nonce4php

Uma biblioteca PHP gerenciadora nonce útil para prevenir ataques CSRF e de repetição.

Podemos encontrar vários artigos e vídeos explicando as vulnerabilidades que os nonces tentam prevenir:

• YouTube - Jmaxxz - CSRF explicado
• YouTube - Professor Messer - Falsificação de solicitação entre sites
• YouTube - Professor Messer - Ataques de repetição
• YouTube - Hak5 - Como hackear controles remotos sem fio com ataques de repetição de rádio
• Coding Horror - Prevenindo ataques CSRF e XSRF
• acunetix - Ataques CSRF, XSRF ou Sea-Surf
• SitePoint - Como prevenir ataques de repetição em seu site

Parece, porém, que muitas bibliotecas PHP nonces são muito restritivas, juntamente com algum framework, difíceis de usar ou difíceis de entender como funcionam.

pedroac/nonce tenta resolver esses problemas.

Permite escolher qualquer implementação do PSR-16 para armazenar temporariamente os nonces, geradores de valores de nonces, intervalos de expiração e até mesmo um provedor DateTime para sobrescrever o sistema de relógio (este recurso é usado para testes unitários).

Ele também fornece ajudantes para gerenciar entradas, gerar nomes e valores aleatórios de nonces, verificar tokens enviados em relação ao nonce e gerar elementos HTML.

• PHP 7.1 ou posterior: http://php.net/downloads.php
• Compositor: https://getcomposer.org
• Pelo menos uma implementação do PSR-16. Exemplos:
  • symfony/cache
  • matthiasmullie/álbum de recortes

Execute o comando:

composer require pedroac/nonce

• Usando Symfony ArrayCache
• Teste CLI
• Formulário HTML usando uma sessão
• Formulário HTML usando um nome nonce gerado automaticamente
• Formulário HTML usando um auxiliar

Os formulários HTML podem ser testados usando um servidor web integrado em PHP.
Na pasta php/examples execute o comando:

php -S localhost:8000

Use a URL http://localhost:8000/ em um navegador.

1. Crie um auxiliar de formulário nonce:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );

2. Verifique se um token válido foi enviado:

 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}

3. Verifique se um token inválido foi enviado:

 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}

4. Implemente o formulário HTML:

<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

O nonce expira automaticamente quando o token é verificado com a classe NonceForm .

1. Instancie um gerenciador nonce:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );

2. Quando uma solicitação for enviada, valide o token enviado e remova o nonce:

 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}

3. Gere um nonce quando apropriado:

 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}

4. Use o nome e o valor do nonce para criar, por exemplo, um formulário HTML:

 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

Além do armazenamento em cache de nonces, é possível selecionar o gerador de valor aleatório de nonce e o intervalo de expiração:

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

Também é possível criar um nonce com um nome especificado:

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

A fonte de entrada padrão NonceForm é $_POST, mas aceita qualquer entrada de array:

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);

Execute a partir da pasta raiz da biblioteca:

php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml

Se os testes foram bem-sucedidos, php/tests/coverage-html deverá ter o relatório de cobertura de código.

Execute a partir da pasta raiz da biblioteca:

sh scripts/generate-docs.sh

A documentação gerada deverá estar dentro da pasta docs .

Deve ser utilizado SemVer para versionamento.

• Pedro Amaral Couto - Trabalho inicial - https://github.com/pedroac

pedroac/nonce é lançado sob a licença pública do MIT.
Consulte a LICENÇA anexa para obter detalhes.

A biblioteca foi desenvolvida como uma resposta de solicitação privada feita por um usuário Stackoverflow.