互联网 类型
可以朗读 语音朗读
228千字 字数
2024-10-01 发行日期
展开全部

主编推荐语

一本系统、深度讲解.NET安全技术原理和攻防实操的著作。

内容简介

本书主要介绍了.NET Web安全审计的精髓,从.NET安全基础讲起,逐步深入到高级攻防技巧,内容涵盖Web安全审计的流程、工具与技巧,帮助读者有效识别并修复漏洞,深入理解.NET平台下的安全对抗方法。

目录

  • 版权信息
  • 序1
  • 序2
  • 序3
  • 前言
  • 第1章 开启.NET安全之旅
  • 1.1 搭建.NET运行环境
  • 1.1.1 安装Visual Studio开发工具
  • 1.1.2 安装LINQPad工具
  • 1.1.3 .NET在线运行平台
  • 1.1.4 IIS管理器
  • 1.1.5 部署.NET Core
  • 1.1.6 NuGet包管理器
  • 1.2 代码分析器
  • 1.3 .NET公开平台
  • 1.3.1 源代码查看平台Reference Source
  • 1.3.2 漏洞查询平台Snyk
  • 1.4 渗透测试平台
  • 1.4.1 Cobalt Strike
  • 1.4.2 Metasploit
  • 1.5 安全测试工具
  • 1.5.1 Burp Suite
  • 1.5.2 Postman
  • 1.5.3 SoapUI
  • 1.5.4 DNSLog
  • 1.5.5 Godzilla
  • 1.6 PowerShell命令行运行环境
  • 1.6.1 系统DCOM组件
  • 1.6.2 Set-Content写入文件
  • 1.6.3 Base64编码转换
  • 1.6.4 获取程序集名
  • 1.7 小结
  • 第2章 深入浅出.NET技术
  • 2.1 初识.NET平台
  • 2.1.1 .NET概述
  • 2.1.2 .NET支持的语言
  • 2.1.3 .NET Framework
  • 2.1.4 .NET Core
  • 2.2 .NET基础知识
  • 2.2.1 基本概念
  • 2.2.2 程序集
  • 2.2.3 命名空间
  • 2.2.4 成员封装
  • 2.2.5 反射机制
  • 2.2.6 泛型
  • 2.2.7 委托
  • 2.2.8 Lambda
  • 2.2.9 事件
  • 2.2.10 枚举器和迭代器
  • 2.2.11 LINQ
  • 2.2.12 表达式树
  • 2.2.13 特性
  • 2.2.14 不安全的代码
  • 2.3 .NET处理请求
  • 2.3.1 IIS进程处理请求
  • 2.3.2 进入CLR处理
  • 2.3.3 应用生命周期
  • 2.3.4 IHttpHandler接口
  • 2.3.5 IHttpModule接口
  • 2.3.6 HttpContext请求上下文
  • 2.4 应用程序配置
  • 2.4.1 web.config文件
  • 2.4.2 应用配置文件
  • 2.4.3 默认的machine.config文件
  • 2.4.4 .NET资源文件
  • 2.4.5 IIS应用程序池
  • 2.5 .NET Web应用
  • 2.5.1 经典的Web Forms框架
  • 2.5.2 .NET MVC框架
  • 2.5.3 跨平台的.NET Core MVC
  • 2.5.4 Web Service技术
  • 2.5.5 .NET特殊文件夹
  • 2.6 .NET编译运行
  • 2.6.1 预编译
  • 2.6.2 动态编译
  • 2.6.3 应用程序上下文访问
  • 2.7 .NET启动加载
  • 2.7.1 全局配置文件Global.asax
  • 2.7.2 动态注册HttpModule
  • 2.7.3 第三方库WebActivatorEx
  • 2.7.4 启动初始化方法AppInitialize
  • 2.8 小结
  • 第3章 .NET SQL注入漏洞及修复
  • 3.1 ADO.NET注入
  • 3.1.1 SQL语句拼接注入
  • 3.1.2 字符串处理注入
  • 3.1.3 SqlCommand类的构造方法和属性注入
  • 3.1.4 数据视图RowFilter属性注入
  • 3.1.5 数据表Select方法注入
  • 3.1.6 服务端控件FindControl方法注入
  • 3.1.7 SQL Server存储过程注入
  • 3.1.8 SQL Server数据类型注入
  • 3.2 ORM注入
  • 3.2.1 SqlQuery方法注入
  • 3.2.2 ExecuteSqlCommand方法注入
  • 3.2.3 FromSqlRaw方法注入
  • 3.2.4 ExecuteSqlRawAsync方法注入
  • 3.3 审计SQL注入的辅助工具
  • 3.3.1 SQL Server Profiler分析器
  • 3.3.2 DatabaseLogger拦截器
  • 3.3.3 Microsoft.Extensions.Logging.Debug日志包
  • 3.4 修复建议
  • 3.5 小结
  • 第4章 .NET XSS漏洞及修复
  • 4.1 XSS漏洞介绍
  • 4.2 Response.Write方法触发XSS攻击
  • 4.3 Page.ClientScript触发XSS攻击
  • 4.3.1 注册脚本块
  • 4.3.2 注册Form表单
  • 4.3.3 注册外部JavaScript文件
  • 4.4 Html.Raw方法触发XSS攻击
  • 4.5 MVC模型绑定不当触发XSS攻击
  • 4.6 JavaScriptSerializer反序列化触发XSS攻击
  • 4.7 服务端控件的Attribute.Add方法触发XSS攻击
  • 4.8 修复建议
  • 4.9 小结
  • 第5章 .NET CSRF漏洞及修复
  • 5.1 CSRF漏洞介绍
  • 5.2 代码实例
  • 5.3 修复建议
  • 5.3.1 添加Validate AntiForgeryToken字段
  • 5.3.2 A JAX中通过Header验证Token
  • 5.4 小结
  • 第6章 .NET SSRF漏洞及修复
  • 6.1 SSRF漏洞介绍
  • 6.2 WebRequest发起HTTP请求
  • 6.3 创建WebClient请求远程文件
  • 6.4 轻量级的HttpClient对象
  • 6.5 修复建议
  • 6.6 小结
  • 第7章 .NET XXE漏洞及修复
  • 7.1 XXE基础知识
  • 7.1.1 XML文档结构
  • 7.1.2 XML类型定义
  • 7.1.3 解析XML数据的CDATA
  • 7.1.4 样式表语言转换
  • 7.1.5 XML命名空间
  • 7.2 读取XML文档的XmlReader
  • 7.3 默认不安全的XmlTextReader
  • 7.4 XmlDocument对象解析XML文档
  • 7.4.1 通过Load方法加载XML文档
  • 7.4.2 通过LoadXml方法加载XML文档
  • 7.5 XDocument对象解析XML文档
  • 7.6 XPathDocument对象解析XML文档
  • 7.7 XmlSerializer反序列化触发XXE
  • 7.8 XslCompiledTransform转换XSLT
  • 7.9 WCF框架下的XXE攻击风险
  • 7.10 修复建议
  • 7.11 小结
  • 第8章 .NET文件上传和下载漏洞及修复
  • 8.1 .NET文件上传漏洞
  • 8.1.1 SaveAs方法上传文件
  • 8.1.2 Web API上传文件
  • 8.1.3 .NET Core MVC上传对象IFormFile
  • 8.1.4 修复建议
  • 8.2 .NET文件下载漏洞
  • 8.2.1 Response对象文件下载
  • 8.2.2 MVC文件下载方法File
  • 8.2.3 .NET Core MVC文件下载方法PhysicalFile
  • 8.2.4 异步文件下载方法SendFileAsync
  • 8.2.5 Minimal API模式下的文件下载方法Results.File
  • 8.2.6 修复建议
  • 8.3 小结
  • 第9章 .NET文件操作漏洞及修复
  • 9.1 通过File对象操作文件
  • 9.1.1 读取任意文件内容的ReadAllText方法
  • 9.1.2 读取任意文件所有内容的ReadAllLines方法
  • 9.1.3 创建写入任意内容的WriteAllText方法
  • 9.1.4 逐行写入内容的WriteAllLines方法
  • 9.1.5 创建文件的Create方法
  • 9.1.6 以写入字节码方式创建文件的WriteAllBytes方法
  • 9.1.7 任意文件删除
  • 9.1.8 任意文件移动并重命名
  • 9.2 通过StreamReader流式读取文件
  • 9.2.1 通过ReadLine读取一行
  • 9.2.2 通过ReadToEnd读取全部内容
  • 9.3 通过FileStream读写文件
  • 9.3.1 流式读取文本内容的Read方法
  • 9.3.2 流式读取文件字节的ReadByte方法
  • 9.4 通过StreamWriter写入文件
  • 9.5 修复建议
  • 9.6 小结
  • 第10章 .NET敏感信息泄露漏洞及修复
  • 10.1 使用不安全的配置
  • 10.1.1 站点开启目录浏览功能
  • 10.1.2 Web中间件版本暴露
  • 10.1.3 启用页面跟踪记录
  • 10.1.4 修复建议
  • 10.2 生产环境不安全的部署
  • 10.3 页面抛出的异常信息
  • 10.4 泄露API调试地址
  • 10.4.1 Web API帮助页泄露调试API
  • 10.4.2 Swagger文档泄露调试API
  • 10.4.3 OData元数据泄露调试API
  • 10.4.4 修复建议
  • 10.5 小结
  • 第11章 .NET失效的访问控制漏洞及修复
  • 11.1 不安全的直接对象引用漏洞
  • 11.2 URL重定向漏洞
  • 11.3 授权配置错误漏洞
  • 11.3.1 无须认证身份的AllowAnonymous特性
  • 11.3.2 MVC全局过滤器逻辑漏洞绕过身份认证
  • 11.3.3 修复建议
  • 11.4 越权访问漏洞
  • 11.4.1 横向越权
  • 11.4.2 纵向越权
  • 11.4.3 越权漏洞扫描插件
  • 11.4.4 修复建议
  • 11.5 小结
  • 第12章 .NET代码执行漏洞及修复
  • 12.1 Razor模板代码解析执行漏洞
  • 12.2 原生动态编译技术运行任意代码
  • 12.3 第三方库动态运行.NET脚本
  • 12.3.1 使用EvaluateAsync方法运行.NET表达式
  • 12.3.2 使用RunAsync方法运行.NET代码块
  • 12.4 修复建议
  • 12.5 小结
  • 第13章 .NET命令执行漏洞及修复
  • 13.1 常用的Windows命令
  • 13.2 DOS命令中的操作符
  • 13.3 命令注入无回显场景
  • 13.3.1 时间延迟
  • 13.3.2 重定向输出
  • 13.3.3 带外命令注入
  • 13.4 启动系统进程的Process对象
  • 13.5 修复建议
  • 13.6 小结
  • 第14章 .NET身份认证漏洞及修复
  • 14.1 会话管理漏洞
  • 14.1.1 伪造Cookie会话漏洞
  • 14.1.2 劫持Session会话漏洞
  • 14.1.3 Cookieless无状态会话漏洞
  • 14.1.4 修复建议
  • 14.2 凭证管理漏洞
  • 14.2.1 弱口令暴力破解
  • 14.2.2 密钥生成弱算法
  • 14.2.3 修复建议
  • 14.3 小结
  • 第15章 .NET反序列化漏洞攻击链路
  • 15.1 YSoSerial.Net反序列化利用工具
  • 15.2 .NET序列化生命周期
  • 15.3 .NET序列化基础知识
  • 15.3.1 Serializable特性
  • 15.3.2 SurrogateSelector代理类
  • 15.3.3 ObjectSerializedRef类
  • 15.3.4 LINQ
  • 15.4 反序列化攻击链路
  • 15.4.1 ActivitySurrogateSelector链路
  • 15.4.2 TextFormattingRunProperties链路
  • 15.4.3 DataSet链路
  • 15.4.4 DataSetTypeSpoof链路
  • 15.4.5 DataSetOldBehaviour链路
  • 15.4.6 DataSetOldBehaviourFromFile链路
  • 15.4.7 WindowsClaimsIdentity链路
  • 15.4.8 WindowsIdentity链路
  • 15.4.9 WindowsPrincipal链路
  • 15.4.10 ClaimsIdentity链路
  • 15.4.11 ClaimsPrincipal链路
  • 15.4.12 TypeConfuseDelegate链路
  • 15.4.13 XamlAssemblyLoadFromFile链路
  • 15.4.14 RolePrincipal链路
  • 15.4.15 ObjRef链路
  • 15.4.16 XamlImageInfo链路
  • 15.4.17 GetterSettingsPropertyValue链路
  • 15.4.18 GetterSecurityException链路
  • 15.5 小结
  • 第16章 .NET反序列化漏洞触发场景
  • 16.1 ViewState反序列化漏洞场景
  • 16.2 XmlSerializer反序列化漏洞场景
  • 16.3 BinaryFormatter反序列化漏洞场景
  • 16.4 JavaScriptSerializer反序列化漏洞场景
  • 16.5 DataContractSerializer反序列化漏洞场景
  • 16.6 NetDataContractSerializer反序列化漏洞场景
  • 16.7 DataContractJsonSerializer反序列化漏洞场景
  • 16.8 SoapFormatter反序列化漏洞场景
  • 16.9 LosFormatter反序列化漏洞场景
  • 16.10 ObjectStateFormatter反序列化漏洞场景
  • 16.11 .NET Remoting反序列化漏洞场景
  • 16.12 PSObject反序列化漏洞场景
  • 16.13 DataSet/DataTable反序列化漏洞场景
  • 16.14 小结
  • 第17章 .NET反序列化漏洞插件
  • 17.1 ApplicationTrust插件
  • 17.2 AltSerialization插件
  • 17.3 TransactionManagerReenlist插件
  • 17.4 SessionSecurityTokenHandler插件
  • 17.5 SessionSecurityToken插件
  • 17.6 SessionViewStateHistoryItem插件
  • 17.7 ToolboxItemContainer插件
  • 17.8 Resx插件
  • 17.9 ResourceSet插件
  • 17.10 小结
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

机械工业出版社

机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。