精通ASP.NET 3.5网络编程之安全策略2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

精通ASP.NET 3.5网络编程之安全策略PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 ASP.NET动态网页开发概述1

1.1 动态网页开发技术简介1

1.1.1 ASP动态网页技术1

1.1.2 JSP动态网页技术2

1.1.3 PHP动态网页技术3

1.2 .NET Framework概览3

1.2.1 .NET Framework概念概述4

1.2.2 .NET Framework 3.5体系结构6

1.3 ASP.NET简介6

1.3.1 ASP.NET简介7

1.3.2 ASP.NET主要特性7

1.4 ASP.NET 3.5的新特性8

1.4.1 对AJAX和JavaScript支持8

1.4.2 ADO.NET的改进10

1.4.3 对Silverlight和XAML的支持10

1.4.4 对WCF的改进10

1.5 ASP.NET开发工具简介10

1.5.1 Visual Studio.NET10

1.5.2 ASP.NET Web Matrix12

1.6 配置ASP.NET运行环境13

1.6.1 运行环境系统要求13

1.6.2 安装IIS14

1.6.3 安装.NETFramework16

1.6.4 测试运行环境16

1.7 小结20

第2章 Web安全简介21

2.1 Web安全基础21

2.1.1 理解Web安全21

2.1.2 Web安全策略基础22

2.1.3 安全通信22

2.2 Web安全开发技术23

2.2.1 IIS安全技术支持23

2.2.2 ASP.NET安全技术支持25

2.2.3 企业服务（Enterprise Services）安全技术支持26

2.2.4 SQL Server安全技术支持26

2.3 Web安全设计原则27

2.4 Web应用程序的体系结构与设计安全性考虑28

2.5 Web部署安全性考虑29

2.6 Web客户端输入验证30

2.7 Web客户端身份验证32

2.8 Web授权访问技术34

2.9 Web应用的配置管理36

2.10 Web敏感数据的安全性考虑37

2.10.1 机密数据37

2.10.2 敏感的用户个人数据38

2.11 Web应用会话管理的安全性考虑39

2.12 Web应用加密技术39

2.13 Web参数操作的安全性问题40

2.14 Web应用异常管理41

2.15 Web应用审核与日志机制41

2.16 Web用户安全概述42

2.17 建立用户证书43

2.17.1 实施强密码43

2.17.2 避免使用易猜测的证书44

2.17.3 防止证书获取45

2.17.4 限制空闲的账户45

2.18 管理密码46

2.18.1 存储密码46

2.18.2 密码时效和历史记录47

2.18.3 改变密码48

2.19 重新设置丢失或被遗忘的密码49

2.19.1 重新设置密码49

2.19.2 通过电子邮件发送信息52

2.19.3 分配临时密码52

2.19.4 使用密码的提示问题52

2.20 授权用户52

2.20.1 教育用户53

2.20.2 让用户置身其中53

2.21 小结53

第3章 ASP.NET应用程序的安全架构55

3.1 .NET Web应用程序架构55

3.1.1 多层应用程序架构55

3.1.2 Web应用程序物理部署模型56

3.1.3 ASP.NET关键技术57

3.2 ASP.NET安全体系结构58

3.2.1 ASP.NET安全结构59

3.2.2 ASP.NET安全数据流59

3.2.3 ASP.NET身份验证62

3.2.4 ASP.NET授权62

3.2.5 ASP.NET关守和关口64

3.2.6 ASP.NET模拟65

3.3 ASP.NET框架安全机制66

3.3.1 代码访问安全性66

3.3.2 主体和标识67

3.3.3 WindowsPrincipal和WindowsIdentity68

3.3.4 GenericPrincipal和相关的标识对象68

3.3.5 ASP.NET和HttpContext.User69

3.4 .NET Remoting和Web服务安全机制69

3.4.1 .NET Remoting安全机制69

3.4.2 Web服务安全机制69

3.5 小结70

第4章 ASP.NET中的输入验证71

4.1 输入验证技术71

4.1.1 输入验证技术简介71

4.1.2 输入验证技术72

4.2 缓解技术73

4.2.1 输出编码机制73

4.2.2 沙盒机制75

4.2.3 完整性检查机制75

4.3 ASP.NET应用程序中的验证75

4.3.1 自动验证服务75

4.3.2 表单验证77

4.3.3 创建自定义验证控件78

4.4 ASP.NET输入验证实例87

4.5 小结92

第5章 ASP.NET中的存储加密技术93

5.1 识别攻击和攻击者93

5.2 加密技术95

5.3.1 加密技术简介95

5.3.2 加密的必要性95

5.3 哈希数据96

5.3.1 哈希算法96

5.3.2 .NET的哈希算法96

5.3.3 .NET常用哈希算法的使用97

5.3.4 C＃中实现常用的哈希算法加密98

5.4 .NET数据保护措施104

5.4.1 加密算法104

5.4.2 密钥和密钥大小105

5.4.3 对称性加密105

5.4.4 .NET的对称性加密106

5.4.5 非对称性加密108

5.4.6 在.NET中使用非对称性加密证书109

5.4.7 证书111

5.4.8 完整性保护112

5.5 使用Windows数据保护API113

5.5.1 DPAPI简介113

5.5.2 DPAPI使用实例114

5.6 保护配置数据119

5.6.1 保护配置数据的前提119

5.6.2 确定要保护的配置数据120

5.6.3 加密选项121

5.6.4 以编程方式对配置文件进行加密122

5.6.5 命令行工具aspnet regiis.exe介绍123

5.7 保护ViewState124

5.8 小结128

第6章 ASP.NET身份验证和授权机制129

6.1 使用Windows身份验证129

6.1.1 Windows身份验证的工作方式130

6.1.2 ASP.NET中Windows身份验证API131

6.1.3 实现Windows身份验证131

6.1.4 自定义Windows身份验证135

6.2 使用.NET passport身份验证136

6.2.1 .NET passport身份验证的工作方式136

6.2.2 实现.NET passport身份验证137

6.2.3 .NET passport类140

6.2.4 自定义.NET passport身份验证140

6.3 使用窗体身份验证140

6.3.1 窗体身份验证的工作方式141

6.3.2 窗体身份验证API141

6.3.3 实现窗体身份验证142

6.4 自定义身份验证143

6.4.1 为自定义身份验证配置web.config144

6.4.2 处理AuthenticateRequest事件144

6.4.3 创建自己的主体和标识144

6.4.4 在运行阶段附加自定义身份验证145

6.5 ASP.NET中授权方式145

6.5.1 基于角色的授权145

6.5.2 基于资源的授权150

6.6 综合实例151

6.6.1 Forms身份验证实例151

6.6.2 Windows身份验证实例159

6.7 小结159

第7章 ASP.NET代码访问安全161

7.1 代码访问安全性介绍161

7.2 代码访问安全性基础知识162

7.2.1 编写可验证为类型安全的代码162

7.2.2 安全性语法163

7.2.3 请求权限164

7.2.4 使用安全类库171

7.2.5 使用托管包装类172

7.3 编写安全类库172

7.3.1 安全要求172

7.3.2 重写安全检查175

7.3.3 用于类和成员范围的声明式安全179

7.3.4 安全优化180

7.3.5 安全透明的代码182

7.4 编写安全托管控件184

7.4.1 开发184

7.4.2 部署184

7.5 创建自己的代码访问权限185

7.5.1 设计权限185

7.5.2 实现自定义权限186

7.5.3 添加声明式安全支持193

7.5.4 请求自定义权限194

7.5.5 更新安全策略194

7.5.6 创建其他自定义权限195

7.6 小结196

第8章 部分信任ASP.NET197

8.1 为什么选择部分信任197

8.2 配置部分信任198

8.3 理解策略文件199

8.3.1 策略文件的内容199

8.3.2 策略程序集201

8.3.3 命名权限集201

8.3.4 代码组202

8.3.5 修改策略文件203

8.3.6 自定义策略204

8.4 堆栈审核205

8.4.1 修改堆栈审核205

8.4.2 堆栈修改实例介绍206

8.5 SecurityException的作用207

8.6 锁定ASP.NET配置211

8.7 在部分受信任的代码中调用程序集212

8.7.1 通过部分受信任的代码使用库212

8.7.2 何时启用部分受信任的调用方213

8.7.3 通过部分受信任的代码访问共享库213

8.7.4 对APTCA程序集中的某些类型要求完全信任214

8.7.5 标有APTCA的.NET Framework程序集215

8.7.6 如何：让部分受信任的代码无法访问APTCA程序集215

8.7.7 从程序集中移除部分信任216

8.8 小结216

第9章 ASP.NET Web服务安全机制217

9.1 Web服务体系结构217

9.1.1 Web服务分层架构217

9.1.2 Web服务堆栈218

9.2 Web服务安全模型218

9.2.1 平台级安全性218

9.2.2 应用程序级安全性219

9.2.3 消息级安全性220

9.3 Web服务身份验证和授权策略221

9.3.1 带模拟功能的Windows身份验证221

9.3.2 不带模拟功能的Windows身份验证222

9.3.3 使用固定标识的Windows身份验证224

9.3.4 实现Web服务的Windows身份验证配置224

9.3.5 自定义SOAP身份验证229

9.3.6 用于授权的基于角色的安全233

9.4 Web服务加密方法236

9.4.1 SSL加密236

9.4.2 SOAP加密241

9.4.3 XML签名与加密技术246

9.5 Web服务配置安全策略251

9.5.1 配置IIS设置252

9.5.2 配置ASP.NET设置253

9.5.3 保护资源安全253

9.5.4 禁用HTTP-GET、HTTP-POST253

9.6 Web服务安全通信254

9.6.1 传输级安全通信254

9.6.2 消息级安全通信255

9.7 小结256

第10章 .NET Remoting安全机制257

10.1 .NET Remoting体系结构257

10.1.1 .NET Remoting简介258

10.1.2 .NET Remoting接收266

10.1.3 ASP.NET和HTTP通道269

10.1.4 .NET Remoting网关守卫270

10.2 .NET Remoting的身份验证与授权271

10.2.1 将身份验证驻留在ASP.NET中271

10.2.2 将身份验证驻留在Windows服务中272

10.2.3 自定义.NET Remoting身份验证272

10.2.4 授权272

10.2.5 身份验证和授权策略273

10.2.6 将身份验证的凭据传递给远程对象274

10.2.7 传递原调用方276

10.3 .NET Remoting资源访问控制278

10.3.1 系统资源访问控制278

10.3.2 网络资源访问访问278

10.4 受信任的子系统模型279

10.5 .NET Remoting安全通信281

10.6 选择.NET Remoting的主机进程281

10.6.1 驻留在ASP.NET中282

10.6.2 驻留在Windows服务中282

10.6.3 驻留在控制台应用程序中283

10.7 .NET Remoting与Web服务安全性比较283

10.8 小结284

第11章 数据库访问安全机制285

11.1 数据库访问威胁与对策285

11.1.1 SQL注入286

11.1.2 配置数据的泄漏287

11.1.3 敏感应用程序数据的泄漏287

11.1.4 数据库架构和连接详细信息的泄漏288

11.1.5 未授权访问288

11.1.6 网络侦听289

11.2 数据库访问编码设计注意事项289

11.3 输入验证291

11.4 SQL注入291

11.5 数据访问身份验证293

11.5.1 使用Windows身份验证294

11.5.2 保护SQL身份验证的凭据294

11.5.3 使用最低特权账户连接294

11.6 数据访问授权295

11.6.1 限制未授权的调用方296

11.6.2 限制未授权的代码297

11.6.3 在数据库中限制应用程序297

11.7 数据访问配置管理297

11.7.1 使用Windows身份验证298

11.7.2 保护应用程序的连接字符串298

11.7.3 用受限的ACL保护UDL文件299

11.8 保护敏感数据299

11.8.1 对存储的敏感数据加密299

11.8.2 保护跨网络传输的敏感数据300

11.8.3 存储带salt值的密码散列值300

11.9 数据访问异常管理301

11.9.1 捕获和记录ADO.NET异常301

11.9.2 确保关闭数据库连接304

11.9.3 在ASP.NET应用程序中使用一般性错误页304

11.10 构建安全的数据访问组件305

11.11 代码访问安全性注意事项307

11.12 数据库服务器部署注意事项307

11.13 SQL Server安全性支持308

11.13.1 SQL Server安全性概述309

11.13.2 SQL Server中的身份验证310

11.13.3 SQL Server中的服务器和数据库角色311

11.13.4 SQL Server中的所有权和用户架构分离312

11.13.5 SQL Server中的授权和权限314

11.13.6 SQL Server中的数据加密315

11.13.7 SQL Server中的CLR集成安全性316

11.14 保证ADO.NET的安全316

11.14.1 ADO.NET的安全性概述316

11.14.2 ADO.NET安全数据访问318

11.14.3 ADO.NET安全客户端应用程序319

11.14.4 代码访问安全性和ADO.NET320

11.14.5 ADO.NET的隐私和数据安全323

11.15 小结324

第12章 ASP.NET的日志和监测机制325

12.1 错误处理325

12.1.1 了解401非授权错误325

12.1.2 错误处理327

12.1.3 错误处理程序的完整示例329

12.2 日志和监测337

12.2.1 事件日志337

12.2.2 性能监视器345

12.2.3 电子邮件345

12.2.4 ASP.NET跟踪345

12.2.5 日志和部分信任348

12.3 健康监测系统349

12.3.1 创建自定义监视事件349

12.3.2 配置健康检测353

12.3.3 SQL服务器提供程序357

12.3.4 WMI提供程序359

12.3.5 电子邮件提供程序363

12.3.6 缓冲事件提供程序367

12.3.7 事件日志提供程序372

12.3.8 编写自定义提供程序373

12.3.9 状态监视和部分信任376

12.4 小结382

第13章 构建安全的ASP.NET应用程序383

13.1 总指导原则383

13.2 操作系统强化384

13.2.1 自动更新385

13.2.2 禁用服务和协议385

13.2.3 包过滤388

13.2.4 保护Windows文件共享389

13.2.5 审核394

13.3 数据库服务器强化394

13.3.1 修补程序和更新程序394

13.3.2 服务395

13.3.3 协议396

13.3.4 账户397

13.3.5 文件和目录399

13.3.6 共享400

13.3.7 端口400

13.3.8 注册表401

13.3.9 审核和日志402

13.4 Web服务器强化402

13.4.1 应用程序池402

13.4.2 Web服务扩展404

13.4.3 Web内容407

13.4.4 HTTP头407

13.4.5 日志407

13.4.6 URLScan408

13.4.7 访问控制列表408

13.4.8 启用SSL408

13.4.9 验证方法408

13.5 ASP.NET强化409

13.5.1 配置锁死409

13.5.2 推荐设置409

13.5.3 预编译409

13.6 小结410

第14章 综合案例411

14.1 案例前言411

14.2 系统总体设计411

14.2.1 系统需求分析411

14.2.2 系统安全框架设计413

14.2.3 系统功能设计414

14.2.4 模块功能划分415

14.3 数据库设计416

14.3.1 数据库分析与设计416

14.3.2 数据表的创建418

14.3.3 数据库表关系图设计424

14.4 系统实现425

14.4.1 系统整体实现425

14.4.2 系统身份验证440

14.4.3 数据加密444

14.4.4 输入验证445

14.4.5 系统异常处理450

14.5 系统部署安全考虑450

14.5.1 配置服务器操作系统安全451

14.5.2 配置服务器防火墙457

14.6 小结458