La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Programmation CGI Principe Général Traitement des informations

Publié parCupidon Leroux Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "La Programmation CGI Principe Général Traitement des informations"— Transcription de la présentation:

0 Common Gateway Interface
Programmation CGI Common Gateway Interface Julien FAURE - Fabien FONTVIEILLE - Nicolas HERRERO

1 La Programmation CGI Principe Général Traitement des informations
Sécurité et CGI

2 Section I Principe Général des CGI
La Programmation CGI Section I Principe Général des CGI

3 Description Générale Intérêt des CGI Modification dynamique de page web (page non statique) Norme CGI Interface entre une application et un serveur (donnée -> HTML) Script CGI : programme exécutable avec des droits : r-xr-xr-x Exécuté par le serveur (Web) dans un répertoire spécifique Transparent pour les utilisateurs Programmé en différents langages (Perl, C/C++, Shell Unix, ...)

4 Exemple en Perl scriptcgi.pl : exécution automatique #!/usr/bin/perl
print "Content-type:text/html\n\n"; # sortie de type text/html print <<EOF; # ligne libre obligatoire (\n\n) <HTML> <HEAD><TITLE>Script CGI</TITLE></HEAD> <BODY BGCOLOR=\"#FFFFFF\"> <BR><BR><BR><BR> <CENTER> <H1> Salut à tous<p>voici le résultat d’un script CGI </H1> </CENTER> </BODY> </HTML> EOF

5 Exemple en C scriptcgi : doit être compilé #include <stdio.h>
main() { printf ("Content-type:text/html\n\n"); printf("<HTML><HEAD><TITLE>Script CGI</TITLE></HEAD>\n"); printf("<BODY BGCOLOR=\"#FFFFFF\">\n"); printf("<BR><BR><BR><BR>\n"); printf("<CENTER><H1>\n"); printf("Salut à tous<p>voici le résultat d’un script CGI\n"); printf("</H1></CENTER>\n"); printf("</BODY>\n"); printf("</HTML>\n"); }

6 Exemple Appel des CGI :

7 Description Générale Utilisation des CGI : Traitement de formulaire
Webmails, chat Interrogation de BDD Compteurs, Livre d ’Or,...

8 Interaction Formulaire et CGI
Utilisateur Serveur CGI Requête URL Charge le formulaire Complète puis validation Traitement des données Réception des données

9 Section II Traitement des Informations
La Programmation CGI Section II Traitement des Informations

10 Appel des CGI Lien <A HREF=“/cgi-bin/monscript.cgi“> appel CGI </A> Image <IMG SRC=“/cgi-bin/compteur.cgi“> SSI (Server Side Includes) <!--#exec cgi= “/cgi-bin/compteur.cgi“--> <!--#include virtual= “/cgi-bin/monscript.cgi“--> Formulaires <FORM ACTION=“/cgi-bin/monscript.cgi“ METHOD= “get“>

11 Les Formulaires HTML

12 Les Formulaires HTML

13 Les méthodes POST et GET
Méthode GET Réception des données : Variable d’environnement QUERY_STRING Pas de données trop importantes ni trop confidentielles Arguments passés dans l’URL (1024 caractères maximum) Méthode POST Données transmises via l’entrée standard (STDIN) Taille des données dans la variable CONTENT_LENGTH Dans les 2 cas Données transmises au format URL-encoded (les espaces sont remplacés par des +, les ~ par %7E … ) Nécessité d’une « moulinette » pour retrouver les bons caractères

14 Le CGI en C

15 Exécution avec la méthode GET

16 Exécution avec la méthode POST

17 Remarques Les bibliothèques On peut utiliser des bibliothèques existantes pour faciliter le traitement exemple en C : avec la bibliothèque cgi-util char name[1024]; cgiinit(); getentry(name, “Name“); Les variables d’environnement QUERY_STRING, REQUEST_METHOD, CONTENT_LENGTH HTTP_REFERER : URL de la source REMOTE_ADDR : IP du client HTTP_USER_AGENT : Signature du navigateur …

18 Section III Sécurité et CGI
La Programmation CGI Section III Sécurité et CGI

19 Les Dangers des CGI Risques de « plantage » du serveur Appel en boucle d’un CGI en vue de faire monter la charge système ou envoi d’une trop grande quantité de données. Risques d’intrusion Exécution d’une commande non voulue sur le serveur permettant de détruire le système ou de voler des fichiers confidentiels (/etc/password)

20 Les Risques de Plantage
Attaques de type DOS ( Denial Of Service ) Le pirate cherche à rendre inactif le système, à le faire « crasher » en occupant toutes les ressources mémoire ou CPU du serveur. Problème de BUFFER OVERFLOW La taille des données envoyées est supérieure à celle de la variable utilisée dans le script pour les stocker.

21 Les Risques de Vol d’informations
Un script CGI mal écrit peut permettre à une personne malveillante d’accéder à certains fichiers sensibles. Le pirate peut récupérer les mots de passe utilisateurs par le biais du fichier /etc/passwd, il y a perte de confidentialité. Le cracker peut modifier le code de manière à pouvoir exécuter d’autres commandes.

22 Ne faites jamais confiance aux données fournies par l’utilisateur.
Stratégie et Solutions de Sécurité Une des principales stratégie à adopter peut se résumer en une brève maxime: Ne faites jamais confiance aux données fournies par l’utilisateur. Les problèmes de sécurité surviennent lorsque des suppositions sont faîtes sur les données et sur les utilisateurs qui ne font jamais ce qui est attendu, de façon volontaire ou involontaire. Pour sécuriser un script CGI, il faut faire preuve de créativité en imaginant tous les cas possibles.

23 Réduire les Risques de Plantage
Il faut vérifier la validité des informations reçues du client. Origine des données Il faut s’assurer grâce à la variable d’environnement HTTP_REFERER que la requête vient bien du site web et non d ’une autre adresse. Cohérence des données Il faut vérifier la taille des entrées avant tout traitement ce qui permettra de refuser le traitement si la taille excède celle attendue.

24 Réduire les Risques d’Intrusion
 Au niveau du programme CGI L’utilisateur et le groupe auxquels de programme CGI appartient doivent avoir des droits limités. ex : utilisateur nobody Le programme CGI ne doit pas être accessible en écriture, afin d’empêcher un éventuel pirate de lui ajouter du code, ce qui reviendrais à lui laisser un accès au shell du serveur. droits : 555 (r-x r-x r-x) …soit lecture et exécution pour tous, écriture impossible

25 Réduire les Risques d’Intrusion
 Au niveau du répertoire Le répertoire dans lequel sont stockés les CGI (cgi-bin) ne doit pas être accessible en écriture par n’importe qui afin d’empêcher qu’un pirate n’ajoute un script malveillant sur le serveur.  Au niveau des fichiers de données Les fichiers de données dans lesquels le CGI peut écrire ne doivent être accessible en écriture que par le propriétaire du CGI . droits 644 (rw- r- - r- -) …soit lecture et écriture pour le propriétaire et lecture seule pour les autres

26 Remarques Importance du langage de programmation Les CGI compilés (langages C,C++…) sont plus sûrs car l’accès aux sources est plus compliqué, voir impossible. Les CGI interprétés (langage Perl, scripts shell …) sont plus vulnérables, et consomment plus de ressources. Un serveur Web n’est pas un serveur d’applications Les CGI ne doivent pas réaliser directement des traitements lourds. Il faut déléguer ces tâches au serveur d’applications afin de préserver les ressources du serveur Web.

27 La Programmation CGI En Conclusion …

28 La Programmation CGI Un outil puissant, mais complexe
Des risques non négligeables Les alternatives : ASP, PHP, JSP…

Télécharger ppt "La Programmation CGI Principe Général Traitement des informations"

Présentations similaires

UNIX Pour débutant. Applications En directNavigateurCourrierMode consoleFenêtrage http smtp ssh X protocoles - langages de programmation protocoles -

UNIX Pour débutant. Applications En directNavigateurCourrierMode consoleFenêtrage http smtp ssh X protocoles - langages de programmation protocoles -
TER Gestionnaires de contenu en ligne

TER Gestionnaires de contenu en ligne
12/10/2000Cédric Bertho - Comparaison entre Perl et Python1 vs Comparaison.

12/10/2000Cédric Bertho - Comparaison entre Perl et Python1 vs Comparaison.
L’architecture .net et ASP.net

L’architecture .net et ASP.net
Introduction Aux Systèmes dInformation et Multimédia T. Bourdeaudhuy S. Collart-Dutilleul P. Kubiak IG 2 I - Saison 2006/2007 ASP / Pages Web Statiques.

Introduction Aux Systèmes dInformation et Multimédia T. Bourdeaudhuy S. Collart-Dutilleul P. Kubiak IG 2 I - Saison 2006/2007 ASP / Pages Web Statiques.
TRANSFER Alger – Serveur Web Nicolas Larrousse Septembre 2002 1 Petit historique du Worl Wide Web Notion dHypertexte Extension à internet par Tim Berners.

TRANSFER Alger – Serveur Web Nicolas Larrousse Septembre Petit historique du Worl Wide Web Notion dHypertexte Extension à internet par Tim Berners.
Utilisation de l’outil Firebug

Utilisation de l’outil Firebug
Objectifs Présentation et utilisation du langage PERL

Objectifs Présentation et utilisation du langage PERL
HTML Les types de balises

HTML Les types de balises
Web dynamique : solutions Sessions sous HTTP

Web dynamique : solutions Sessions sous HTTP
TP 3-4 BD21.

TP 3-4 BD21.
10:59:29 Programmation Web 2012-2013 1 Programmation Web : PHP Jérôme CUTRONA

10:59:29 Programmation Web Programmation Web : PHP Jérôme CUTRONA
11:16:331 Programmation Web 2012-2013 Programmation Web : Formulaires HTML Jérôme CUTRONA

11:16:331 Programmation Web Programmation Web : Formulaires HTML Jérôme CUTRONA
Architecture de machines Principes généraux

Architecture de machines Principes généraux
16/10/10 Préparé par: Ing. Rodrigue Osirus (+509) 37007443, *** Site web dynamique.

16/10/10 Préparé par: Ing. Rodrigue Osirus (+509) , *** Site web dynamique.
Introduction aux CMS.

Introduction aux CMS.
Unix Raymond Ripp.

Unix Raymond Ripp.
Common Gateway Interface

Common Gateway Interface
Le Téléphone Russe Le Téléphone Russe. Le Téléphone Russe Le Téléphone Russe.

Le Téléphone Russe Le Téléphone Russe. Le Téléphone Russe Le Téléphone Russe.
LOG 02 Bases de Données Avancées Rappels sur JSP / Servlet

LOG 02 Bases de Données Avancées Rappels sur JSP / Servlet

Présentations similaires

Annonces Google