Embed Size (px)
Citation preview
Jeudi, 20 août 2009
Sécurité informatique
Cégep de St-HyacintheCégep de St-Hyacinthe
Par Hugo St-Louis
Plan
Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité
Topologie d’une application webTopologie d’une application web
Problèmes de sécuritéProblèmes de sécurité
Logique de l’application– Logique de l’application maison– Logique des applications externes
Authentification Vérification des données usager
– SQL injection– Cross site scripting (xss)
Phishing (hameçonnage)
Solutions à la logique de Solutions à la logique de l’applicationl’application
Chaque attaque est différente Exploite la logique de l’application Difficile à détecter Exemples:
– Acheter un livre de -20$– Créer un million d’usagers et écrire des messages– Enlever le câble réseau au milieu d’une partie
d’échec Exploite une faille
– http://fr.wikipedia.org/wiki/Vulnérabilité_(informatique)– http://cve.mitre.org/data/downloads/
Solutions aux problèmes de Solutions aux problèmes de sécuritésécurité
Authentification– Canal de communication sécurisé (https)
Solutions aux problèmes Solutions aux problèmes d’authentificationd’authentification
Authentification– Réauthentification à
des intervalles sécurisés
– Permission des usagers
– Authentifier le client– Authentifier le
serveur
Vérification des données Vérification des données (SQL Injection)(SQL Injection)
Vérification des données Vérification des données (SQL Injection)(SQL Injection)
Vérification des donnéesVérification des données(SQL Injection)(SQL Injection)
Vérification des données(Cross site scripting (XSS))XSS))
Vérification des données(Cross site scripting (XSS))XSS))
Solution à la vérification des données
• Valider les données de l’usager sur le serveur Web et/ou sur le serveur d’applications
• Limiter la taille de l’entrée• Refuser les caractères spéciaux ‘ “ \ / ; - < >• Accepter seulement les caractères nécessaires• Utiliser les SQL Stored Procedures• Gérer les permissions sur la basé de données• usagers, rôles, permissions
Phishing (hameçonnage)Phishing (hameçonnage)
Solution au Phishing Solution au Phishing (hameçonnage)(hameçonnage)
•Filtrer le spam•Authentification du serveur•Éduquer les utilisateurs
Sécurité sous .NET
Autres techniques
Plan
Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité
Sécurité sous .NET
Lire le document et on en continue sur le même sujet la semaine prochaine
Sécurité sous .NET
Deux approches pour la gestion des droits des utilisateurs
Les rôles– Role de l’utilisateur. Similaire aux groupes. Meta
utilisateur. C’est le framework qui décide si un utilisateur a le droit d’effectuer certaines actions.
PrincipalPermission
Sécurité sous .NET
Une gestion de la sécurité avant d’exécuter du code
– CAS Bloquer le code malveillant
Sécurité sous .NET
Comment contrer la Décompilation sous .net
– Déplacer le code vers les serveurs– Utiliser un obfuscateur de code– Compiler le code
Plan
Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité
Sécurité sous ASP.NET
Sécurité sous ASP.NET
Fonctionnement de la sécurité– Authentification– Autorisation
Rôles Permissions
Sécurité sous ASP.NET
Fonctionnement de la sécurité
Sécurité sous ASP.NET
Login par formulaire
– Lier le code du formulaire avec la gestion des rôles, permission, etc. (web.config)
Sécurité sous ASP.NET
Login par impersonnalisation– Base la validation par la gestion NTFS de
l’utilisateur et doit être filtré par IP dans IIS Intéressant pour les Intranets
Plan
Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité
