掃一掃
關(guān)注中圖網(wǎng)
官方微博
包郵 .NET安全攻防指南(上冊(cè))
開(kāi)本:
16開(kāi)
頁(yè)數(shù):
475
本類(lèi)榜單:計(jì)算機(jī)/網(wǎng)絡(luò)銷(xiāo)量榜
本類(lèi)五星書(shū)更多>
-
>
全國(guó)計(jì)算機(jī)等級(jí)考試最新真考題庫(kù)模擬考場(chǎng)及詳解·二級(jí)MSOffice高級(jí)應(yīng)用
-
>
決戰(zhàn)行測(cè)5000題(言語(yǔ)理解與表達(dá))
-
>
軟件性能測(cè)試.分析與調(diào)優(yōu)實(shí)踐之路
-
>
第一行代碼Android
-
>
JAVA持續(xù)交付
-
>
EXCEL最強(qiáng)教科書(shū)(完全版)(全彩印刷)
-
>
深度學(xué)習(xí)
中圖價(jià):¥89.0
加入購(gòu)物車(chē)
.NET安全攻防指南(上冊(cè)) 版權(quán)信息
- ISBN:9787111768852
- 條形碼:9787111768852 ; 978-7-111-76885-2
- 裝幀:平裝-膠訂
- 冊(cè)數(shù):暫無(wú)
- 重量:暫無(wú)
- 所屬分類(lèi):>
.NET安全攻防指南(上冊(cè)) 本書(shū)特色
(1)作者背景資深:兩位作者均為頭部互聯(lián)網(wǎng)大廠資深安全技術(shù)專(zhuān)家,是.NET安全領(lǐng)域的領(lǐng)軍人物,曾在國(guó)內(nèi)某漏洞平臺(tái)連續(xù)多年奪魁。(2).NET里程碑著作:.NET安全領(lǐng)域的鴻篇巨著,上冊(cè)筑基,下冊(cè)攀峰,覆蓋B/S和C/S兩種架構(gòu)下的安全實(shí)踐,橫跨Web代碼審計(jì)與紅隊(duì)滲透兩大領(lǐng)域。(3)行業(yè)專(zhuān)家高度評(píng)價(jià):來(lái)自亞信安全、天融信、螞蟻集團(tuán)、攜程、中安網(wǎng)新、持安科技等多家企業(yè)的網(wǎng)絡(luò)安全專(zhuān)家高度評(píng)價(jià)并推薦。
.NET安全攻防指南(上冊(cè)) 內(nèi)容簡(jiǎn)介
內(nèi)容簡(jiǎn)介 這是一本系統(tǒng)、深度講解.NET安全技術(shù)原理和攻防實(shí)操的著作。全書(shū)分為上、下兩冊(cè),全面覆蓋.NET安全領(lǐng)域的關(guān)鍵知識(shí)點(diǎn)。 上冊(cè)主要介紹了.NET Web安全審計(jì)的精髓,從.NET安全基礎(chǔ)講起,逐步深入到高級(jí)攻防技巧,內(nèi)容涵蓋Web安全審計(jì)的流程、工具與技巧,幫助讀者有效識(shí)別并修復(fù)漏洞,深入理解.NET平臺(tái)下的安全對(duì)抗方法。 下冊(cè)則揭秘了.NET逆向工程與實(shí)戰(zhàn)對(duì)抗秘籍,包括免殺技術(shù)、內(nèi)存馬技術(shù)、Windows安全、實(shí)戰(zhàn)對(duì)抗等多個(gè)關(guān)鍵維度。通過(guò)深入淺出的講解與豐富的實(shí)戰(zhàn)案例,讀者將掌握應(yīng)對(duì)各種安全威脅的實(shí)戰(zhàn)技能,加強(qiáng)逆向工程分析能力,并深入了解Windows系統(tǒng)安全機(jī)制與.NET的相互操作。 通過(guò)閱讀本書(shū),你將收獲: ?深入理解.NET安全:從架構(gòu)到上層應(yīng)用,全面剖析.NET潛在威脅。 ?精通.NET代碼審計(jì):學(xué)習(xí)代碼審計(jì)的流程、工具與技巧,有效識(shí)別并修復(fù)漏洞。 ?Web免殺技術(shù)揭秘:了解如何繞過(guò)安全檢測(cè),提升防護(hù)設(shè)備精準(zhǔn)識(shí)別風(fēng)險(xiǎn)的能力。 ?內(nèi)存馬技術(shù)探索:揭開(kāi)內(nèi)存馬技術(shù)的神秘面紗,了解在.NET環(huán)境中的應(yīng)用場(chǎng)景。 ?紅隊(duì)滲透測(cè)試:模擬黑客攻擊路徑,進(jìn)行紅隊(duì)滲透測(cè)試,提高防御與應(yīng)急響應(yīng)能力。 ?逆向工程實(shí)戰(zhàn)演練:深入剖析惡意軟件的行為模式,加強(qiáng)逆向工程分析能力。 ?Windows安全技術(shù):深入了解Windows系統(tǒng)安全機(jī)制,學(xué)習(xí)如何與.NET相互操作。 無(wú)論你是安全初學(xué)者,還是希望進(jìn)一步提升技能的資深從業(yè)者,本書(shū)都將是你不可或缺的寶貴資源。
.NET安全攻防指南(上冊(cè)).NET安全攻防指南(上冊(cè)) 前言
Preface 前 言
為什么要寫(xiě)這本書(shū)
在信息技術(shù)日新月異的時(shí)代背景下,.NET作為微軟傾力打造的綜合性開(kāi)發(fā)平臺(tái),展現(xiàn)了無(wú)與倫比的強(qiáng)大與靈活性。.NET平臺(tái)不僅為B/S(瀏覽器/服務(wù)器)架構(gòu)提供了從WebForms到MVC,再到跨平臺(tái)的.NET Core MVC等一系列成熟的Web開(kāi)發(fā)框架,還在C/S(客戶端/服務(wù)器)領(lǐng)域與Windows系統(tǒng)實(shí)現(xiàn)了深度的集成,這種融合為紅隊(duì)的內(nèi)網(wǎng)安全活動(dòng)與企業(yè)內(nèi)部的安全評(píng)估工作帶來(lái)了前所未有的便捷性。特別是AOT(Ahead-Of-Time)編譯技術(shù)出現(xiàn)后,基于.NET開(kāi)發(fā)的代碼能夠輕松地編譯成非托管程序,從而能在不依賴.NET運(yùn)行環(huán)境的Windows系統(tǒng)上無(wú)縫運(yùn)行,這進(jìn)一步拓寬了.NET的應(yīng)用場(chǎng)景。
.NET安全攻防指南(上冊(cè)) 目錄
目 錄 Contents
序1
序2
序3
前言
第1章 開(kāi)啟.NET安全之旅1
1.1 搭建.NET運(yùn)行環(huán)境1
1.1.1 安裝Visual Studio開(kāi)發(fā)工具1
1.1.2 安裝LINQPad工具6
1.1.3 .NET在線運(yùn)行平臺(tái)9
1.1.4 IIS管理器12
1.1.5 部署.NET Core15
1.1.6 NuGet包管理器19
1.2 代碼分析器21
1.3 .NET公開(kāi)平臺(tái)23
1.3.1 源代碼查看平臺(tái)Reference
Source23
1.3.2 漏洞查詢平臺(tái)Snyk24
1.4 滲透測(cè)試平臺(tái)25
1.4.1 Cobalt Strike25
1.4.2 Metasploit29
1.5 安全測(cè)試工具32
1.5.1 Burp Suite32
1.5.2 Postman34
1.5.3 SoapUI38
1.5.4 DNSLog40
1.5.5 Godzilla40
1.6 PowerShell命令行運(yùn)行環(huán)境42
1.6.1 系統(tǒng)DCOM組件42
1.6.2 Set-Content寫(xiě)入文件43
1.6.3 Base64編碼轉(zhuǎn)換44
1.6.4 獲取程序集名44
1.7 小結(jié)44
第2章 深入淺出.NET技術(shù)45
2.1 初識(shí).NET平臺(tái)45
2.1.1 .NET概述45
2.1.2 .NET支持的語(yǔ)言46
2.1.3 .NET Framework47
2.1.4 .NET Core47
2.2 .NET基礎(chǔ)知識(shí)49
2.2.1 基本概念49
2.2.2 程序集59
2.2.3 命名空間65
2.2.4 成員封裝66
2.2.5 反射機(jī)制67
2.2.6 泛型70
2.2.7 委托74
2.2.8 Lambda79
2.2.9 事件81
2.2.10 枚舉器和迭代器83
2.2.11 LINQ89
2.2.12 表達(dá)式樹(shù)97
2.2.13 特性99
2.2.14 不安全的代碼100
2.3 .NET處理請(qǐng)求101
2.3.1 IIS進(jìn)程處理請(qǐng)求101
2.3.2 進(jìn)入CLR處理101
2.3.3 應(yīng)用生命周期102
2.3.4 IHttpHandler接口103
2.3.5 IHttpModule接口103
2.3.6 HttpContext請(qǐng)求上下文106
2.4 應(yīng)用程序配置108
2.4.1 web.config文件108
2.4.2 應(yīng)用配置文件115
2.4.3 默認(rèn)的machine.config文件117
2.4.4 .NET資源文件117
2.4.5 IIS應(yīng)用程序池117
2.5 .NET Web應(yīng)用119
2.5.1 經(jīng)典的Web Forms框架119
2.5.2 .NET MVC框架124
2.5.3 跨平臺(tái)的.NET Core MVC135
2.5.4 Web Service技術(shù)142
2.5.5 .NET特殊文件夾144
2.6 .NET編譯運(yùn)行149
2.6.1 預(yù)編譯149
2.6.2 動(dòng)態(tài)編譯151
2.6.3 應(yīng)用程序上下文訪問(wèn)157
2.7 .NET啟動(dòng)加載158
2.7.1 全局配置文件Global.asax158
2.7.2 動(dòng)態(tài)注冊(cè)HttpModule158
2.7.3 第三方庫(kù)WebActivatorEx160
2.7.4 啟動(dòng)初始化方法
AppInitialize162
2.8 小結(jié)163
第3章 .NET SQL注入漏洞及修復(fù)164
3.1 ADO.NET注入164
3.1.1 SQL語(yǔ)句拼接注入164
3.1.2 字符串處理注入165
3.1.3 SqlCommand類(lèi)的構(gòu)造方法
和屬性注入167
3.1.4 數(shù)據(jù)視圖RowFilter屬性
注入168
3.1.5 數(shù)據(jù)表Select方法注入169
3.1.6 服務(wù)端控件FindControl
方法注入170
3.1.7 SQL Server存儲(chǔ)過(guò)程注入171
3.1.8 SQL Server數(shù)據(jù)類(lèi)型注入174
3.2 ORM注入175
3.2.1 SqlQuery方法注入176
3.2.2 ExecuteSqlCommand方法
注入176
3.2.3 FromSqlRaw方法注入178
3.2.4 ExecuteSqlRawAsync方法
注入179
3.3 審計(jì)SQL注入的輔助工具179
3.3.1 SQL Server Profiler分析器179
3.3.2 DatabaseLogger攔截器180
3.3.3 Microsoft.Extensions.
Logging.Debug日志包181
3.4 修復(fù)建議183
3.5 小結(jié)183
第4章 .NET XSS漏洞及修復(fù)184
4.1 XSS漏洞介紹184
4.2 Response.Write方法觸發(fā)XSS
攻擊184
4.3 Page.ClientScript觸發(fā)XSS攻擊185
4.3.1 注冊(cè)腳本塊185
4.3.2 注冊(cè)Form表單186
4.3.3 注冊(cè)外部JavaScript文件186
4.4 Html.Raw方法觸發(fā)XSS攻擊187
4.5 MVC模型綁定不當(dāng)觸發(fā)XSS
攻擊188
4.6 JavaScriptSerializer反序列化
觸發(fā)XSS攻擊189
4.7 服務(wù)端控件的Attribute.Add
方法觸發(fā)XSS攻擊190
4.8 修復(fù)建議191
4.9 小結(jié)191
第5章 .NET CSRF漏洞及修復(fù)192
5.1 CSRF漏洞介紹192
5.2 代碼實(shí)例193
5.3 修復(fù)建議194
5.3.1 添加Validate AntiForgeryToken
字段194
5.3.2 AJAX中通過(guò)Header驗(yàn)證
Token194
5.4 小結(jié)196
第6章 .NET SSRF漏洞及修復(fù)197
6.1 SSRF漏洞介紹197
6.2 WebRequest發(fā)起HTTP請(qǐng)求198
6.3 創(chuàng)建WebClient請(qǐng)求遠(yuǎn)程文件198
6.4 輕量級(jí)的HttpClient對(duì)象200
6.5 修復(fù)建議202
6.6 小結(jié)202
第7章 .NET XXE漏洞及修復(fù)203
7.1 XXE基礎(chǔ)知識(shí)203
7.1.1 XML文檔結(jié)構(gòu)203
7.1.2 XML類(lèi)型定義205
7.1.3 解析XML數(shù)據(jù)的CDATA207
7.1.4 樣式表語(yǔ)言轉(zhuǎn)換208
7.1.5 XML命名空間209
7.2 讀取XML文檔的XmlReader209
7.3 默認(rèn)不安全的XmlTextReader211
7.4 XmlDocument對(duì)象解析XML
文檔212
7.4.1 通過(guò)Load方法加載XML
文檔212
7.4.2 通過(guò)LoadXml方法加載XML
文檔213
7.5 XDocument對(duì)象解析XML文檔214
7.6 XPathDocument對(duì)象解析XML
文檔215
7.7 XmlSerializer反序列化觸發(fā)
XXE216
7.8 XslCompiledTransform轉(zhuǎn)換
XSLT217
7.9 WCF框架下的XXE攻擊風(fēng)險(xiǎn)218
7.10 修復(fù)建議219
7.11 小結(jié)219
第8章 .NET文件上傳和下載
漏洞及修復(fù)220
8.1 .NET文件上傳漏洞220
8.1.1 SaveAs方法上傳文件220
8.1.2 Web API上傳文件225
8.1.3 .NET Core MVC上傳對(duì)象
IFormFile226
8.1.4 修復(fù)建議228
8.2 .NET文件下載漏洞228
8.2.1 Response對(duì)象文件下載228
8.2.2 MVC文件下載方法File232
8.2.3 .NET Core MVC文件下載
方法PhysicalFile232
8.2.4 異步文件下載方法
SendFileAsync233
8.2.5 Minimal API模式下的文件
下載方法Results.File234
8.2.6 修復(fù)建議236
8.3 小結(jié)236
第9章 .NET文件操作漏洞及修復(fù)237
9.1 通過(guò)File對(duì)象操作文件237
9.1.1 讀取任意文件內(nèi)容的
ReadAllText方法237
9.1.2 讀取任意文件所有內(nèi)容的
ReadAllLines方法238
9.1.3 創(chuàng)建寫(xiě)入任意內(nèi)容的
WriteAllText方法239
9.1.4 逐行寫(xiě)入內(nèi)容的WriteAllLines
方法240
9.1.5 創(chuàng)建文件的Create方法240
9.1.6 以寫(xiě)入字節(jié)碼方式創(chuàng)建
文件的WriteAllBytes方法241
9.1.7 任意文件刪除242
9.1.8 任意文件移動(dòng)并重命名243
9.2 通過(guò)StreamReader流式讀取
文件243
9.2.1 通過(guò)ReadLine讀取一行244
9.2.2 通過(guò)ReadToEnd讀取全部
內(nèi)容245
9.3 通過(guò)FileStream讀寫(xiě)文件245
9.3.1 流式讀取文本內(nèi)容的Read
方法245
9.3.2 流式讀取文件字節(jié)的
ReadByte方法246
9.4 通過(guò)StreamWriter寫(xiě)入文件247
9.5 修復(fù)建議248
9.6 小結(jié)248
第10章 .NET敏感信息泄露漏洞
及修復(fù)249
10.1 使用不安全的配置249
10.1.1 站點(diǎn)開(kāi)啟目錄瀏覽功能249
10.1.2 Web中間件版本暴露252
10.1.3 啟用頁(yè)面跟蹤記錄252
10.1.4 修復(fù)建議253
10.2 生產(chǎn)環(huán)境不安全的部署253
10.3 頁(yè)面拋出的異常信息255
10.4 泄露API調(diào)試地址257
10.4.1 Web API幫助頁(yè)泄露調(diào)試
API257
10.4.2 Swagger文檔泄露調(diào)試API260
10.4.3 OData元數(shù)據(jù)泄露調(diào)試API262
10.4.4 修復(fù)建議264
10.5 小結(jié)265
第11章 .NET失效的訪問(wèn)控制
漏洞及修復(fù)266
11.1 不安全的直接對(duì)象引用漏洞266
11.2 URL重定向漏洞268
11.3 授權(quán)配置錯(cuò)誤漏洞269
11.3.1 無(wú)須認(rèn)證身份的
AllowAnonymous特性269
11.3.2 MVC全局過(guò)濾器邏輯漏洞
繞過(guò)身份認(rèn)證270
11.3.3 修復(fù)建議271
11.4 越權(quán)訪問(wèn)漏洞272
11.4.1 橫向越權(quán)272
11.4.2 縱向越權(quán)273
11.4.3 越權(quán)漏洞掃描插件274
11.4.4 修復(fù)建議275
11.5 小結(jié)275
第12章 .NET代碼執(zhí)行漏洞及
修復(fù)276
12.1 Razor模板代碼解析執(zhí)行漏洞276
12.2 原生動(dòng)態(tài)編譯技術(shù)運(yùn)行任意
代碼280
12.3 第三方庫(kù)動(dòng)態(tài)運(yùn)行.NET腳本282
12.3.1 使用EvaluateAsync方法運(yùn)行
.NET表達(dá)式282
12.3.2 使用RunAsync方法運(yùn)行
.NET代碼塊283
12.4 修復(fù)建議284
12.5 小結(jié)284
第13章 .NET命令執(zhí)行漏洞及
修復(fù)285
13.1 常用的Windows命令285
13.2 DOS命令中的操作符286
13.3 命令注入無(wú)回顯場(chǎng)景287
13.3.1 時(shí)間延遲287
13.3.2 重定向輸出287
13.3.3 帶外命令注入287
13.4 啟動(dòng)系統(tǒng)進(jìn)程的Process對(duì)象288
13.5 修復(fù)建議289
13.6 小結(jié)290
第14章 .NET身份認(rèn)證漏洞及
修復(fù)291
14.1 會(huì)話管理漏洞291
14.1.1 偽造Cookie會(huì)話漏洞291
14.1.2 劫持Session會(huì)話漏洞294
14.1.3 Cookieless無(wú)狀態(tài)會(huì)話
漏洞295
14.1.4 修復(fù)建議297
14.2 憑證管理漏洞297
14.2.1 弱口令暴力破解297
14.2.2 密鑰生成弱算法299
14.2.3 修復(fù)建議300
14.3 小結(jié)300
第15章 .NET反序列化漏洞攻擊
鏈路301
15.1 YSoSerial.Net反序列化利用
工具301
15.2 .NET序列化生命周期302
15.3 .NET序列化基礎(chǔ)知識(shí)303
15.3.1 Serializable特性303
15.3.2 SurrogateSelector代理類(lèi)303
15.3.3 ObjectSerializedRef類(lèi)304
15.3.4 LINQ306
15.4 反序列化攻擊鏈路307
15.4.1 ActivitySurrogateSelector
鏈路307
15.4.2 TextFormattingRunProperties
鏈路322
15.4.3 DataSet鏈路323
15.4.4 DataSetTypeSpoof鏈路331
15.4.5 DataSetOldBehaviour鏈路333
15.4.6 DataSetOldBehaviourFromFile
鏈路334
15.4.7 WindowsClaimsIdentity
鏈路336
15.4.8 WindowsIdentity鏈路340
15.4.9 WindowsPrincipal鏈路341
15.4.10 ClaimsIdentity鏈路347
15.4.11 ClaimsPrincipal鏈路351
15.4.12 TypeConfuseDelegate鏈路353
15.4.13 XamlAssemblyLoadFromFile
鏈路358
15.4.14 RolePrincipal鏈路360
15.4.15 ObjRef鏈路363
15.4.16 XamlImageInfo鏈路367
15.4.17 GetterSettingsPropertyValue
鏈路372
15.4.18 GetterSecurityException
鏈路377
15.5 小結(jié)383
第16章 .NET反序列化漏洞
觸發(fā)場(chǎng)景384
16.1 ViewState反序列化漏洞場(chǎng)景384
16.2 XmlSerializer反序列化漏洞
場(chǎng)景410
16.3 BinaryFormatter反序列化漏洞
場(chǎng)景420
16.4 JavaScriptSerializer反序列化
漏洞場(chǎng)景422
16.5 DataContractSerializer反序列
化漏洞場(chǎng)景426
16.6 NetDataContractSerializer反序
列化漏洞場(chǎng)景428
16.7 DataContractJsonSerializer反序
列化漏洞場(chǎng)景431
16.8 SoapFormatter反序列化漏洞
場(chǎng)景433
16.9 LosFormatter反序列化漏洞
場(chǎng)景434
16.10 ObjectStateFormatter反序列
化漏洞場(chǎng)景435
16.11 .NET Remoting反序列化
漏洞場(chǎng)景437
16.12 PSObject反序列化漏洞場(chǎng)景441
16.13 DataSet/DataTable反序列化
漏洞場(chǎng)景444
16.14 小結(jié)447
第17章 .NET反序列化漏洞插件448
17.1 ApplicationTrust插件448
17.2 AltSerialization插件450
17.3 TransactionManagerReenlist
插件454
17.4 SessionSecurityTokenHandler
插件456
17.5 SessionSecurityToken插件458
17.6 SessionViewStateHistoryItem
插件461
17.7 ToolboxItemContainer插件464
17.8 Resx插件467
17.9 ResourceSet插件473
17.10 小結(jié)475
展開(kāi)全部
.NET安全攻防指南(上冊(cè)) 作者簡(jiǎn)介
李寅,科大訊飛安全實(shí)驗(yàn)室負(fù)責(zé)人,筆名Ivan1ee,資深安全研究愛(ài)好者,阿里巴巴安全專(zhuān)家,微軟大中華區(qū)最有價(jià)值的專(zhuān)家,曾參與或負(fù)責(zé)過(guò)網(wǎng)商銀行應(yīng)用安全SDL、藍(lán)軍體系化建設(shè)及運(yùn)營(yíng),也曾活躍于補(bǔ)天漏洞響應(yīng)平臺(tái),連續(xù)三年總排名第一,并連載.NET十大反序列化漏洞等系列優(yōu)質(zhì)課程。
莫書(shū)棋,資深安全專(zhuān)家,多年的信息安全領(lǐng)域工作經(jīng)驗(yàn),曾在多家頂尖互聯(lián)網(wǎng)企業(yè)的安全部門(mén)任職。在紅藍(lán)對(duì)抗、高級(jí)威脅入侵檢測(cè)與防御、以及企業(yè)級(jí)安全體系規(guī)劃與建設(shè)等領(lǐng)域有深入研究。
書(shū)友推薦
- >
苦雨齋序跋文-周作人自編集
- >
二體千字文
- >
上帝之肋:男人的真實(shí)旅程
- >
史學(xué)評(píng)論
- >
大紅狗在馬戲團(tuán)-大紅狗克里弗-助人
- >
莉莉和章魚(yú)
- >
中國(guó)歷史的瞬間
- >
羅庸西南聯(lián)大授課錄
本類(lèi)暢銷(xiāo)
