Encoder les caractères dans mon URL Asp.net (C#)

Version imprimable

Bonjour à tous,

Je viens de prendre connaissance qu'il faut encoder son url pour éviter des injections sql.

pour cela j'ai essayé d'encoder l'url de notre application développée avec C# en utilisant le script ci-dessous dans le Site.Master:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 <head> <title>Encoding URL Strings</title> <script runat="server"> void UrlPathEncode() { string StrToEncode; string StrToReturn; StrToEncode = "UrlPathEncode.aspx? Arg = foo"; StrToReturn = Server.UrlPathEncode(StrToEncode); Response.Write("<a href=\"" + StrToReturn + "\">" + StrToReturn + "</a>"); } </script> </head>
Code:

1 2 3 4 5 <body> <% UrlPathEncode(); %> </body>
Malheureusement je ne vois aucun changement.

C'est pour cela je sollicite de l'aide ici pour savoir comment utiliser ce script ou bien simplement comment je peux encoder l'URL.

Merci d'avance.

24/02/2011, 09h40
Nathanael Marchand

C'est pas bien de mettre du code dans une page ASPX :( Il y'a le code-behind pour ca...
Pour répondre à ta question :
http://msdn.microsoft.com/fr-fr/libr...urlencode.aspx
24/02/2011, 16h31
maparè

Citation:

Envoyé par PitMaverick78

C'est pas bien de mettre du code dans une page ASPX :( Il y'a le code-behind pour ca...
Pour répondre à ta question :
http://msdn.microsoft.com/fr-fr/libr...urlencode.aspx

Bonjour ,

D'abord merci PitMaverick78 pour ton message.
En fait avant de poster ici je l'avais déjà consulter mais j'ai pas su comment l'utiliser.
C'est vraiment tout nouveau pour moi je suis un peu perdu ,
et je voudrais savoir :
pour résoudre mon problème il faut encoder l'URL ou le crypter ;et comment procéder.

Merci.
24/02/2011, 17h32
Nathanael Marchand

Citation:

Envoyé par maparè

Bonjour ,

D'abord merci PitMaverick78 pour ton message.
En fait avant de poster ici je l'avais déjà consulter mais j'ai pas su comment l'utiliser.
C'est vraiment tout nouveau pour moi je suis un peu perdu ,
et je voudrais savoir :
pour résoudre mon problème il faut encoder l'URL ou le crypter ;et comment procéder.

Merci.

Mais quel est le but final en fait?
24/02/2011, 17h38
Arnard

Eviter les sql Injections :aie:

pour ça, regarde déjà du côté des requêtes paramétrées dans ADO.Net
24/02/2011, 19h52
maparè

Citation:

Envoyé par PitMaverick78

Mais quel est le but final en fait?

Le but c 'est d'éviter qu'on puisse accéder dans l'application a partir de l'URL pour faire des actions.
24/02/2011, 19h53
maparè

Citation:

Envoyé par Arnard

Eviter les sql Injections :aie:

pour ça, regarde déjà du côté des requêtes paramétrées dans ADO.Net

Ok ! je vais consulter cela pour voir si je peux y trouver mon bonheur.
Merci.
24/02/2011, 20h27
Nathanael Marchand

Les actions UrlEncode sont facilement décryptables et on peut facilement les changer. Ca n'est pas leur utilisation. La réelle utilisation c'est d'éviter de passer des paramètres avec des caractères spéciaux dans l'url.
25/02/2011, 20h24
maparè

Bonjour,

Je voudrais juste savoir quoi mettre dans mon Web.config
pour que les caractères soient codés à l'affichage de l'url dans le navigateur.

En fait je ne veux pas avoir en clair certaines parties comme
celle en gras dans l'URL ci-dessous par exemple :

http://localhost:1234/Account/ChangePassword

Merci d'avance.
26/02/2011, 11h14
Nathanael Marchand

Pfiou! Ce que tu demandes est compliqué enfait!
Il faudrait faire un HttpModule ou se servir de l'url rewriting pour masquer ca. Un peu comme le routage effectué par le framework mvc.

Citation:

Envoyé par [B

PitMaverick78[/B];5805257]Pfiou! Ce que tu demandes est compliqué enfait!
Il faudrait faire un HttpModule ou se servir de l'url rewriting pour masquer ca. Un peu comme le routage effectué par le framework mvc.

Bonjour PitMaverick78,

Après lecture de ta réponse précédente j'ai fais des recherches pour créer un HttpModule et je suis tombé sur ce lien : http://www.beansoftware.com/ASP.NET-...tp-Module.aspx

En suivant son exemple j'ai fais ceci :
j'ai créé un nouveau projet appelé RequestLoggerIntranet, j'ai supprimé le fichier CSS par défaut,
puis j'ai créé la classe RequestLogger.cs
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.IO; namespace RequestLoggerIntranet.Models { public class RequestLoggerModule :IHttpModule { #region IHttpModule Members public void Dispose() { } public void Init(HttpApplication context) { context.BeginRequest += new EventHandler(context_BeginRequest); } void context_BeginRequest(object sender, EventArgs e) { HttpApplication app = sender as HttpApplication; StreamWriter sw = new StreamWriter(@"C:\requestLog.txt"); StreamReader reader = new StreamReader(app.Request.InputStream); sw.WriteLine(reader.ReadToEnd()); sw.Close(); } #endregion } }
Puis j'ai compilé le projet et copié RequestLoggerIntranet.dll dans le dossier bin de mon application

Après quoi j'ai copié ceci :
Code:

1 2 3 4 <httpModules> <add name="RequestLoggerModule" type="RequestLoggerIntranet.RequestLoggerModule, RequestLoggerIntranet"/> </httpModules>
entre

Code:

<system.web> </system.web>

dans le web.config de mon application.

Et après compilation et exécution de mon application j'ai l'erreur suivante :

Citation:

Server Error in '/' Application.
Configuration Error
Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration file appropriately.

Parser Error Message: Could not load type 'RequestLoggerIntranet.RequestLoggerModule' from assembly 'RequestLoggerIntranet'. (C:\Intranet\Intranet\web.config line 53)

Source Error:

Line 51:
Line 52: <httpModules>
Line 53: <add name="RequestLoggerModule" type="RequestLoggerIntranet.RequestLoggerModule, RequestLoggerIntranet"/>
Line 54: </httpModules>
Line 55:

Que puis-je faire s'il vous plait ?

Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1

27/02/2011, 19h19
Nathanael Marchand

Le type n'est pas bon, il doit être comme ceci je pense:

Code:

<add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>

M'enfin ca n'empeche que c'est assez compliqué ce dans quoi tu t'embarques. Sois pragmatique et demande toi si il y'a un réel interet. Implémenter un système de redirection d'url implique de vraiment bien connaître le web pour gérer les URLs et les verbes HTTP. Moi même, je ne le tenterai pas (pour faire joujou pourquoi pas mais certainement pas sur un truc destiné à de la prod)!

Edit: A relire le fil entier, ca ne vaut vraiment pas le coup de réécrire les urls pour prévenir les injections. En php pourquoi pas mais ASP.Net et relativement bien foutu. A condition de respecter quelques règles: ne pas passer de requêtes en paramètres (mais bon ca me parait logique) et toujours utiliser les requêtes parametrées (et pas la concatenation)
27/02/2011, 22h23
maparè
Citation:

Envoyé par PitMaverick78

Le type n'est pas bon, il doit être comme ceci je pense:

Code:

<add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/>

M'enfin ca n'empeche que c'est assez compliqué ce dans quoi tu t'embarques. Sois pragmatique et demande toi si il y'a un réel interet. Implémenter un système de redirection d'url implique de vraiment bien connaître le web pour gérer les URLs et les verbes HTTP. Moi même, je ne le tenterai pas (pour faire joujou pourquoi pas mais certainement pas sur un truc destiné à de la prod)!

Edit: A relire le fil entier, ca ne vaut vraiment pas le coup de réécrire les urls pour prévenir les injections. En php pourquoi pas mais ASP.Net et relativement bien foutu. A condition de respecter quelques règles: ne pas passer de requêtes en paramètres (mais bon ca me parait logique) et toujours utiliser les requêtes parametrées (et pas la concatenation)

En fait ce n'est pas un projet perso, c'est le coordonnateur du service où je travaille qui a demandé cela après avoir testé l'application et constaté qu'en copiant le lien permettant la modification du mot passe d'un utilisateur et le le lancer dans le navigateur permettais l'accès à ceci.

J'ai mis le bon type comme tu la suggérer , après quoi j'ai vu dans un nouvelle erreur affichée que l'accès au fichier RequestLog.txt est refusé.
Pour accorder l'accès j'ai fais ceci :

Code:

StreamWriter sw = new StreamWriter(app.Server.MapPath("~/App_Data/RequestLog.txt"), true);

Après compilation, remplacement du RequestLoggerIntranet.dll et exécution j'ai çà :
Citation:
Server Error in '/' Application.
Multiple types were found that match the controller named 'Home'. This can happen if the route that services this request ('{controller}/{action}/{id}') does not specify namespaces to search for a controller that matches the request. If this is the case, register this route by calling an overload of the 'MapRoute' method that takes a 'namespaces' parameter.
The request for 'Home' has found the following matching controllers:
RequestLoggerIntranet.Controllers.HomeController
Nism.Controllers.HomeController

Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.InvalidOperationException: Multiple types were found that match the controller named 'Home'. This can happen if the route that services this request ('{controller}/{action}/{id}') does not specify namespaces to search for a controller that matches the request. If this is the case, register this route by calling an overload of the 'MapRoute' method that takes a 'namespaces' parameter.

The request for 'Home' has found the following matching controllers:
RequestLoggerIntranet.Controllers.HomeController
Nism.Controllers.HomeController
27/02/2011, 22h32
Nathanael Marchand

Citation:

Envoyé par maparè

En fait ce n'est pas un projet perso, c'est le coordonnateur du service où je travaille qui a demandé cela après avoir testé l'application et constaté qu'en copiant le lien permettant la modification du mot passe d'un utilisateur et le le lancer dans le navigateur permettais l'accès à ceci.

C'est bien la dessus qu'il faut travailler! J'ai pas compris ta phrase en fait. N'importe qui peut changer le password de tout le monde?
28/02/2011, 00h38
maparè

Citation:

Envoyé par PitMaverick78

C'est bien la dessus qu'il faut travailler! J'ai pas compris ta phrase en fait. N'importe qui peut changer le password de tout le monde?

En utilisant deux comptes :
Il s'est connecté avec le 1er puis a ouvert le formulaire
de changement de mot de passe de celui-ci et a copié le lien correspondant :

http://localhost:1234/Account/ChangePassword
Après il s'est déconnecté et utilisé le deuxième compte.
En étant connecté avec le 2ème compte il a collé le lien de changement
de mot de passe du 1er et là il s'est retrouvé dans le compte de celui-ci.
Depuis il nous a demandé de faire le Re-writing URL pour éviter les
injections sql que je n'avais même pas entendu auparavant.
28/02/2011, 08h03
Nathanael Marchand

Citation:

Envoyé par maparè

En utilisant deux comptes :
Il s'est connecté avec le 1er puis a ouvert le formulaire
de changement de mot de passe de celui-ci et a copié le lien correspondant :

http://localhost:1234/Account/ChangePassword
Après il s'est déconnecté et utilisé le deuxième compte.
En étant connecté avec le 2ème compte il a collé le lien de changement
de mot de passe du 1er et là il s'est retrouvé dans le compte de celui-ci.
Depuis il nous a demandé de faire le Re-writing URL pour éviter les
injections sql que je n'avais même pas entendu auparavant.

Ben dans ce cas la c'est le parcours qui est mal concu. Pas besoin de faire de l'url rewriting. De toute facon, réecrire l'url ca fait que masquer une petit peu mais ca ne corrige pas.

Citation:

Envoyé par PitMaverick78

Ben dans ce cas la c'est le parcours qui est mal concu. Pas besoin de faire de l'url rewriting. De toute facon, réecrire l'url ca fait que masquer une petit peu mais ca ne corrige pas.

Bonjour PitMaverick78,

En fait on a donné au super la possibilité de changer les mots de passe des utilisateurs sinon plus de souci dans ce sens, néanmoins je dois faire l'url rewriting.

Maintenant mon Module http est créé et on voit maintenant le fichier RequestLog.txt vide dans le répertoire App_Data du site.

A partir d'ici qu'est-ce que je dois faire pour que l'url rewriting marche?
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Web; using System.IO; namespace RequestLoggerIntranet.Models { //[HandleError] public class RequestLoggerModule : IHttpModule { #region IHttpModule Members public void Dispose() { } public void Init(HttpApplication context) { context.BeginRequest += new EventHandler(context_BeginRequest); } void context_BeginRequest(object sender, EventArgs e) { HttpApplication app = sender as HttpApplication; StreamWriter sw = new StreamWriter(("D:/Intranet/Intranet/App_Data/RequestLog.txt"), true); StreamReader reader = new StreamReader(app.Request.InputStream); sw.WriteLine(reader.ReadToEnd()); sw.Close(); } #endregion } }
Code:

1 2 3 <httpModules> <add name="RequestLoggerModule" type="RequestLoggerIntranet.Models.RequestLoggerModule, RequestLoggerIntranet"/> </httpModules>

28/02/2011, 21h05
Nathanael Marchand

Rien! Je vais être plus clair qu'au dessus: CA NE CORRIGE PAS TON PROBLEME :D

Si tu mets en place l'url rewriting la manip que ton supérieur à fait fonctionnera de la même manière, sauf que ca sera une chaine illisible.
De plus l'url rewriting va rentrer en conflit avec l'url rewriting pratiqué par ASP.Net MVC de base. Clairement ca n'est pas la bonne solution.

C'est plutôt la conception du site qu'est à revoir et la sécurisation.
Tu peux par exemple te servir de ca:
http://msdn.microsoft.com/en-us/libr...attribute.aspx
01/03/2011, 19h43
maparè

Citation:

Envoyé par PitMaverick78

Rien! Je vais être plus clair qu'au dessus: CA NE CORRIGE PAS TON PROBLEME :D

Si tu mets en place l'url rewriting la manip que ton supérieur à fait fonctionnera de la même manière, sauf que ca sera une chaine illisible.
De plus l'url rewriting va rentrer en conflit avec l'url rewriting pratiqué par ASP.Net MVC de base. Clairement ca n'est pas la bonne solution.

C'est plutôt la conception du site qu'est à revoir et la sécurisation.
Tu peux par exemple te servir de ca:
http://msdn.microsoft.com/en-us/libr...attribute.aspx

Bonjour PitMaverick78,

Je vais consulter alors ce site et voir ce que je peux faire.

Salut PitMaverick78,

En fait l'Attribut [Authorize] était utilisée mais sans la propriété Roles, en ajoutant celle-ci la manipulation faite par mon supérieur n'est plus possible :

Code:

[Authorize(Roles = "Admin, Super User")]

Je suis content pour ton aide précieuse et t'en remercie infiniment. :ccool: