الصفحة الرئيسية>PHP كود المصدر>فئات أخرى
تنزيل

Pedroac/nonce لـ PHP

مكتبة PHP لإدارة غير مفيدة لمنع هجمات CSRF وإعادة التشغيل.

قد نجد العديد من المقالات ومقاطع الفيديو التي تشرح نقاط الضعف التي يحاول الأشخاص غير المتخصصين منعها:

  • يوتيوب - Jmaxxz - شرح CSRF
  • يوتيوب - البروفيسور ميسر - تزوير طلب عبر المواقع
  • يوتيوب - البروفيسور ميسر - هجمات الإعادة
  • YouTube - Hak5 - كيفية اختراق أجهزة التحكم عن بعد اللاسلكية باستخدام هجمات إعادة تشغيل الراديو
  • رعب الترميز - منع هجمات CSRF وXSRF
  • acunetix - هجمات CSRF، XSRF أو Sea-Surf
  • SitePoint - كيفية منع هجمات إعادة التشغيل على موقع الويب الخاص بك

على الرغم من ذلك، يبدو أن العديد من مكتبات PHP غير مقيدة للغاية، إلى جانب بعض الإطارات، ويصعب استخدامها أو يصعب فهم كيفية عملها.

يحاول pedroac/nonce حل هذه المشكلات.

يسمح باختيار أي تطبيق PSR-16 للتخزين مؤقتًا لمولدات القيم noces وفترات انتهاء الصلاحية وحتى موفر DateTime لتجاوز نظام الساعة (يتم استخدام هذه الميزة لاختبارات الوحدة).

كما يوفر أيضًا مساعدين لإدارة المدخلات، وإنشاء أسماء وقيم عشوائية، والتحقق من الرموز المميزة المقدمة مقابل الرقم، وإنشاء عناصر HTML.

المتطلبات الأساسية

  • PHP 7.1 أو الأحدث: http://php.net/downloads.php
  • الملحن: https://getcomposer.org
  • تطبيق PSR-16 واحد على الأقل. أمثلة:
    • سيمفوني/ذاكرة التخزين المؤقت
    • ماتياسمولي/سجل القصاصات

التثبيت

قم بتشغيل الأمر:

composer require pedroac/nonce

الاستخدام

أمثلة

  • باستخدام Symfony ArrayCache
  • اختبار كلي
  • نموذج HTML باستخدام الجلسة
  • نموذج HTML باستخدام اسم nonce تم إنشاؤه تلقائيًا
  • نموذج HTML باستخدام المساعد

يمكن اختبار نماذج HTML باستخدام خادم ويب PHP مدمج.
من مجلد php/examples قم بتشغيل الأمر: 

php -S localhost:8000

استخدم عنوان URL http://localhost:8000/ في المتصفح.

نموذج HTML مع رمز مميز

  1. إنشاء مساعد نموذج nonce: 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );
  1. تحقق مما إذا تم إرسال رمز مميز صالح: 
 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}
  1. تحقق مما إذا تم إرسال رمز مميز غير صالح: 
 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}
  1. تنفيذ نموذج HTML: 
<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

تنتهي صلاحية الرقم nonce تلقائيًا عند التحقق من الرمز المميز باستخدام فئة NonceForm .

الاستخدام العام

  1. إنشاء مثيل لمدير nonce: 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );
  1. عند إرسال طلب، قم بالتحقق من صحة الرمز المميز المقدم وإزالة الرقم: 
 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}
  1. قم بإنشاء nonce عندما يكون ذلك مناسبًا: 
 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}
  1. استخدم الاسم والقيمة nonce لإنشاء نموذج HTML على سبيل المثال: 
 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

خيارات

إلى جانب تخزين ذاكرة التخزين المؤقت nonces، من الممكن تحديد منشئ قيمة nonce العشوائية والفاصل الزمني لانتهاء الصلاحية: 

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

من الممكن أيضًا إنشاء nonce باسم محدد: 

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

مصدر الإدخال الافتراضي NonceForm هو $_POST، لكنه يقبل أي إدخال للصفيف: 

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);

تشغيل الاختبارات

تشغيل من المجلد الجذر للمكتبة:

php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml

إذا كانت الاختبارات ناجحة، فيجب أن يكون لدى php/tests/coverage-html تقرير تغطية الكود.

إنشاء وثائق HTML

تشغيل من المجلد الجذر للمكتبة:

sh scripts/generate-docs.sh

يجب أن تكون الوثائق التي تم إنشاؤها داخل المجلد docs .

الإصدار

وينبغي استخدامه SemVer للإصدارات.

المؤلفون

  • بيدرو أمارال كوتو - العمل الأولي - https://github.com/pedroac

رخصة

يتم إصدار Pedroac/nonce بموجب ترخيص MIT العام.
راجع الترخيص المرفق للحصول على التفاصيل.

شكر وتقدير

تم تطوير المكتبة كاستجابة لطلب خاص بواسطة مستخدم Stackoverflow.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل