ホーム>PHPソースコード>その他のカテゴリー
ダウンロード

PHP の pedroac/nonce

CSRF およびリプレイ攻撃の防止に役立つ nonce マネージャー PHP ライブラリ。

nonce が防止しようとする脆弱性について説明した記事やビデオがいくつか見つかるかもしれません。

  • YouTube - Jmaxxz - CSRF の説明
  • YouTube - メッサー教授 - クロスサイト リクエスト フォージェリ
  • YouTube - メッサー教授 - リプレイ攻撃
  • YouTube - Hak5 - 無線リプレイ攻撃でワイヤレスリモコンをハッキングする方法
  • コーディングの恐怖 - CSRF および XSRF 攻撃の防止
  • acunetix - CSRF 攻撃、XSRF または Sea-Surf
  • SitePoint - Web サイトでのリプレイ攻撃を防ぐ方法

ただし、多くの PHP nonce ライブラリは制限が多すぎて、いくつかのフレームワークと組み合わされていて、使いにくいか、その仕組みを理解するのが難しいようです。

pedroac/nonceこれらの問題を解決しようとします。

これにより、任意の PSR-16 実装を選択して、ノンス、ノンス値ジェネレーター、有効期限間隔、さらにはクロック システムをオーバーライドするDateTimeプロバイダーを一時的に保存することができます (この機能は単体テストに使用されます)。

また、入力の管理、ランダムなノンス名と値の生成、送信されたトークンのノンスに対する検証、HTML 要素の生成を行うためのヘルパーも提供します。

前提条件

  • PHP 7.1 以降: http://php.net/downloads.php
  • 作曲者: https://getcomposer.org
  • 少なくとも 1 つの PSR-16 実装。例:
    • symfony/キャッシュ
    • マティアスムリー/スクラップブック

インストール中

次のコマンドを実行します。

composer require pedroac/nonce

使用法

  • Symfony ArrayCache の使用
  • CLI テスト
  • セッションを使用したHTMLフォーム
  • 自動生成されたナンス名を使用した HTML フォーム
  • ヘルパーを使用した HTML フォーム

HTML フォームは、PHP 組み込み Web サーバーを使用してテストできます。
php/examplesフォルダーから次のコマンドを実行します。 

php -S localhost:8000

ブラウザで URL http://localhost:8000/ を使用します。

トークンを含む HTML フォーム

  1. nonce フォーム ヘルパーを作成します。 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );
  1. 有効なトークンが送信されたかどうかを確認します。 
 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}
  1. 無効なトークンが送信されたかどうかを確認します。 
 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}
  1. HTML フォームを実装します。 
<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

nonce は、トークンがNonceFormクラスで検証されると自動的に期限切れになります。

一般的な使用法

  1. nonce マネージャーをインスタンス化します。 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );
  1. リクエストが送信されると、送信されたトークンを検証し、ノンスを削除します。 
 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}
  1. 必要に応じて nonce を生成します。 
 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}
  1. nonce の名前と値を使用して、たとえば HTML フォームを構築します。 
 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

オプション

nonce キャッシュ ストレージに加えて、ランダム nonce 値ジェネレーターと有効期限間隔を選択することができます。 

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

指定した名前で nonce を作成することもできます。 

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

NonceFormデフォルトの入力ソースは $_POST ですが、任意の配列入力を受け入れます。 

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);

テストの実行

ライブラリのルート フォルダーから実行します。

php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml

テストが成功した場合は、 php/tests/coverage-htmlにコード カバレッジ レポートが含まれているはずです。

HTMLドキュメントの生成

ライブラリのルート フォルダーから実行します。

sh scripts/generate-docs.sh

生成されたドキュメントはフォルダーdocs内にある必要があります。

バージョン管理

バージョン管理には SemVer を使用する必要があります。

著者

  • Pedro Amaral Cuto - 初期作品 - https://github.com/pedroac

ライセンス

pedroac/nonce は MIT パブリック ライセンスに基づいてリリースされています。
詳細については同封のライセンスを参照してください。

謝辞

このライブラリは、Stackoverflow ユーザーによって作成されたプライベート リクエスト応答として開発されました。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて