nonce4php

Eine Nonce-Manager-PHP-Bibliothek, die zur Verhinderung von CSRF- und Replay-Angriffen nützlich ist.

Möglicherweise finden wir mehrere Artikel und Videos, die die Schwachstellen erläutern, die Nonces zu verhindern versuchen:

• YouTube – Jmaxxz – CSRF erklärt
• YouTube – Professor Messer – Cross-Site Request Forgery
• YouTube – Professor Messer – Wiederholungsangriffe
• YouTube – Hak5 – So hacken Sie drahtlose Fernbedienungen mit Radio-Replay-Angriffen
• Coding Horror – CSRF- und XSRF-Angriffe verhindern
• acunetix – CSRF-Angriffe, XSRF oder Sea-Surf
• SitePoint – So verhindern Sie Replay-Angriffe auf Ihrer Website

Es scheint jedoch, dass viele PHP-Nonces-Bibliotheken zu restriktiv sind, mit einigen Frameworks verbunden, schwer zu verwenden oder schwer zu verstehen, wie sie funktionieren.

pedroac/nonce versucht, diese Probleme zu lösen.

Es ermöglicht die Auswahl einer beliebigen PSR-16-Implementierung zum vorübergehenden Speichern der Nonces, Nonces-Wertgeneratoren, Ablaufintervalle und sogar eines DateTime Anbieters zum Überschreiben des Uhrsystems (diese Funktion wird für Komponententests verwendet).

Es bietet außerdem Hilfsmittel zum Verwalten von Eingaben, zum Generieren zufälliger Nonces-Namen und -Werte, zum Überprüfen übermittelter Token anhand der Nonce und zum Generieren von HTML-Elementen.

• PHP 7.1 oder höher: http://php.net/downloads.php
• Komponist: https://getcomposer.org
• Mindestens eine PSR-16-Implementierung. Beispiele:
  • Symfony/Cache
  • matthiasmullie/Sammelalbum

Führen Sie den Befehl aus:

composer require pedroac/nonce

• Verwenden von Symfony ArrayCache
• CLI-Test
• HTML-Formular mithilfe einer Sitzung
• HTML-Formular mit einem automatisch generierten Nonce-Namen
• HTML-Formular mit einem Hilfsprogramm

Die HTML-Formulare können mit einem in PHP integrierten Webserver getestet werden.
Führen Sie im Ordner php/examples den folgenden Befehl aus:

php -S localhost:8000

Verwenden Sie die URL http://localhost:8000/ in einem Browser.

1. Erstellen Sie einen Nonce-Formularhelfer:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );

2. Überprüfen Sie, ob ein gültiges Token übermittelt wurde:

 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}

3. Überprüfen Sie, ob ein ungültiges Token übermittelt wurde:

 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}

4. Implementieren Sie das HTML-Formular:

<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

Die Nonce läuft automatisch ab, wenn das Token mit der NonceForm -Klasse überprüft wird.

1. Instanziieren Sie einen Nonce-Manager:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );

2. Wenn eine Anfrage übermittelt wird, validieren Sie das übermittelte Token und entfernen Sie die Nonce:

 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}

3. Generieren Sie gegebenenfalls eine Nonce:

 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}

4. Verwenden Sie den Nonce-Namen und -Wert, um beispielsweise ein HTML-Formular zu erstellen:

 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

Neben dem Nonces-Cache-Speicher ist es möglich, den Zufallsgenerator für Nonce-Werte und das Ablaufintervall auszuwählen:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

Es ist auch möglich, eine Nonce mit einem angegebenen Namen zu erstellen:

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

Die Standardeingabequelle NonceForm ist $_POST, es werden jedoch alle Array-Eingaben akzeptiert:

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);

Führen Sie Folgendes aus dem Stammordner der Bibliothek aus:

php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml

Wenn die Tests erfolgreich waren, sollte php/tests/coverage-html über den Code-Coverage-Bericht verfügen.

Führen Sie Folgendes aus dem Stammordner der Bibliothek aus:

sh scripts/generate-docs.sh

Die generierte Dokumentation sollte sich im Ordner docs befinden.

Für die Versionierung sollte SemVer verwendet werden.

• Pedro Amaral Couto – Erste Arbeit – https://github.com/pedroac

pedroac/nonce wird unter der öffentlichen MIT-Lizenz veröffentlicht.
Einzelheiten finden Sie in der beiliegenden LIZENZ.

Die Bibliothek wurde als private Anfrageantwort eines Stackoverflow-Benutzers entwickelt.