Discussion :

[mapar�]

Bonjour � tous,

Je viens de prendre connaissance qu'il faut encoder son url pour �viter des injections sql.

pour cela j'ai essay� d'encoder l'url de notre application d�velopp�e avec C# en utilisant le script ci-dessous dans le Site.Master:

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<head>
   <title>Encoding URL Strings</title>
   <script runat="server">
 
      void UrlPathEncode()
      {
         string StrToEncode;
         string StrToReturn;
 
         StrToEncode = "UrlPathEncode.aspx? Arg = foo";
         StrToReturn = Server.UrlPathEncode(StrToEncode);
         Response.Write("<a href=\"" + StrToReturn + "\">" + StrToReturn + "</a>");
 
      }
 
   </script>
</head>

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
<body>
 
<% UrlPathEncode(); %>
 
</body>

Malheureusement je ne vois aucun changement.

C'est pour cela je sollicite de l'aide ici pour savoir comment utiliser ce script ou bien simplement comment je peux encoder l'URL.

Merci d'avance.

[Nathanael Marchand]

C'est pas bien de mettre du code dans une page ASPX Il y'a le code-behind pour ca...
Pour r�pondre � ta question :
http://msdn.microsoft.com/fr-fr/libr...urlencode.aspx

[mapar�]

C'est pas bien de mettre du code dans une page ASPX Il y'a le code-behind pour ca...
Pour r�pondre � ta question :
http://msdn.microsoft.com/fr-fr/libr...urlencode.aspx

Bonjour ,

D'abord merci PitMaverick78 pour ton message.
En fait avant de poster ici je l'avais d�j� consulter mais j'ai pas su comment l'utiliser.
C'est vraiment tout nouveau pour moi je suis un peu perdu ,
et je voudrais savoir :
pour r�soudre mon probl�me il faut encoder l'URL ou le crypter ;et comment proc�der.

Merci.

[Nathanael Marchand]

Bonjour ,

D'abord merci PitMaverick78 pour ton message.
En fait avant de poster ici je l'avais d�j� consulter mais j'ai pas su comment l'utiliser.
C'est vraiment tout nouveau pour moi je suis un peu perdu ,
et je voudrais savoir :
pour r�soudre mon probl�me il faut encoder l'URL ou le crypter ;et comment proc�der.

Merci.

Mais quel est le but final en fait?

[Arnard]

Eviter les sql Injections

pour �a, regarde d�j� du c�t� des requ�tes param�tr�es dans ADO.Net

[mapar�]

Mais quel est le but final en fait?

Le but c 'est d'�viter qu'on puisse acc�der dans l'application a partir de l'URL pour faire des actions.

[mapar�]

Eviter les sql Injections

pour �a, regarde d�j� du c�t� des requ�tes param�tr�es dans ADO.Net

Ok ! je vais consulter cela pour voir si je peux y trouver mon bonheur.
Merci.

[Nathanael Marchand]

Les actions UrlEncode sont facilement d�cryptables et on peut facilement les changer. Ca n'est pas leur utilisation. La r�elle utilisation c'est d'�viter de passer des param�tres avec des caract�res sp�ciaux dans l'url.

[mapar�]

Bonjour,

Je voudrais juste savoir quoi mettre dans mon Web.config
pour que les caract�res soient cod�s � l'affichage de l'url dans le navigateur.

En fait je ne veux pas avoir en clair certaines parties comme
celle en gras dans l'URL ci-dessous par exemple :

http://localhost:1234/Account/ChangePassword

Merci d'avance.

[Nathanael Marchand]

Pfiou! Ce que tu demandes est compliqu� enfait!
Il faudrait faire un HttpModule ou se servir de l'url rewriting pour masquer ca. Un peu comme le routage effectu� par le framework mvc.

[mapar�]

PitMaverick78[/B];5805257]Pfiou! Ce que tu demandes est compliqu� enfait!
Il faudrait faire un HttpModule ou se servir de l'url rewriting pour masquer ca. Un peu comme le routage effectu� par le framework mvc.

Bonjour PitMaverick78,

Apr�s lecture de ta r�ponse pr�c�dente j'ai fais des recherches pour cr�er un HttpModule et je suis tomb� sur ce lien : http://www.beansoftware.com/ASP.NET-...tp-Module.aspx

En suivant son exemple j'ai fais ceci :
j'ai cr�� un nouveau projet appel� RequestLoggerIntranet, j'ai supprim� le fichier CSS par d�faut,
puis j'ai cr�� la classe RequestLogger.cs

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.IO;
 
namespace RequestLoggerIntranet.Models
{
public class RequestLoggerModule :IHttpModule
{
    #region IHttpModule Members
 
    public void Dispose()
    {
 
    }
    public void Init(HttpApplication context)
    {
        context.BeginRequest += new EventHandler(context_BeginRequest);
    }
 
    void context_BeginRequest(object sender, EventArgs e)
    {
        HttpApplication app = sender as HttpApplication;
        StreamWriter sw = new StreamWriter(@"C:\requestLog.txt");
        StreamReader reader = new StreamReader(app.Request.InputStream);
        sw.WriteLine(reader.ReadToEnd());
        sw.Close();
    }
 
    #endregion
}
}

Puis j'ai compil� le projet et copi� RequestLoggerIntranet.dll dans le dossier bin de mon application

Apr�s quoi j'ai copi� ceci :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
 
   <httpModules>
      <add name="RequestLoggerModule" type="RequestLoggerIntranet.RequestLoggerModule, RequestLoggerIntranet"/>
    </httpModules>

entre

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<system.web> </system.web>

dans le web.config de mon application.


Et apr�s compilation et ex�cution de mon application j'ai l'erreur suivante :

Server Error in '/' Application.
Configuration Error
Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration file appropriately.

Parser Error Message: Could not load type 'RequestLoggerIntranet.RequestLoggerModule' from assembly 'RequestLoggerIntranet'. (C:\Intranet\Intranet\web.config line 53)

Source Error:

Line 51:
Line 52: <httpModules>
Line 53: <add name="RequestLoggerModule" type="RequestLoggerIntranet.RequestLoggerModule, RequestLoggerIntranet"/>
Line 54: </httpModules>
Line 55:

Que puis-je faire s'il vous plait ?

Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1

[Nathanael Marchand]

Le type n'est pas bon, il doit �tre comme ceci je pense:

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>

M'enfin ca n'empeche que c'est assez compliqu� ce dans quoi tu t'embarques. Sois pragmatique et demande toi si il y'a un r�el interet. Impl�menter un syst�me de redirection d'url implique de vraiment bien conna�tre le web pour g�rer les URLs et les verbes HTTP. Moi m�me, je ne le tenterai pas (pour faire joujou pourquoi pas mais certainement pas sur un truc destin� � de la prod)!

Edit: A relire le fil entier, ca ne vaut vraiment pas le coup de r��crire les urls pour pr�venir les injections. En php pourquoi pas mais ASP.Net et relativement bien foutu. A condition de respecter quelques r�gles: ne pas passer de requ�tes en param�tres (mais bon ca me parait logique) et toujours utiliser les requ�tes parametr�es (et pas la concatenation)

[mapar�]

Le type n'est pas bon, il doit �tre comme ceci je pense:

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>

M'enfin ca n'empeche que c'est assez compliqu� ce dans quoi tu t'embarques. Sois pragmatique et demande toi si il y'a un r�el interet. Impl�menter un syst�me de redirection d'url implique de vraiment bien conna�tre le web pour g�rer les URLs et les verbes HTTP. Moi m�me, je ne le tenterai pas (pour faire joujou pourquoi pas mais certainement pas sur un truc destin� � de la prod)!

Edit: A relire le fil entier, ca ne vaut vraiment pas le coup de r��crire les urls pour pr�venir les injections. En php pourquoi pas mais ASP.Net et relativement bien foutu. A condition de respecter quelques r�gles: ne pas passer de requ�tes en param�tres (mais bon ca me parait logique) et toujours utiliser les requ�tes parametr�es (et pas la concatenation)

En fait ce n'est pas un projet perso, c'est le coordonnateur du service o� je travaille qui a demand� cela apr�s avoir test� l'application et constat� qu'en copiant le lien permettant la modification du mot passe d'un utilisateur et le le lancer dans le navigateur permettais l'acc�s � ceci.

J'ai mis le bon type comme tu la sugg�rer , apr�s quoi j'ai vu dans un nouvelle erreur affich�e que l'acc�s au fichier RequestLog.txt est refus�.
Pour accorder l'acc�s j'ai fais ceci :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

 StreamWriter sw = new StreamWriter(app.Server.MapPath("~/App_Data/RequestLog.txt"), true);

Apr�s compilation, remplacement du RequestLoggerIntranet.dll et ex�cution j'ai �� :

• Server Error in '/' Application.
• Multiple types were found that match the controller named 'Home'. This can happen if the route that services this request ('{controller}/{action}/{id}') does not specify namespaces to search for a controller that matches the request. If this is the case, register this route by calling an overload of the 'MapRoute' method that takes a 'namespaces' parameter.
  
• The request for 'Home' has found the following matching controllers:
• RequestLoggerIntranet.Controllers.HomeController
• Nism.Controllers.HomeController

Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.InvalidOperationException: Multiple types were found that match the controller named 'Home'. This can happen if the route that services this request ('{controller}/{action}/{id}') does not specify namespaces to search for a controller that matches the request. If this is the case, register this route by calling an overload of the 'MapRoute' method that takes a 'namespaces' parameter.

The request for 'Home' has found the following matching controllers:
RequestLoggerIntranet.Controllers.HomeController
Nism.Controllers.HomeController

[Nathanael Marchand]

En fait ce n'est pas un projet perso, c'est le coordonnateur du service o� je travaille qui a demand� cela apr�s avoir test� l'application et constat� qu'en copiant le lien permettant la modification du mot passe d'un utilisateur et le le lancer dans le navigateur permettais l'acc�s � ceci.

C'est bien la dessus qu'il faut travailler! J'ai pas compris ta phrase en fait. N'importe qui peut changer le password de tout le monde?

[mapar�]

C'est bien la dessus qu'il faut travailler! J'ai pas compris ta phrase en fait. N'importe qui peut changer le password de tout le monde?

En utilisant deux comptes :
Il s'est connect� avec le 1er puis a ouvert le formulaire
de changement de mot de passe de celui-ci et a copi� le lien correspondant :

http://localhost:1234/Account/ChangePassword
Apr�s il s'est d�connect� et utilis� le deuxi�me compte.
En �tant connect� avec le 2�me compte il a coll� le lien de changement
de mot de passe du 1er et l� il s'est retrouv� dans le compte de celui-ci.
Depuis il nous a demand� de faire le Re-writing URL pour �viter les
injections sql que je n'avais m�me pas entendu auparavant.

[Nathanael Marchand]

En utilisant deux comptes :
Il s'est connect� avec le 1er puis a ouvert le formulaire
de changement de mot de passe de celui-ci et a copi� le lien correspondant :

http://localhost:1234/Account/ChangePassword
Apr�s il s'est d�connect� et utilis� le deuxi�me compte.
En �tant connect� avec le 2�me compte il a coll� le lien de changement
de mot de passe du 1er et l� il s'est retrouv� dans le compte de celui-ci.
Depuis il nous a demand� de faire le Re-writing URL pour �viter les
injections sql que je n'avais m�me pas entendu auparavant.

Ben dans ce cas la c'est le parcours qui est mal concu. Pas besoin de faire de l'url rewriting. De toute facon, r�ecrire l'url ca fait que masquer une petit peu mais ca ne corrige pas.

[mapar�]

Ben dans ce cas la c'est le parcours qui est mal concu. Pas besoin de faire de l'url rewriting. De toute facon, r�ecrire l'url ca fait que masquer une petit peu mais ca ne corrige pas.

Bonjour PitMaverick78,

En fait on a donn� au super la possibilit� de changer les mots de passe des utilisateurs sinon plus de souci dans ce sens, n�anmoins je dois faire l'url rewriting.

Maintenant mon Module http est cr�� et on voit maintenant le fichier RequestLog.txt vide dans le r�pertoire App_Data du site.

A partir d'ici qu'est-ce que je dois faire pour que l'url rewriting marche?

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Web;
using System.IO;
 
namespace RequestLoggerIntranet.Models
{
    //[HandleError]
 
    public class RequestLoggerModule : IHttpModule
    {
        #region IHttpModule Members
 
        public void Dispose()
        {
 
        }
        public void Init(HttpApplication context)
        {
            context.BeginRequest += new EventHandler(context_BeginRequest);
        }
 
        void context_BeginRequest(object sender, EventArgs e)
        {
            HttpApplication app = sender as HttpApplication;
            StreamWriter sw = new StreamWriter(("D:/Intranet/Intranet/App_Data/RequestLog.txt"), true);
            StreamReader reader = new StreamReader(app.Request.InputStream);
            sw.WriteLine(reader.ReadToEnd());
            sw.Close();
        }
 
        #endregion
    }
}

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
<httpModules>
      <add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>
    </httpModules>

[Nathanael Marchand]

Rien! Je vais �tre plus clair qu'au dessus: CA NE CORRIGE PAS TON PROBLEME

Si tu mets en place l'url rewriting la manip que ton sup�rieur � fait fonctionnera de la m�me mani�re, sauf que ca sera une chaine illisible.
De plus l'url rewriting va rentrer en conflit avec l'url rewriting pratiqu� par ASP.Net MVC de base. Clairement ca n'est pas la bonne solution.

C'est plut�t la conception du site qu'est � revoir et la s�curisation.
Tu peux par exemple te servir de ca:
http://msdn.microsoft.com/en-us/libr...attribute.aspx

[mapar�]

Rien! Je vais �tre plus clair qu'au dessus: CA NE CORRIGE PAS TON PROBLEME

Si tu mets en place l'url rewriting la manip que ton sup�rieur � fait fonctionnera de la m�me mani�re, sauf que ca sera une chaine illisible.
De plus l'url rewriting va rentrer en conflit avec l'url rewriting pratiqu� par ASP.Net MVC de base. Clairement ca n'est pas la bonne solution.

C'est plut�t la conception du site qu'est � revoir et la s�curisation.
Tu peux par exemple te servir de ca:
http://msdn.microsoft.com/en-us/libr...attribute.aspx

Bonjour PitMaverick78,

Je vais consulter alors ce site et voir ce que je peux faire.


Salut PitMaverick78,

En fait l'Attribut [Authorize] �tait utilis�e mais sans la propri�t� Roles, en ajoutant celle-ci la manipulation faite par mon sup�rieur n'est plus possible :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

 [Authorize(Roles = "Admin, Super User")]

Je suis content pour ton aide pr�cieuse et t'en remercie infiniment.