SlideShare ist ein Scribd-Unternehmen logo

Securité asp.net

T
Trifi Oussama
1 von 5
Downloaden Sie, um offline zu lesen
Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 1 Sommaire I. Sécurité ASP.Net ............................................................................................................................. 1 1. Les balises authentification et autorisation................................................................................... 1 2. L’autorisation à un fichier particulier............................................................................................ 2 3. La destruction des cookies............................................................................................................ 4 I. Sécurité ASP.Net 1. Les balises authentification et autorisation A la fin du fichier web.config <!--The <authentication> section enables configuration of the security authentication mode used by ASP.NET to identify an incoming user.--> <authentication mode="Forms"> <forms loginUrl="login.aspx" protection="All" path="/" name="users"> </forms> </authentication> <authorization> <deny users="?"/> </authorization> </system.web> </configuration> On doit remplacer “loginUrl="login.aspx" par la page login correspondante. <deny users="?"/> Ici nous somme entrain de bloquer tout le site. Le déblocage aura lieu lors de l’ouverture d’une nouvelle session soit par « tuer » les cookies (on va voir par la suite comment faire) Après avoir placé ce bous de code, si on essaye de forcer un lien dans la barre des adresses : Le système renvoie la page automatiquement à login.aspx comme suit :
Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 2 2. L’autorisation à un fichier particulier Après le lancement de la page login, on remarque que le style de la page master page n’est pas appliqué. Comme suit :  Cela est dû du faite que le fichier style.css n’est pas autorisé à être exécuté (vu qu’on a utilisé «DENY » = «ne pas permettre » dans la balise autorisation)  Alors on doit spécifier un bout de code pour l’autorisation d’un dossier particulier
Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 3 Dans ce cas, on remarque bien qu’on a utilisé <allow users="?"/>  C'est-à-dire permettre l’utilisateur à accéder au fichier style.css se trouvant dans le fichier img  L’attribut allowOverride="false : Ici on donne un ordre au système de ne pas remplacer le fichier img (pour des besoins de sécurités, le système remplace les fichiers par des fichiers vides afin de garantir la sécurité) Alors on va avoir le résultat suivant :
Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 4 3. La destruction des cookies La sécurité touche aussi la redirection, c'est-à-dire que RESPONSE.REDIRECT (qui fait la redirection à une autre page) n’est plus fonctionnelle comme d’habitude. Cela est du que le système crées des cookies (des fichiers temporaires utilisées par le système) afin de sécuriser le site. L’idée consiste à détruire les cookies, juste avant la redirection vers la page suivante (par rapport à la page login). Ce travail n’est nécessaire que pour la page login  On doit tout d’abord importer la bibliothèque de sécurité spécifique au framework DotNet : using System.Web.Security;  Le code de la page Login.aspx .cs devient comme suit :
Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 5 protected void Page_Load(object sender, EventArgs e) { this.lblerr.Visible = false; } protected void btn_Valider_Click(object sender, EventArgs e) { SqlConnection cn = new SqlConnection(); cn = Class1.GetConnection(); String txtReq = "Select * from Etudiant where Login = '" + this.txtLogin.Text + "' " + " and pwd = '" + this.txtPwd.Text + " '"; DataTable dt; dt = Class1.Executer_Requete(txtReq, cn, "tb_Etu"); if (dt.Rows.Count == 0) { this.lblerr.Text = "Veuillez vérifier vos paramètres de connexion"; this.lblerr.Visible = true; } else { // iCi nous somme entrain de tuer les cookies avant de permettre la redirection FormsAuthentication.SetAuthCookie("",false); Response.Redirect("Frm_Etd_m.aspx"); } }

Empfohlen

Ws Sv3sur Vist Apar Erol
Ws Sv3sur Vist Apar ErolWs Sv3sur Vist Apar Erol
Ws Sv3sur Vist Apar ErolUGAIA
 
Sécuriser son site wordpress
Sécuriser son site wordpressSécuriser son site wordpress
Sécuriser son site wordpressPrénom Nom de famille
 
Oracle fr
Oracle frOracle fr
Oracle frCompte Bidon
 
Windows Azure : reseaux, équilibreurs de charge et CDN
Windows Azure : reseaux, équilibreurs de charge et CDNWindows Azure : reseaux, équilibreurs de charge et CDN
Windows Azure : reseaux, équilibreurs de charge et CDNMicrosoft Technet France
 
Mon autobiographie[1]
Mon autobiographie[1]Mon autobiographie[1]
Mon autobiographie[1]Will Poyser
 
Pacie en la asignatura economia
Pacie en la asignatura economiaPacie en la asignatura economia
Pacie en la asignatura economiaoliveraquino
 
Herramientas web
Herramientas webHerramientas web
Herramientas webAlejo Vera
 
Twitter pour les musiciens
Twitter pour les musiciensTwitter pour les musiciens
Twitter pour les musiciensriffx
 

Empfohlen

Ws Sv3sur Vist Apar Erol
Ws Sv3sur Vist Apar ErolWs Sv3sur Vist Apar Erol
Ws Sv3sur Vist Apar ErolUGAIA
 
Sécuriser son site wordpress
Sécuriser son site wordpressSécuriser son site wordpress
Sécuriser son site wordpressPrénom Nom de famille
 
Oracle fr
Oracle frOracle fr
Oracle frCompte Bidon
 
Windows Azure : reseaux, équilibreurs de charge et CDN
Windows Azure : reseaux, équilibreurs de charge et CDNWindows Azure : reseaux, équilibreurs de charge et CDN
Windows Azure : reseaux, équilibreurs de charge et CDNMicrosoft Technet France
 
Mon autobiographie[1]
Mon autobiographie[1]Mon autobiographie[1]
Mon autobiographie[1]Will Poyser
 
Pacie en la asignatura economia
Pacie en la asignatura economiaPacie en la asignatura economia
Pacie en la asignatura economiaoliveraquino
 
Herramientas web
Herramientas webHerramientas web
Herramientas webAlejo Vera
 
Twitter pour les musiciens
Twitter pour les musiciensTwitter pour les musiciens
Twitter pour les musiciensriffx
 
Objetos tecnologicos vargas karol
Objetos tecnologicos vargas karolObjetos tecnologicos vargas karol
Objetos tecnologicos vargas karolkarito532
 
Recreo yanira muñoz
Recreo yanira muñozRecreo yanira muñoz
Recreo yanira muñoz97132559
 
Herramientas colaborativas
Herramientas colaborativasHerramientas colaborativas
Herramientas colaborativasPablo José Lucas López-Angulo
 
Slideshare
SlideshareSlideshare
Slideshare21lcp
 
Ecología y Land Art
Ecología y Land ArtEcología y Land Art
Ecología y Land Artflorenciaslida
 
Retrouver les BU de Droit sur Internet - Licence en Droit
Retrouver les BU de Droit sur Internet - Licence en DroitRetrouver les BU de Droit sur Internet - Licence en Droit
Retrouver les BU de Droit sur Internet - Licence en DroitUniversité Aix-Marseille - Service commun de la documentation
 
Colegio nicolás esguerrra
Colegio nicolás esguerrraColegio nicolás esguerrra
Colegio nicolás esguerrraJuan Carlos Flechas Prieto
 
Yessica
YessicaYessica
YessicaMalgiolis Colina
 
Derecho laboral asignacion uno
Derecho laboral asignacion unoDerecho laboral asignacion uno
Derecho laboral asignacion unoPedro Morales
 
Slender Blogger Blogspot
Slender Blogger BlogspotSlender Blogger Blogspot
Slender Blogger BlogspotDplay114
 
Curriculum vitea 2015 mon c.v
Curriculum vitea 2015 mon c.vCurriculum vitea 2015 mon c.v
Curriculum vitea 2015 mon c.vJoël Bourgoin
 
Pacte tunisien : le Pacte des Compétences Tunisiennes Engagées
Pacte tunisien : le Pacte des Compétences Tunisiennes EngagéesPacte tunisien : le Pacte des Compétences Tunisiennes Engagées
Pacte tunisien : le Pacte des Compétences Tunisiennes EngagéesTNwebdays
 
Stolearm
StolearmStolearm
StolearmValentin Planche
 
Camille MERTZ & Aurore DUPONT d’APREMONT -
Camille MERTZ & Aurore DUPONT d’APREMONT - Camille MERTZ & Aurore DUPONT d’APREMONT -
Camille MERTZ & Aurore DUPONT d’APREMONT - MBA ESG
 
15 pacheco rodriguez
15 pacheco rodriguez15 pacheco rodriguez
15 pacheco rodriguezshanned
 
Ppt telethon
Ppt telethonPpt telethon
Ppt telethonAntoine Desgranges
 
Importanciadelasticenlaeducacion 140402130714-phpapp02
Importanciadelasticenlaeducacion 140402130714-phpapp02Importanciadelasticenlaeducacion 140402130714-phpapp02
Importanciadelasticenlaeducacion 140402130714-phpapp02Freddy Oquendo Heredia
 
algoritmo
algoritmoalgoritmo
algoritmoAmandaguzmangonzalez
 
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecleCatherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecleMBA ESG
 
Reflexión sobre la planeacion
Reflexión sobre la planeacionReflexión sobre la planeacion
Reflexión sobre la planeacionOzzito De La Rosa
 
Tuto atelier securisation_site_web
Tuto atelier securisation_site_webTuto atelier securisation_site_web
Tuto atelier securisation_site_websahar dridi
 
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...Christophe Lauer
 

Weitere ähnliche Inhalte

Andere mochten auch

Objetos tecnologicos vargas karol
Objetos tecnologicos vargas karolObjetos tecnologicos vargas karol
Objetos tecnologicos vargas karolkarito532
 
Recreo yanira muñoz
Recreo yanira muñozRecreo yanira muñoz
Recreo yanira muñoz97132559
 
Slideshare
SlideshareSlideshare
Slideshare21lcp
 
Derecho laboral asignacion uno
Derecho laboral asignacion unoDerecho laboral asignacion uno
Derecho laboral asignacion unoPedro Morales
 
Slender Blogger Blogspot
Slender Blogger BlogspotSlender Blogger Blogspot
Slender Blogger BlogspotDplay114
 
Curriculum vitea 2015 mon c.v
Curriculum vitea 2015 mon c.vCurriculum vitea 2015 mon c.v
Curriculum vitea 2015 mon c.vJoël Bourgoin
 
Pacte tunisien : le Pacte des Compétences Tunisiennes Engagées
Pacte tunisien : le Pacte des Compétences Tunisiennes EngagéesPacte tunisien : le Pacte des Compétences Tunisiennes Engagées
Pacte tunisien : le Pacte des Compétences Tunisiennes EngagéesTNwebdays
 
Camille MERTZ & Aurore DUPONT d’APREMONT -
Camille MERTZ & Aurore DUPONT d’APREMONT - Camille MERTZ & Aurore DUPONT d’APREMONT -
Camille MERTZ & Aurore DUPONT d’APREMONT - MBA ESG
 
15 pacheco rodriguez
15 pacheco rodriguez15 pacheco rodriguez
15 pacheco rodriguezshanned
 
Importanciadelasticenlaeducacion 140402130714-phpapp02
Importanciadelasticenlaeducacion 140402130714-phpapp02Importanciadelasticenlaeducacion 140402130714-phpapp02
Importanciadelasticenlaeducacion 140402130714-phpapp02Freddy Oquendo Heredia
 
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecleCatherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecleMBA ESG
 
Reflexión sobre la planeacion
Reflexión sobre la planeacionReflexión sobre la planeacion
Reflexión sobre la planeacionOzzito De La Rosa
 

Andere mochten auch (20)

Objetos tecnologicos vargas karol
Objetos tecnologicos vargas karolObjetos tecnologicos vargas karol
Objetos tecnologicos vargas karol
 
Recreo yanira muñoz
Recreo yanira muñozRecreo yanira muñoz
Recreo yanira muñoz
 
Herramientas colaborativas
Herramientas colaborativasHerramientas colaborativas
Herramientas colaborativas
 
Slideshare
SlideshareSlideshare
Slideshare
 
Ecología y Land Art
Ecología y Land ArtEcología y Land Art
Ecología y Land Art
 
Retrouver les BU de Droit sur Internet - Licence en Droit
Retrouver les BU de Droit sur Internet - Licence en DroitRetrouver les BU de Droit sur Internet - Licence en Droit
Retrouver les BU de Droit sur Internet - Licence en Droit
 
Colegio nicolás esguerrra
Colegio nicolás esguerrraColegio nicolás esguerrra
Colegio nicolás esguerrra
 
Yessica
YessicaYessica
Yessica
 
Derecho laboral asignacion uno
Derecho laboral asignacion unoDerecho laboral asignacion uno
Derecho laboral asignacion uno
 
Slender Blogger Blogspot
Slender Blogger BlogspotSlender Blogger Blogspot
Slender Blogger Blogspot
 
Curriculum vitea 2015 mon c.v
Curriculum vitea 2015 mon c.vCurriculum vitea 2015 mon c.v
Curriculum vitea 2015 mon c.v
 
Pacte tunisien : le Pacte des Compétences Tunisiennes Engagées
Pacte tunisien : le Pacte des Compétences Tunisiennes EngagéesPacte tunisien : le Pacte des Compétences Tunisiennes Engagées
Pacte tunisien : le Pacte des Compétences Tunisiennes Engagées
 
Stolearm
StolearmStolearm
Stolearm
 
Camille MERTZ & Aurore DUPONT d’APREMONT -
Camille MERTZ & Aurore DUPONT d’APREMONT - Camille MERTZ & Aurore DUPONT d’APREMONT -
Camille MERTZ & Aurore DUPONT d’APREMONT -
 
15 pacheco rodriguez
15 pacheco rodriguez15 pacheco rodriguez
15 pacheco rodriguez
 
Ppt telethon
Ppt telethonPpt telethon
Ppt telethon
 
Importanciadelasticenlaeducacion 140402130714-phpapp02
Importanciadelasticenlaeducacion 140402130714-phpapp02Importanciadelasticenlaeducacion 140402130714-phpapp02
Importanciadelasticenlaeducacion 140402130714-phpapp02
 
algoritmo
algoritmoalgoritmo
algoritmo
 
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecleCatherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
Catherine Ribierre, Léa Bouyssou - Le conservatoire municipal au xxieme siecle
 
Reflexión sobre la planeacion
Reflexión sobre la planeacionReflexión sobre la planeacion
Reflexión sobre la planeacion
 

Ähnlich wie Securité asp.net

Tuto atelier securisation_site_web
Tuto atelier securisation_site_webTuto atelier securisation_site_web
Tuto atelier securisation_site_websahar dridi
 
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...Christophe Lauer
 
Prsentationtutoriel 100217133915-phpapp01 (1)
Prsentationtutoriel 100217133915-phpapp01 (1)Prsentationtutoriel 100217133915-phpapp01 (1)
Prsentationtutoriel 100217133915-phpapp01 (1)Eric Bourdet
 
White paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFWhite paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFManfred Touron
 
#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter
#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter
#J2Code2018 - Mettez du feu à vos applications avec CodeIgniterAtsé François-Xavier KOBON
 
JWT-spring-boot-avancer.pdf
JWT-spring-boot-avancer.pdfJWT-spring-boot-avancer.pdf
JWT-spring-boot-avancer.pdfJaouad Assabbour
 
Cd Win Xp Personnalise
Cd Win Xp PersonnaliseCd Win Xp Personnalise
Cd Win Xp PersonnaliseSais Abdelkrim
 
Les fonctions avancées du système d’exploitation
Les fonctions avancées du système d’exploitationLes fonctions avancées du système d’exploitation
Les fonctions avancées du système d’exploitationDa Mi
 
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...PimpMySharePoint
 
Le Développement d’une Application Web
Le Développement d’une Application WebLe Développement d’une Application Web
Le Développement d’une Application WebMalick Mbaye
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?Sylvie CECI
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Ayoub Rouzi
 
Acegi Security
Acegi SecurityAcegi Security
Acegi Securitytarkaus
 
Dp0157 formation-symantec-backup-exec-2012-administration
Dp0157 formation-symantec-backup-exec-2012-administrationDp0157 formation-symantec-backup-exec-2012-administration
Dp0157 formation-symantec-backup-exec-2012-administrationCERTyou Formation
 
Joomla : Akeeba Backup et Amazon S3
Joomla : Akeeba Backup et Amazon S3Joomla : Akeeba Backup et Amazon S3
Joomla : Akeeba Backup et Amazon S3Marc DECHEVRE
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS BelgeKilem
 
Mise en place d'un système de messagerie roundcube sous cent os 7
Mise en place d'un système de messagerie roundcube sous cent os 7Mise en place d'un système de messagerie roundcube sous cent os 7
Mise en place d'un système de messagerie roundcube sous cent os 7Ousmane BADJI
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 

Ähnlich wie Securité asp.net (20)

Tuto atelier securisation_site_web
Tuto atelier securisation_site_webTuto atelier securisation_site_web
Tuto atelier securisation_site_web
 
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
 
Pydio_Apache
Pydio_ApachePydio_Apache
Pydio_Apache
 
Prsentationtutoriel 100217133915-phpapp01 (1)
Prsentationtutoriel 100217133915-phpapp01 (1)Prsentationtutoriel 100217133915-phpapp01 (1)
Prsentationtutoriel 100217133915-phpapp01 (1)
 
X09 00844
X09 00844X09 00844
X09 00844
 
White paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRFWhite paper: SSTIC 2008: Advanced CSRF
White paper: SSTIC 2008: Advanced CSRF
 
#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter
#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter
#J2Code2018 - Mettez du feu à vos applications avec CodeIgniter
 
JWT-spring-boot-avancer.pdf
JWT-spring-boot-avancer.pdfJWT-spring-boot-avancer.pdf
JWT-spring-boot-avancer.pdf
 
Cd Win Xp Personnalise
Cd Win Xp PersonnaliseCd Win Xp Personnalise
Cd Win Xp Personnalise
 
Les fonctions avancées du système d’exploitation
Les fonctions avancées du système d’exploitationLes fonctions avancées du système d’exploitation
Les fonctions avancées du système d’exploitation
 
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
 
Le Développement d’une Application Web
Le Développement d’une Application WebLe Développement d’une Application Web
Le Développement d’une Application Web
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
 
Acegi Security
Acegi SecurityAcegi Security
Acegi Security
 
Dp0157 formation-symantec-backup-exec-2012-administration
Dp0157 formation-symantec-backup-exec-2012-administrationDp0157 formation-symantec-backup-exec-2012-administration
Dp0157 formation-symantec-backup-exec-2012-administration
 
Joomla : Akeeba Backup et Amazon S3
Joomla : Akeeba Backup et Amazon S3Joomla : Akeeba Backup et Amazon S3
Joomla : Akeeba Backup et Amazon S3
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
Mise en place d'un système de messagerie roundcube sous cent os 7
Mise en place d'un système de messagerie roundcube sous cent os 7Mise en place d'un système de messagerie roundcube sous cent os 7
Mise en place d'un système de messagerie roundcube sous cent os 7
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 

Securité asp.net

  • 1. Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 1 Sommaire I. Sécurité ASP.Net ............................................................................................................................. 1 1. Les balises authentification et autorisation................................................................................... 1 2. L’autorisation à un fichier particulier............................................................................................ 2 3. La destruction des cookies............................................................................................................ 4 I. Sécurité ASP.Net 1. Les balises authentification et autorisation A la fin du fichier web.config <!--The <authentication> section enables configuration of the security authentication mode used by ASP.NET to identify an incoming user.--> <authentication mode="Forms"> <forms loginUrl="login.aspx" protection="All" path="/" name="users"> </forms> </authentication> <authorization> <deny users="?"/> </authorization> </system.web> </configuration> On doit remplacer “loginUrl="login.aspx" par la page login correspondante. <deny users="?"/> Ici nous somme entrain de bloquer tout le site. Le déblocage aura lieu lors de l’ouverture d’une nouvelle session soit par « tuer » les cookies (on va voir par la suite comment faire) Après avoir placé ce bous de code, si on essaye de forcer un lien dans la barre des adresses : Le système renvoie la page automatiquement à login.aspx comme suit :
  • 2. Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 2 2. L’autorisation à un fichier particulier Après le lancement de la page login, on remarque que le style de la page master page n’est pas appliqué. Comme suit :  Cela est dû du faite que le fichier style.css n’est pas autorisé à être exécuté (vu qu’on a utilisé «DENY » = «ne pas permettre » dans la balise autorisation)  Alors on doit spécifier un bout de code pour l’autorisation d’un dossier particulier
  • 3. Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 3 Dans ce cas, on remarque bien qu’on a utilisé <allow users="?"/>  C'est-à-dire permettre l’utilisateur à accéder au fichier style.css se trouvant dans le fichier img  L’attribut allowOverride="false : Ici on donne un ordre au système de ne pas remplacer le fichier img (pour des besoins de sécurités, le système remplace les fichiers par des fichiers vides afin de garantir la sécurité) Alors on va avoir le résultat suivant :
  • 4. Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 4 3. La destruction des cookies La sécurité touche aussi la redirection, c'est-à-dire que RESPONSE.REDIRECT (qui fait la redirection à une autre page) n’est plus fonctionnelle comme d’habitude. Cela est du que le système crées des cookies (des fichiers temporaires utilisées par le système) afin de sécuriser le site. L’idée consiste à détruire les cookies, juste avant la redirection vers la page suivante (par rapport à la page login). Ce travail n’est nécessaire que pour la page login  On doit tout d’abord importer la bibliothèque de sécurité spécifique au framework DotNet : using System.Web.Security;  Le code de la page Login.aspx .cs devient comme suit :
  • 5. Formation Dotnet Ahmed LABIDI ingénieur études et développement Dotnet SQL Server 5 protected void Page_Load(object sender, EventArgs e) { this.lblerr.Visible = false; } protected void btn_Valider_Click(object sender, EventArgs e) { SqlConnection cn = new SqlConnection(); cn = Class1.GetConnection(); String txtReq = "Select * from Etudiant where Login = '" + this.txtLogin.Text + "' " + " and pwd = '" + this.txtPwd.Text + " '"; DataTable dt; dt = Class1.Executer_Requete(txtReq, cn, "tb_Etu"); if (dt.Rows.Count == 0) { this.lblerr.Text = "Veuillez vérifier vos paramètres de connexion"; this.lblerr.Visible = true; } else { // iCi nous somme entrain de tuer les cookies avant de permettre la redirection FormsAuthentication.SetAuthCookie("",false); Response.Redirect("Frm_Etd_m.aspx"); } }