Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis
Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité
Topologie dune application web
Problèmes de sécurité Logique de lapplication – Logique de lapplication maison – Logique des applications externes Authentification Vérification des données usager – SQL injection – Cross site scripting (xss) Phishing (hameçonnage)
Solutions à la logique de lapplication Chaque attaque est différente Exploite la logique de lapplication Difficile à détecter Exemples: – Acheter un livre de -20$ – Créer un million dusagers et écrire des messages – Enlever le câble réseau au milieu dune partie déchec Exploite une faille – que) que) –
Solutions aux problèmes de sécurité Authentification – Canal de communication sécurisé (https)
Solutions aux problèmes dauthentification Authentification – Réauthentification à des intervalles sécurisés – Permission des usagers – Authentifier le client – Authentifier le serveur
Vérification des données (SQL Injection)
XSS)) Vérification des données (Cross site scripting (XSS))
Solution à la vérification des données Valider les données de lusager sur le serveur Web et/ou sur le serveur dapplications Limiter la taille de lentrée Refuser les caractères spéciaux \ / ; - Accepter seulement les caractères nécessaires Utiliser les SQL Stored Procedures Gérer les permissions sur la basé de données usagers, rôles, permissions
Phishing (hameçonnage)
Solution au Phishing (hameçonnage) Filtrer le spam Authentification du serveur Éduquer les utilisateurs
Sécurité sous.NET Autres techniques
Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité
Sécurité sous.NET Lire le document et on en continue sur le même sujet la semaine prochaine
Sécurité sous.NET Deux approches pour la gestion des droits des utilisateurs Les rôles – Role de lutilisateur. Similaire aux groupes. Meta utilisateur. Cest le framework qui décide si un utilisateur a le droit deffectuer certaines actions. PrincipalPermission
Sécurité sous.NET Une gestion de la sécurité avant dexécuter du code – CAS Bloquer le code malveillant
Sécurité sous.NET Comment contrer la Décompilation sous.net – Déplacer le code vers les serveurs – Utiliser un obfuscateur de code – Compiler le code
Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité
Sécurité sous ASP.NET
Fonctionnement de la sécurité – Authentification – Autorisation Rôles Permissions
Sécurité sous ASP.NET Fonctionnement de la sécurité
Sécurité sous ASP.NET Login par formulaire – Lier le code du formulaire avec la gestion des rôles, permission, etc. (web.config)
Sécurité sous ASP.NET Login par impersonnalisation – Base la validation par la gestion NTFS de lutilisateur et doit être filtré par IP dans IIS Intéressant pour les Intranets
Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité