Реклама:

Я начал с разработки предпосылок зашиты с тестами на проникновение и аудита, но решил годик подождать до выхода версии ASP 2.0, чтобы посмотреть, как можно применять технологии и методики зашиты в этой среде разработки. Год прошел не так, как планировалось, однако половину его я потратил на написание кода и «спелеологические» исследования рабочего цикла ASP.NET. Что важнее всего, я был приятно удивлен результатами моей работы. Считаю, что ASP.NET 2.0 является полностью сформировавшейся средой разработок Web с массой различных возможностей. Что касается защиты, то мне очень понравилась ее реализация, и я был потрясен разнообразием возможностей расширения, позволяющих вкладывать собственную логику защиты. Отличная работа!

В этой книге я расскажу обо всем, что узнал об ASP.NET 2.0 за эти 15 месяцев и 5 лет работы с версией 1.x. К тому же отмечу, что имею некоторый опыт, полученный за время проведения консультаций, аудита, тестирования на проникновение, а также опыт, который я приобрел, отвечая на сотни вопросов на тематических конференциях по защите Microsoft .NET Framework и в учебных аудиториях.

Надеюсь, что изложенная в книге информация поможет вам создавать более защищенные и надежные приложения ASP.NET (и я рад, что наконец-то написал книгу). Если у вас будут возникать вопросы, постараюсь ответить на них. Отправляйте свои сообщения по электронной почте. Мой адрес: dbaier®leastprivilege.com.

Для кого предназначена эта книга

Эта книга написана для тех, кто использует ASP.NET 2 0 и интересуется вопросами защиты. Используя предоставленный исходный код, разработчик может сразу применить эту информацию; вместе с тем концепции и предпосылки для написания кода также представляют собой важную информацию для архитекторов. Наконец, в книге содержится много полезных сведений для тестеров и администраторов Web-приложений и серверов.

Как организована книга

Я не пытался привязывать содержание этой книги к возможностям ASP.NET, а разбил ее на главы, руководствуясь тем, какие именно вопросы являются наиболее универсальными и важными для построения максимально защищенных приложений (даже если они не относятся к основным возможностям ASP.NET). Темы подобраны с учетом моего личного опыта работы и на основании списка уязвимостей Web, опубликованного Open Source Weh Application Security Project (OWASP). В главе 1, «Защита Web-приложений», перечислены специфические уязвимости с указанием того, в каких главах книги они описываются и какие способы защиты существуют.

О принципах работы ASP.NET речь идет в главе 2, «Архитектура ASP.NET 2.0». Здесь также представлены технологии, объясняются используемые термины и перечислены возможности расширяемости, которые следует знать для внедрения описываемых технологий.

В главе 3, «Подтверждение ввода данных», главе 4, «Хранение секретов», главе 5, «Аутентификация и авторизация», главе 6, «Провайдеры зашиты и элементы управления», главе 8, «Частичное доверие ASP.NET», довольно подробно рассказано о том, как следует внедрять превентивные меры защиты в приложениях. Особо ценным здесь, по моему мнению, является описание распространенных требований к политике безопасности и проблем с методами их решения в ASP.NET. Л в главе 7.


⇐ Предыдущая страница| |Следующая страница ⇒