Descargar nonce4php - Descarga del código fuente nonce4php

nonce4php

Otras categorias

1.0.0

Descargar

pedroac/nonce para PHP

Una biblioteca PHP de administrador nonce útil para prevenir CSRF y ataques de repetición.

Podemos encontrar varios artículos y vídeos explicando las vulnerabilidades que los nonces intentan prevenir:

YouTube - Jmaxxz - CSRF explicado
YouTube - Profesor Messer - Falsificación de solicitudes entre sitios
YouTube - Profesor Messer - Ataques de repetición
YouTube - Hak5 - Cómo hackear controles remotos inalámbricos con ataques de reproducción de radio
Coding Horror: prevención de ataques CSRF y XSRF
acunetix - Ataques CSRF, XSRF o Sea-Surf
SitePoint: cómo prevenir ataques de repetición en su sitio web

Sin embargo, parece que muchas bibliotecas PHP nonces son demasiado restrictivas, junto con algún marco, difíciles de usar o difíciles de entender cómo funcionan.

pedroac/nonce intenta resolver esos problemas.

Permite elegir cualquier implementación de PSR-16 para almacenar temporalmente los nonces, generadores de valores de nonces, intervalos de vencimiento e incluso un proveedor DateTime para anular el sistema de reloj (esta característica se usa para pruebas unitarias).

También proporciona ayudas para administrar entradas, generar nombres y valores nonce aleatorios, verificar tokens enviados con respecto al nonce y generar elementos HTML.

Requisitos previos

PHP 7.1 o posterior: http://php.net/downloads.php
Compositor: https://getcomposer.org
Al menos una implementación del PSR-16. Ejemplos:
- Symfony/caché
- matthiasmullie/álbum de recortes

Instalación

Ejecute el comando:

composer require pedroac/nonce

Uso

Ejemplos

Usando Symfony ArrayCache
prueba CLI
Formulario HTML usando una sesión
Formulario HTML usando un nombre nonce generado automáticamente
Formulario HTML usando un asistente

Los formularios HTML se pueden probar utilizando un servidor web PHP integrado.
Desde la carpeta php/examples ejecuta el comando:

php -S localhost:8000

Utilice la URL http://localhost:8000/ en un navegador.

Formulario HTML con un token

Cree un asistente de formulario nonce:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );

Compruebe si se envió un token válido:

 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}

Compruebe si se envió un token no válido:

 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}

Implementar el formulario HTML:

<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

El nonce caduca automáticamente cuando el token se verifica con la clase NonceForm .

Uso general

Crear una instancia de un administrador nonce:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );

Cuando se envía una solicitud, valida el token enviado y elimina el nonce:

 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}

Genere un nonce cuando corresponda:

 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}

Utilice el nombre y valor nonce para crear, por ejemplo, un formulario HTML:

 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

Opciones

Además del almacenamiento en caché de nonces, es posible seleccionar el generador de valores nonce aleatorios y el intervalo de vencimiento:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

También es posible crear un nonce con un nombre específico:

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

La fuente de entrada predeterminada NonceForm es $_POST, pero acepta cualquier entrada de matriz:

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);