本書共17章。第1章為全書的開篇，為讀者搭建起對(duì).NET安全領(lǐng)域的初步認(rèn)知。第2章為.NET基礎(chǔ)知識(shí)，深入探討.NET框架的核心技術(shù)原理。第3章聚焦于.NET代碼審計(jì)領(lǐng)域的知識(shí)，詳細(xì)介紹SQL注入的原理、分類及其在.NETWebForms、MVC及.NETCoreMVC等不同框架下的表現(xiàn)形式。第4章全面解析XSS漏洞的原理、分類及其在.NET應(yīng)用中的觸發(fā)條件。第5章介紹幾種CSRF攻擊的實(shí)施手法，并通過實(shí)例展示如何構(gòu)建CSRF攻擊載荷。同時(shí)，還將介紹幾種有效的CSRF防御策略。第6章詳細(xì)解析SSRF漏洞的原理、危害及其在.NET各個(gè)版本框架應(yīng)用中的表現(xiàn)形式。第7章全面剖析XXE漏洞的原理，著重介紹XmlReader、XDocument、XslCompiledTransform等類。第8章主要介紹文件上傳和下載漏洞涉及的多個(gè)關(guān)鍵類和屬性。第9章深入研究.NET文件操作中的讀寫漏洞，這是Web應(yīng)用程序安全性的一個(gè)薄弱環(huán)節(jié)。第10章主要介紹.NET敏感信息泄露漏洞，涵蓋使用不安全的配置、生產(chǎn)環(huán)境不安全的部署、頁面拋出的異常信息以及API調(diào)試接口泄露4個(gè)關(guān)鍵環(huán)節(jié)。第11章著重介紹.NET中幾種常見的失效的訪問控制漏洞，包括不安全的對(duì)象引用、不安全的URL重定向、授權(quán)配置錯(cuò)誤以及越權(quán)訪問。第12章深入探討.NET代碼執(zhí)行漏洞，通過對(duì)Razor模板代碼解析執(zhí)行漏洞、原生動(dòng)態(tài)編譯技術(shù)運(yùn)行任意代碼以及第三方庫動(dòng)態(tài)運(yùn)行.NET腳本等方面的詳細(xì)研究，帶領(lǐng)讀者深入理解這些漏洞的本質(zhì)、潛在的風(fēng)險(xiǎn)以及實(shí)際應(yīng)用中的防范措施。第13章通過介紹.NET命令執(zhí)行漏洞的產(chǎn)生原理，回顧常用的Windows命令，深入了解DOS命令中的特殊符號(hào)，并重點(diǎn)介紹有關(guān)命令注入無回顯場(chǎng)景。第14章深入探討.NET身份認(rèn)證漏洞。第15章主要介紹.NET反序列化漏洞多個(gè)攻擊鏈路。第16章主要介紹.NET中常見的反序列化漏洞觸發(fā)場(chǎng)景，包括主流的ViewState、XmlSerializer、BinaryFormatter等技術(shù)。第17章深入研究多個(gè).NET序列化漏洞插件，如ApplicationTrust、AltSerialization、TransactionManagerReenlist等。