Discussion :

[maparè]

Bonjour à tous,

Je viens de prendre connaissance qu'il faut encoder son url pour éviter des injections sql.

pour cela j'ai essayé d'encoder l'url de notre application développée avec C# en utilisant le script ci-dessous dans le Site.Master:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<head>
   <title>Encoding URL Strings</title>
   <script runat="server">
 
      void UrlPathEncode()
      {
         string StrToEncode;
         string StrToReturn;
 
         StrToEncode = "UrlPathEncode.aspx? Arg = foo";
         StrToReturn = Server.UrlPathEncode(StrToEncode);
         Response.Write("<a href=\"" + StrToReturn + "\">" + StrToReturn + "</a>");
 
      }
 
   </script>
</head>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<body>
 
<% UrlPathEncode(); %>
 
</body>

Malheureusement je ne vois aucun changement.

C'est pour cela je sollicite de l'aide ici pour savoir comment utiliser ce script ou bien simplement comment je peux encoder l'URL.

Merci d'avance.

[Nathanael Marchand]

C'est pas bien de mettre du code dans une page ASPX Il y'a le code-behind pour ca...
Pour répondre à ta question :
http://msdn.microsoft.com/fr-fr/libr...urlencode.aspx

[maparè]

C'est pas bien de mettre du code dans une page ASPX Il y'a le code-behind pour ca...
Pour répondre à ta question :
http://msdn.microsoft.com/fr-fr/libr...urlencode.aspx

Bonjour ,

D'abord merci PitMaverick78 pour ton message.
En fait avant de poster ici je l'avais déjà consulter mais j'ai pas su comment l'utiliser.
C'est vraiment tout nouveau pour moi je suis un peu perdu ,
et je voudrais savoir :
pour résoudre mon problème il faut encoder l'URL ou le crypter ;et comment procéder.

Merci.

[Nathanael Marchand]

Bonjour ,

D'abord merci PitMaverick78 pour ton message.
En fait avant de poster ici je l'avais déjà consulter mais j'ai pas su comment l'utiliser.
C'est vraiment tout nouveau pour moi je suis un peu perdu ,
et je voudrais savoir :
pour résoudre mon problème il faut encoder l'URL ou le crypter ;et comment procéder.

Merci.

Mais quel est le but final en fait?

[Arnard]

Eviter les sql Injections

pour ça, regarde déjà du côté des requêtes paramétrées dans ADO.Net

[maparè]

Mais quel est le but final en fait?

Le but c 'est d'éviter qu'on puisse accéder dans l'application a partir de l'URL pour faire des actions.

[maparè]

Eviter les sql Injections

pour ça, regarde déjà du côté des requêtes paramétrées dans ADO.Net

Ok ! je vais consulter cela pour voir si je peux y trouver mon bonheur.
Merci.

[Nathanael Marchand]

Les actions UrlEncode sont facilement décryptables et on peut facilement les changer. Ca n'est pas leur utilisation. La réelle utilisation c'est d'éviter de passer des paramètres avec des caractères spéciaux dans l'url.

[maparè]

Bonjour,

Je voudrais juste savoir quoi mettre dans mon Web.config
pour que les caractères soient codés à l'affichage de l'url dans le navigateur.

En fait je ne veux pas avoir en clair certaines parties comme
celle en gras dans l'URL ci-dessous par exemple :

http://localhost:1234/Account/ChangePassword

Merci d'avance.

[Nathanael Marchand]

Pfiou! Ce que tu demandes est compliqué enfait!
Il faudrait faire un HttpModule ou se servir de l'url rewriting pour masquer ca. Un peu comme le routage effectué par le framework mvc.

[maparè]

PitMaverick78[/B];5805257]Pfiou! Ce que tu demandes est compliqué enfait!
Il faudrait faire un HttpModule ou se servir de l'url rewriting pour masquer ca. Un peu comme le routage effectué par le framework mvc.

Bonjour PitMaverick78,

Après lecture de ta réponse précédente j'ai fais des recherches pour créer un HttpModule et je suis tombé sur ce lien : http://www.beansoftware.com/ASP.NET-...tp-Module.aspx

En suivant son exemple j'ai fais ceci :
j'ai créé un nouveau projet appelé RequestLoggerIntranet, j'ai supprimé le fichier CSS par défaut,
puis j'ai créé la classe RequestLogger.cs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.IO;
 
namespace RequestLoggerIntranet.Models
{
public class RequestLoggerModule :IHttpModule
{
    #region IHttpModule Members
 
    public void Dispose()
    {
 
    }
    public void Init(HttpApplication context)
    {
        context.BeginRequest += new EventHandler(context_BeginRequest);
    }
 
    void context_BeginRequest(object sender, EventArgs e)
    {
        HttpApplication app = sender as HttpApplication;
        StreamWriter sw = new StreamWriter(@"C:\requestLog.txt");
        StreamReader reader = new StreamReader(app.Request.InputStream);
        sw.WriteLine(reader.ReadToEnd());
        sw.Close();
    }
 
    #endregion
}
}

Puis j'ai compilé le projet et copié RequestLoggerIntranet.dll dans le dossier bin de mon application

Après quoi j'ai copié ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
   <httpModules>
      <add name="RequestLoggerModule" type="RequestLoggerIntranet.RequestLoggerModule, RequestLoggerIntranet"/>
    </httpModules>

entre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<system.web> </system.web>

dans le web.config de mon application.


Et après compilation et exécution de mon application j'ai l'erreur suivante :

Server Error in '/' Application.
Configuration Error
Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration file appropriately.

Parser Error Message: Could not load type 'RequestLoggerIntranet.RequestLoggerModule' from assembly 'RequestLoggerIntranet'. (C:\Intranet\Intranet\web.config line 53)

Source Error:

Line 51:
Line 52: <httpModules>
Line 53: <add name="RequestLoggerModule" type="RequestLoggerIntranet.RequestLoggerModule, RequestLoggerIntranet"/>
Line 54: </httpModules>
Line 55:

Que puis-je faire s'il vous plait ?

Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1

[Nathanael Marchand]

Le type n'est pas bon, il doit être comme ceci je pense:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>

M'enfin ca n'empeche que c'est assez compliqué ce dans quoi tu t'embarques. Sois pragmatique et demande toi si il y'a un réel interet. Implémenter un système de redirection d'url implique de vraiment bien connaître le web pour gérer les URLs et les verbes HTTP. Moi même, je ne le tenterai pas (pour faire joujou pourquoi pas mais certainement pas sur un truc destiné à de la prod)!

Edit: A relire le fil entier, ca ne vaut vraiment pas le coup de réécrire les urls pour prévenir les injections. En php pourquoi pas mais ASP.Net et relativement bien foutu. A condition de respecter quelques règles: ne pas passer de requêtes en paramètres (mais bon ca me parait logique) et toujours utiliser les requêtes parametrées (et pas la concatenation)

[maparè]

Le type n'est pas bon, il doit être comme ceci je pense:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>

M'enfin ca n'empeche que c'est assez compliqué ce dans quoi tu t'embarques. Sois pragmatique et demande toi si il y'a un réel interet. Implémenter un système de redirection d'url implique de vraiment bien connaître le web pour gérer les URLs et les verbes HTTP. Moi même, je ne le tenterai pas (pour faire joujou pourquoi pas mais certainement pas sur un truc destiné à de la prod)!

Edit: A relire le fil entier, ca ne vaut vraiment pas le coup de réécrire les urls pour prévenir les injections. En php pourquoi pas mais ASP.Net et relativement bien foutu. A condition de respecter quelques règles: ne pas passer de requêtes en paramètres (mais bon ca me parait logique) et toujours utiliser les requêtes parametrées (et pas la concatenation)

En fait ce n'est pas un projet perso, c'est le coordonnateur du service où je travaille qui a demandé cela après avoir testé l'application et constaté qu'en copiant le lien permettant la modification du mot passe d'un utilisateur et le le lancer dans le navigateur permettais l'accès à ceci.

J'ai mis le bon type comme tu la suggérer , après quoi j'ai vu dans un nouvelle erreur affichée que l'accès au fichier RequestLog.txt est refusé.
Pour accorder l'accès j'ai fais ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 StreamWriter sw = new StreamWriter(app.Server.MapPath("~/App_Data/RequestLog.txt"), true);

Après compilation, remplacement du RequestLoggerIntranet.dll et exécution j'ai çà :

• Server Error in '/' Application.
• Multiple types were found that match the controller named 'Home'. This can happen if the route that services this request ('{controller}/{action}/{id}') does not specify namespaces to search for a controller that matches the request. If this is the case, register this route by calling an overload of the 'MapRoute' method that takes a 'namespaces' parameter.
  
• The request for 'Home' has found the following matching controllers:
• RequestLoggerIntranet.Controllers.HomeController
• Nism.Controllers.HomeController

Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.InvalidOperationException: Multiple types were found that match the controller named 'Home'. This can happen if the route that services this request ('{controller}/{action}/{id}') does not specify namespaces to search for a controller that matches the request. If this is the case, register this route by calling an overload of the 'MapRoute' method that takes a 'namespaces' parameter.

The request for 'Home' has found the following matching controllers:
RequestLoggerIntranet.Controllers.HomeController
Nism.Controllers.HomeController

[Nathanael Marchand]

En fait ce n'est pas un projet perso, c'est le coordonnateur du service où je travaille qui a demandé cela après avoir testé l'application et constaté qu'en copiant le lien permettant la modification du mot passe d'un utilisateur et le le lancer dans le navigateur permettais l'accès à ceci.

C'est bien la dessus qu'il faut travailler! J'ai pas compris ta phrase en fait. N'importe qui peut changer le password de tout le monde?

[maparè]

C'est bien la dessus qu'il faut travailler! J'ai pas compris ta phrase en fait. N'importe qui peut changer le password de tout le monde?

En utilisant deux comptes :
Il s'est connecté avec le 1er puis a ouvert le formulaire
de changement de mot de passe de celui-ci et a copié le lien correspondant :

http://localhost:1234/Account/ChangePassword
Après il s'est déconnecté et utilisé le deuxième compte.
En étant connecté avec le 2ème compte il a collé le lien de changement
de mot de passe du 1er et là il s'est retrouvé dans le compte de celui-ci.
Depuis il nous a demandé de faire le Re-writing URL pour éviter les
injections sql que je n'avais même pas entendu auparavant.

[Nathanael Marchand]

En utilisant deux comptes :
Il s'est connecté avec le 1er puis a ouvert le formulaire
de changement de mot de passe de celui-ci et a copié le lien correspondant :

http://localhost:1234/Account/ChangePassword
Après il s'est déconnecté et utilisé le deuxième compte.
En étant connecté avec le 2ème compte il a collé le lien de changement
de mot de passe du 1er et là il s'est retrouvé dans le compte de celui-ci.
Depuis il nous a demandé de faire le Re-writing URL pour éviter les
injections sql que je n'avais même pas entendu auparavant.

Ben dans ce cas la c'est le parcours qui est mal concu. Pas besoin de faire de l'url rewriting. De toute facon, réecrire l'url ca fait que masquer une petit peu mais ca ne corrige pas.

[maparè]

Ben dans ce cas la c'est le parcours qui est mal concu. Pas besoin de faire de l'url rewriting. De toute facon, réecrire l'url ca fait que masquer une petit peu mais ca ne corrige pas.

Bonjour PitMaverick78,

En fait on a donné au super la possibilité de changer les mots de passe des utilisateurs sinon plus de souci dans ce sens, néanmoins je dois faire l'url rewriting.

Maintenant mon Module http est créé et on voit maintenant le fichier RequestLog.txt vide dans le répertoire App_Data du site.

A partir d'ici qu'est-ce que je dois faire pour que l'url rewriting marche?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Web;
using System.IO;
 
namespace RequestLoggerIntranet.Models
{
    //[HandleError]
 
    public class RequestLoggerModule : IHttpModule
    {
        #region IHttpModule Members
 
        public void Dispose()
        {
 
        }
        public void Init(HttpApplication context)
        {
            context.BeginRequest += new EventHandler(context_BeginRequest);
        }
 
        void context_BeginRequest(object sender, EventArgs e)
        {
            HttpApplication app = sender as HttpApplication;
            StreamWriter sw = new StreamWriter(("D:/Intranet/Intranet/App_Data/RequestLog.txt"), true);
            StreamReader reader = new StreamReader(app.Request.InputStream);
            sw.WriteLine(reader.ReadToEnd());
            sw.Close();
        }
 
        #endregion
    }
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<httpModules>
      <add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>
    </httpModules>

[Nathanael Marchand]

Rien! Je vais être plus clair qu'au dessus: CA NE CORRIGE PAS TON PROBLEME

Si tu mets en place l'url rewriting la manip que ton supérieur à fait fonctionnera de la même manière, sauf que ca sera une chaine illisible.
De plus l'url rewriting va rentrer en conflit avec l'url rewriting pratiqué par ASP.Net MVC de base. Clairement ca n'est pas la bonne solution.

C'est plutôt la conception du site qu'est à revoir et la sécurisation.
Tu peux par exemple te servir de ca:
http://msdn.microsoft.com/en-us/libr...attribute.aspx

[maparè]

Rien! Je vais être plus clair qu'au dessus: CA NE CORRIGE PAS TON PROBLEME

Si tu mets en place l'url rewriting la manip que ton supérieur à fait fonctionnera de la même manière, sauf que ca sera une chaine illisible.
De plus l'url rewriting va rentrer en conflit avec l'url rewriting pratiqué par ASP.Net MVC de base. Clairement ca n'est pas la bonne solution.

C'est plutôt la conception du site qu'est à revoir et la sécurisation.
Tu peux par exemple te servir de ca:
http://msdn.microsoft.com/en-us/libr...attribute.aspx

Bonjour PitMaverick78,

Je vais consulter alors ce site et voir ce que je peux faire.


Salut PitMaverick78,

En fait l'Attribut [Authorize] était utilisée mais sans la propriété Roles, en ajoutant celle-ci la manipulation faite par mon supérieur n'est plus possible :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 [Authorize(Roles = "Admin, Super User")]

Je suis content pour ton aide précieuse et t'en remercie infiniment.