CSRF的防禦例項(PHP)

pythontab發表於2014-11-21
原文網址 : https://www.pythontab.com/html/2014/php_1121/923.html
PHP

  CSRF的防禦可以從服務端和客戶端兩方面著手,防禦效果是從服務端著手效果比較好,現在一般的CSRF防禦也都在服務端進行。

  1.服務端進行CSRF防禦

  服務端的CSRF方式方法很多樣,但總的思想都是一致的,就是在客戶端頁面增加偽隨機數。

  (1).Cookie Hashing(所有表單都包含同一個偽隨機值):

  這可能是最簡單的解決方案了,因為攻擊者不能獲得第三方的Cookie(理論上),所以表單中的資料也就構造失敗了:>

 

 <?php
    //構造加密的Cookie資訊
    $value = “DefenseSCRF”;
    setcookie(”cookie”, $value, time()+3600);
  ?>

  在表單裡增加Hash值,以認證這確實是使用者傳送的請求。

  <?php
    $hash = md5($_COOKIE['cookie']);
  ?>
  <form method=”POST” action=”transfer.php”>
    <input type=”text” name=”toBankId”>
    <input type=”text” name=”money”>
    <input type=”hidden” name=”hash” value=”<?=$hash;?>”>
    <input type=”submit” name=”submit” value=”Submit”>
  </form>

  然後在伺服器端進行Hash值驗證

    <?php
        if(isset($_POST['check'])) {
             $hash = md5($_COOKIE['cookie']);
             if($_POST['check'] == $hash) {
                  doJob();
             } else {
        //...
             }
        } else {
      //...
        }
      ?>

  這個方法個人覺得已經可以杜絕99%的CSRF攻擊了,那還有1%呢....由於使用者的Cookie很容易由於網站的XSS漏洞而被盜取,這就另外的1%。一般的攻擊者看到有需要算Hash值,基本都會放棄了,某些除外,所以如果需要100%的杜絕,這個不是最好的方法。

  (2).驗證碼

  這個方案的思路是:每次的使用者提交都需要使用者在表單中填寫一個圖片上的隨機字串,厄....這個方案可以完全解決CSRF,但個人覺得在易用性方面似乎不是太好,還有聽聞是驗證碼圖片的使用涉及了一個被稱為MHTML的Bug,可能在某些版本的微軟IE中受影響。

  (3).One-Time Tokens(不同的表單包含一個不同的偽隨機值)

  在實現One-Time Tokens時,需要注意一點:就是“並行會話的相容”。如果使用者在一個站點上同時開啟了兩個不同的表單,CSRF保護措施不應該影響到他對任何表單的提交。考慮一下如果每次表單被裝入時站點生成一個偽隨機值來覆蓋以前的偽隨機值將會發生什麼情況:使用者只能成功地提交他最後開啟的表單,因為所有其他的表單都含有非法的偽隨機值。必須小心操作以確保CSRF保護措施不會影響選項卡式的瀏覽或者利用多個瀏覽器視窗瀏覽一個站點。

  以下我的實現:

  1).先是令牌生成函式(gen_token()):

 <?php
     function gen_token() {
     //這裡我是貪方便,實際上單使用Rand()得出的隨機數作為令牌,也是不安全的。
    //這個可以參考我寫的Findbugs筆記中的《Random object created and used only once》
          $token = md5(uniqid(rand(), true));
          return $token;
     }

  2).然後是Session令牌生成函式(gen_stoken()):

     <?php
       function gen_stoken() {
      $pToken = "";
      if($_SESSION[STOKEN_NAME]  == $pToken){
        //沒有值,賦新值
        $_SESSION[STOKEN_NAME] = gen_token();
      }    
      else{
        //繼續使用舊的值
      }
       }
     ?>

  3).WEB表單生成隱藏輸入域的函式:  

     <?php
       function gen_input() {
            gen_stoken();
            echo “<input type=\”hidden\” name=\”" . FTOKEN_NAME . “\”
                 value=\”" . $_SESSION[STOKEN_NAME] . “\”> “;
       }
     ?>

  4).WEB表單結構:

     <?php
          session_start();
          include(”functions.php”);
     ?>
     <form method=”POST” action=”transfer.php”>
          <input type=”text” name=”toBankId”>
          <input type=”text” name=”money”>
          <? gen_input(); ?>
          <input type=”submit” name=”submit” value=”Submit”>
     </FORM>

  5).服務端核對令牌:

  這個很簡單,這裡就不再囉嗦了。

  上面這個其實不完全符合“並行會話的相容”的規則,大家可以在此基礎上修改。


文章參考自:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

相關文章