開發(fā)更安全的ASP.NET 2.0應(yīng)用程序

第1章　Web應(yīng)用程序安全　
　1.1　OWASP Top 10　
　1.2　總體原則　
　　1.2.1　安全是一種特性　
　　1.2.2　使用最低權(quán)限　
　　1.2.3　預(yù)防、監(jiān)測和反應(yīng)　
　　1.2.4　分層防御　
　　1.2.5　不存在可信的輸入　
　　1.2.6　注意故障模式　
　　1.2.7　注意應(yīng)用程序拒絕服務(wù)　
　　1.2.8　首選默認(rèn)安全措施　
　　1.2.9　加密不能確保安全　
　　1.2.10　防火墻不能確保安全　
　1.3　小結(jié)　
第2章　ASP.NET 2.0架構(gòu)　
　2.1　理解宿主　
　2.2　理解管線　
　　2.2.1　HTTP模塊　
　　2.2.2　編寫模塊　
　　2.2.3　處理程序　
　　2.2.4　檢查管線　
　2.3　編譯ASP.NET頁　
　2.4　小結(jié)　
第3章　輸入驗證　
　3.1　什么是輸入　
　3.2　輸入驗證的必要性　
　3.3　輸入驗證技術(shù)　
　　3.3.1　黑名單　
　　3.3.2　白名單　
　3.4　緩解技術(shù)　
　　3.4.1　輸出編碼　
　　3.4.2　沙盒　
　　3.4.3　完整性檢查　
　3.5　ASP.NET應(yīng)用程序中的驗證　
　　3.5.1　自動驗證服務(wù)　
　　3.5.2　表單驗證　
　　3.5.3　創(chuàng)建自定義驗證控件　
　3.6　小結(jié)　
第4章　存儲機密　
　4.1　識別攻擊和攻擊者　
　4.2　加密術(shù)是救星嗎　
　4.3　哈希數(shù)據(jù)　
　　4.3.1　哈希算法　
　　4.3.2　.NET的哈希算法　
　4.4　保存密碼　
　4.5　加密數(shù)據(jù)　
　　4.5.1　對稱性加密　
　　4.5.2　加密算法　
　　4.5.3　密鑰和密鑰大小　
　　4.5.4　.NET的對稱性加密　
　　4.5.5　完整性保護　
　　4.5.6　整合：設(shè)計使用對稱性加密的應(yīng)用程序　
　　4.5.7　非對稱性加密　
　　4.5.8　證書　
　　4.5.9　在.NET中使用非對稱性加密證書　
　　4.5.10　整合：設(shè)計使用非對稱性加密和證書的應(yīng)用程序　
　4.6　使用Windows數(shù)據(jù)保護API　
　4.7　保護配置數(shù)據(jù)　
　　4.7.1　配置和安裝　
　　4.7.2　保護配置　
　4.8　保護ViewState　
　4.9　小結(jié)　
第5章　驗證和授權(quán)　
　5.1　基礎(chǔ)知識　
　　5.1.1　術(shù)語　
　　5.1.2　應(yīng)用程序設(shè)計　
　　5.1.3　ASP.NET安全管道　
　　5.1.4　.NET安全架構(gòu)和基于角色的安全　
　　5.1.5　服務(wù)器驗證　
　5.2　使用Windows賬戶　
　　5.2.1　IIS驗證方法　
　　5.2.2　授權(quán)　
　　5.2.3　模擬　
　　5.2.4　委托　
　　5.2.5　安全上下文和訪問外部資源　
　5.3　使用自定義賬戶　
　　5.3.1　表單驗證　
　　5.3.2　表單驗證機制　
　　5.3.3　配置表單驗證　
　　5.3.4　確保表單驗證的安全　
　　5.3.5　自定義表單驗證　
　　5.3.6　Web場　
　　5.3.7　單點登錄　
　　5.3.8　使用ASP.NET保護非ASP.NET資源　
　5.4　混合方法　
　　5.4.1　手動Windows驗證　
　　5.4.2　協(xié)議轉(zhuǎn)換　
　　5.4.3　對自定義賬戶實現(xiàn)基本驗證　
　　5.4.4　用戶證書　
　　5.4.5　混合模式驗證　
　5.5　小結(jié)　
第6章　安全提供程序和控件　
　6.1　理解成員功能　
　　6.1.1　方法　
　　6.1.2　事件　
　　6.1.3　成員配置　
　　6.1.4　SQL成員提供程序　
　　6.1.5　Active Directory成員提供程序　
　　6.1.6　與成員相關(guān)的控件　
　6.2　理解角色管理器　
　　6.2.1　角色管理器模塊　
　　6.2.2　角色管理器配置　
　　6.2.3　SQL角色提供程序　
　　6.2.4　Windows令牌角色提供程序　
　　6.2.5　授權(quán)存儲角色提供程序　
　　6.2.6　與角色相關(guān)的控件　
　　6.2.7　成員和角色打包　
　6.3　使用SiteMap導(dǎo)航　
　6.4　創(chuàng)建功能和提供程序　
　6.5　指南　
　6.6　小結(jié)　
第7章　日志和監(jiān)測　
　7.1　錯誤處理　
　　7.1.1　獲取401非授權(quán)錯誤　
　　7.1.2　錯誤處理　
　7.2　日志和監(jiān)測　
　　7.2.1　事件日志　
　　7.2.2　性能監(jiān)視器　
　　7.2.3　電子郵件　
　　7.2.4　Windows管理監(jiān)測　
　　7.2.5　ASP.NET跟蹤和System.Diagnostics.Trace　
　　7.2.6　日志和部分信任　
　7.3　健康監(jiān)測框架　
　　7.3.1　創(chuàng)建事件　
　　7.3.2　配置健康檢測　
　　7.3.3　SQL服務(wù)器提供程序　
　　7.3.4　WMI提供程序　
　　7.3.5　電子郵件提供程序　
　　7.3.6　編寫自定義提供程序　
　　7.3.7　編寫自定義緩沖提供程序　
　　7.3.8　狀態(tài)監(jiān)視和部分信任　
　　7.3.9　指南　
　7.4　小結(jié)　
第8章　部分信任ASP.NET　
　8.1　為什么選擇部分信任　
　8.2　配置部分信任　
　8.3　理解策略文件　
　　8.3.1　安全類　
　　8.3.2　命名權(quán)限集　
　　8.3.3　代碼組　
　　8.3.4　策略加載和解析　
　8.4　自定義策略文件　
　8.5　分割代碼
　　8.5.1　重構(gòu)代碼　
　　8.5.2　堆棧審核　
　　8.5.3　為經(jīng)過分區(qū)的程序集修改策略　
　　8.5.4　限制調(diào)用組件的用戶　
　8.6　創(chuàng)建自定義權(quán)限　
　　8.6.1　權(quán)限類　
　　8.6.2　封裝　
　　8.6.3　屬性　
　8.7　SecurityException的作用　
　8.8　鎖定配置　
　8.9　小結(jié)　
第9章　部署和配置　
　9.1　總指導(dǎo)原則　
　9.2　操作系統(tǒng)強化　
　　9.2.1　自動更新　
　　9.2.2　禁用服務(wù)和協(xié)議　
　　9.2.3　包過濾　
　　9.2.4　保護Windows文件共享　
　　9.2.5　審核　
　9.3　數(shù)據(jù)庫服務(wù)器強化　
　9.4　Web服務(wù)器強化　
　　9.4.1　應(yīng)用程序池　
　　9.4.2　Web服務(wù)擴展　
　　9.4.3　Web內(nèi)容　
　　9.4.4　HTTP頭　
　　9.4.5　日志　
　　9.4.6　URLScan　
　　9.4.7　訪問控制列表　
　　9.4.8　啟用SSL　
　　9.4.9　驗證方法　
　9.5　ASP.NET強化　
　　9.5.1　配置鎖死　
　　9.5.2　推薦設(shè)置　
　　9.5.3　預(yù)編譯　
　9.6　小結(jié)　
第10章　工具和資源　
　10.1　工具類型　
　10.2　確定合適的工具　
　10.3　瀏覽代理服務(wù)器和HTTP協(xié)議檢測工具　
　　10.3.1　Fiddler　
　　10.3.2　Paros　
　　10.3.3　WebScarab　
　　10.3.4　WSDigger　
　10.4　黑盒掃描器　
　　10.4.1　SPI Dynamics WebInspect　
　　10.4.2　Watchfire AppScan　
　　10.4.3　Berretta　
　10.5　配置分析　
　　10.5.1　SSL Digger　
　　10.5.2　PermCalc　
　　10.5.3　Desaware CAS Tester　
　　10.5.4　ANSA　
　　10.5.5　IIS Lockdown　
　10.6　源代碼分析器　
　　10.6.1　Foundstone CodeScout　
　　10.6.2　Microsoft PREfix和PREfast　
　　10.6.3　Compuware ASP.NET Security Checker　
　　10.6.4　SPI Dynamics DevInspect　
　10.7　多功能工具　
　10.8　二進制分析　
　　10.8.1　靜態(tài)二進制分析工具　
　　10.8.2　動態(tài)(“運行時”)二進制分析　
　　10.8.3　調(diào)試器　
　　10.8.4　反編譯器/模糊處理器　
　10.9　數(shù)據(jù)庫掃描器　
　　10.9.1　AppDetective　
　　10.9.2　MetaCoretex　
　　10.9.3　NGSSquirrel　
　10.10　博客　
　10.11　小結(jié)　
附錄A　創(chuàng)建自定義受保護配置提供程序　
附錄B　會話狀態(tài)　
　B.1　會話狀態(tài)如何工作　
　　B.1.1　Cookie vs.查詢字符串　
　　B.1.2　超時設(shè)定　
　　B.1.3　會話模式　
　B.2　會話存儲　
　　B.2.1　進程內(nèi)提供程序　
　　B.2.2　狀態(tài)服務(wù)器　
　　B.2.3　SQL Server　
　B.3　小結(jié)　
附錄C　分拆ASP.NET應(yīng)用程序　
　C.1　創(chuàng)建服務(wù)器端　
　C.2　創(chuàng)建客戶端　
　C.3　創(chuàng)建部分信任客戶端　
　C.4　小結(jié)　
附錄D　安全的Web服務(wù)　
　D.1　適用情況　
　D.2　安全的通信和服務(wù)器驗證　
　D.3　客戶端驗證　
　D.4　小結(jié)　
附錄E　使用Visual Studio Team Edition進行單元測試　
　E.1　測試驅(qū)動開發(fā)　
　E.2　運行測試　
　E.3　測試現(xiàn)有代碼　
　E.4　測試列表和測試運行配置　
　E.5　建立正確的測試環(huán)境　
　E.6　測試私有方法　
　E.7　預(yù)期的錯誤　
　E.8　數(shù)據(jù)驅(qū)動測試　
　E.9　數(shù)據(jù)驅(qū)動測試的數(shù)據(jù)管理　
　E.10　測試Web服務(wù)代碼　
　E.11　在ASP.NET內(nèi)部運行測試　
　E.12　小結(jié)