF电子书下载

第一部分 2

第1章 网站安全技术概述 2

1.1代码安全性的含义 2

1.1.1代码与代码的安全域 4

1.1.2代码的安全策略 9

1.2可靠的安全架构 13

第2章 类库与安全类 17

2.1安全类的总体架构 17

2.2 System.Security 18

2.3 System.Security.Cryptography 19

2.4 System.Security.Principal 21

2.5 System.Security.Policy 22

2.6 System.Security.Permissions 25

2.7 System.Web.Security 27

2.8 JSP的安全类 29

第3章ASP.NET 4.0的安全组件 31

3.1登录控件 31

3.2登录状态控件 32

3.3密码维护控件 34

3.4创建用户向导控件 36

3.5页面访问控件 38

第二部分 42

第4章 存储的安全 42

4.1对数据的攻击方式 42

4.2 Hash算法 42

4.3利用操作系统的接口加密 47

4.4加密XML文件 52

4.4.1 DpapiProtectedConfigurationProvider类 54

4.4.2 RsaProtectedConfigurationProvider类 57

4.5保护视图数据 60

4.5.1开启视图保护开关 61

4.5.2加密视图信息 64

4.5.3用户独立视图 65

4.6数据保护 67

4.6.1对称加密算法 67

4.6.2非对称加密算法 70

4.6.3证书加密 72

第5章让ASP.NET/JSP与数据库安全通信 77

5.1数据库与注入隐患 77

5.1.1攻击原理 78

5.1.2攻击方式 78

5.1.3防范方法 79

5.2一个注入实例 80

5.3加固SQL参数与存储过程 86

5.4正确连接数据库 87

5.4.1数据库身份验证 89

5.4.2数据库授权 90

5.4.3数据库安全配置 91

5.4.4加密敏感数据 92

5.4.5安全处理出错数据 95

5.4.6正确安装数据库 97

第6章 把住用户输入关 100

6.1需要验证的数据 100

6.2几种常见验证方案 105

6.2.1图片和附加码数据验证 105

6.2.2 Web表单数据验证 108

6.2.3 Web窗体数据验证 108

6.3信息过滤 116

第三部分 122

第7章 编写安全中间件 122

7.1脆弱的中间件 122

7.2如何设计中间件 124

7.3设计中间件的权限 125

7.4一个中间件的实例 127

7.5强签名与反编译 130

7.6如何操作存储系统 132

第8章ASP.NET角色机制 140

8.1 ASPNET安全管道 140

8.1.1 HTTP请求处理流程 141

8.1.2安全HTTP管道 142

8.1.3过滤器 146

8.2角色安全认证 148

8.2.1 IIS和ASPNET用户认证流程 148

8.2.2 ASPNET用户认证 148

8.2.3使用ASPNET管理工具添加用户 152

8.2.4角色管理系统 154

8.2.5使用Membership/Role API添加用户 159

8.3窗体验证 165

8.4混合认证 169

8.4.1基于IIS的Windows身份验证 169

8.4.2基于活动目录的Windows身份验证 173

第9章 构建可靠Session 180

9.1 Session的概念 180

9.2安全Session的运行时 183

9.3如何创建Session 185

9.4利用加密连接加固Session 186

9.5使用权标 188

9.6合理配置Session 190

9.7正确处理链接 191

9.8利用数据库保存Session 193

第10章 安全的Provider模式 196

10.1 ASP.NET的MemberShip Provider 196

10.2实现自定义的MembershipProvider类 199

10.3安全使用SiteMap 204

第11章 保护错误信息 208

11.1安全处理ASPNET系统错误 208

11.1.1错误异常处理机制 208

11.1.2错误异常组成 208

11.2异常处理程序的设计 209

11.2.1错误异常的引发 209

11.2.2错误异常的处理 215

11.2.3错误异常的捕获 217

11.2.4设计自定义错误异常 219

11.2.5错误异常的性能 219

11.2.6显示安全的错误信息 221

11.3监控自己系统的安全状态 222

11.3.1 Web系统安全监控 223

11.3.2记录错误信息 224

11.3.3日志组件 227

第12章Web系统与钓鱼技术 232

12.1反射型XSS漏洞 232

12.2保存型XSS漏洞 234

12.3重定向漏洞 235

12.4本站点请求漏洞 236

第四部分 240

第13章 程序间的访问策略 240

13.1代码信任技术概述 240

13.2资源访问安全 240

13.3完全信任和部分信任 241

13.4代码访问安全配置 242

13.5 ASP.NET策略文件 243

13.6 ASPNET安全策略 243

13.7开发部分信任Web应用程序 246

13.8部分信任级的配置方法 247

13.9部分信任的Web应用程序处理策略 247

13.10自定义策略 248

13.11沙箱保护策略 249

13.12中度信任程序 250

13.13中度信任的限制 251

第14章 正确加固I IS 254

14.1配置安全的操作系统 254

14.2安全配置IIS 257

14.3使用IIS 260

14.4 IIS安全设置 262

14.4.1角色设置 263

14.4.2页面和控件设置 265

14.4.3监控Web系统安全 269

14.4.4安全密钥配置 273

14.4.5安全日志配置 275

第15章 代码漏洞检测软件 279

15.1检测HTTP协议 279

15.1.1 Fiddler工具 279

15.2黑盒技术 286

15.3二进制代码分析 289

15.4数据库安全扫描 295

参考文献 298